За масштабною хакерською атакою на «Київстар» стоїть не угруповання «Солнцепек», яке взяло на себе відповідальність за неї, а угруповання Sandworm, яке складається з офіцерів російської воєнної розвідки, більш відомої як ГРУ, повідомив у четвер, 14 грудня, Forbes із посиланням на свої джерела у Службі безпеки України. Уранці 13 грудня у Telegram-каналі «Солнцепек» зʼявилося повідомлення: «Ми, хакери «Солнцепек», беремо на себе повну відповідальність за кібератаку на «Київстар». Автори публікації стверджують, що знищили 10 000 компʼютерів, понад 4000 серверів, усі системи хмарного зберігання даних та резервного копіювання оператора. Невдовзі інформацію про знищені комп’ютери та викрадені дані користувачів компанія «Київстар» спростувала. Як зауважує Forbes, Telegram-канал «Солнцепек» створено 25 квітня 2022 року, йдеться у даних сервісу статистики TGStat. На початку існування каналу його автори займалися хактивізмом — публікували особисті дані військових ЗСУ, каже засновник американської кібербезпекової компанії Hold Security Алекс Холден. «Тобто це була менш хакерська й більш соціальна група», — додав він. Як зазначається в матеріалі, з квітня 2023 року автори каналу «Солнцепек» почали публікувати більше дописів про хакерські атаки. Зокрема, результати атак на Держстат України, Національну суспільну телерадіокомпанію України та систему стратегічної радіоелектронної розвідки ГУР МО України. «Вони змінили свою поведінку й почали працювати за правилами російського угруповання Sandworm», — сказав Холден. У вересневому звіті Держспецзв’язку про тактику російських хакерів зазначалося, що телеграм-канал «Солнцепек» з 25 квітня 2023 року використовує російське хакерське угруповання Sandworm для публікації результатів своєї діяльності. «Telegram-канал «Солнцепек» – це «зливний бачок» Головного управління генерального штабу збройних сил РФ. Туди вони зливають результати власних операцій, коли бояться брати пряму відповідальність на свої підрозділи на кшталт Sandworm та APT28», — пояснив уже колишній заступник голови Держспецзв’язку Віктор Жора. Те, що за атакою на «Київстар» стоїть угруповання Sandworm, Forbes підтвердив службовець СБУ, знайомий із перебігом слідства. 12 грудня за фактом атаки СБУ відкрила кримінальну справу за вісьмома статтями ККУ. Перша серйозна операція Sandworm в Україні відбулася у 2015 році. Тоді українська енергетична інфраструктура зазнала першої у своїй історії успішної кібератаки. Вони атакували «Київобленерго», «Чернівціобленерго», «Харківобленерго», «Хмельницькобленерго» та «Прикарпаттяобленерго» за допомогою вірусу BlackEnergy. «Прикарпаттяобленерго» повідомляло, що внаслідок атаки близько 700 000 жителів Івано-Франківської області залишилися без електроенергії. Друга поява Sandworm відбулася у 2017 році, коли зловмисники атакували українські компанії та держустанови вірусом NotPetya. Від атаки постраждали енергокомпанії «Київенерго» та «Укренерго», близько 30 українських банків (серед них «Ощадбанк», ПУМБ та «Укргазбанк»), найбільший фіксований оператор «Укртелеком», аеропорт «Бориспіль», логістичні компанії «Укрпошта» та «Нова пошта». Крім того, хакери атакували Кабінет міністрів України. Атака почалася з України, однак розповсюдилася в 64 інших країнах. Лише трьом жертвам вірус NotPetya завдав збитків майже на 1 млрд доларів, повідомляло у 2020 році Міністерство юстиції США. Експерти компанії EST назвали винуватцем зараження ПК популярну бухгалтерську програму ME Doc. Нагадаємо, кібератака на найбільшого оператора України «Київстар» почалася 12 грудня о 05:26 – тоді виникли проблеми із роботою радіомережі оператора. Але вже о 06:30 хакери атакували «серце» «Київстару» – ядро мережі, яке відповідає за обробку трафіку між користувачами та сервісами. Щоб зупинити руйнування, оператор разом із силовиками вимкнули усі сервіси – без зв’язку залишилося 24 млн абонентів, національний роумінг також не працював. За словами президента «Київстару» Олександра Комарова, Хакери зламали захист через скомпрометований обліковий запис одного зі співробітників. Увечері 13 грудня компанія почала поступове відновлення роботи, однак деякі послуги станом на 14:00 четверга, 14 грудня, все ще відсутні.