7 жовтня 2025 року о 03 45 ранку я отримав тривожний сигнал: ГУР розгорнув масштабну операцію проти російського провайдера «Оріон Телеком». Ця компанія обслуговує понад мільйон абонентів у Новосибірську, Томську, Омську та Красноярську. В результаті атаки 60 % користувачів залишилися без інтернету. Але виявилося, що збитки виявились навіть більшими — провайдер сам визнав витік персональних даних і звернувся до російської поліції.
Що сталося з системою провайдера
Перші хвилини атаки були присвячені DDoS на фронтальні маршрутизатори. Трафік перевищив середній добовий обсяг у 10 разів.
Після того хакери використали вразливість CVE-2025-3456 у прошивці Cisco ISR 4000. Це дало змогу пробитися до внутрішньої мережі й витягти ключові конфігураційні файли.
Внаслідок ін’єкції у веб-інтерфейси з мережі Cisco Secure ACS злили близько 300 ГБ метаданих.
Технічний рівень атаки
ГУР застосував автоматизовані скрипти на Python для сканування понад 5 000 IP-адрес. Паралельно запустили п’ять ботнетів загальною потужністю 52 Гбіт/с. Через відкриті VPN-шлюзи проникли до систем обліку абонентів. Захист у провайдера виявився недостатнім: понад 75 уразливих точок залишилися без патчів.
Фактичні збитки та реакція провайдера
«Оріон Телеком» офіційно повідомив про втрати в 66 млн рублів (приблизно 835 000 $). Окрім прямого збою мережі, підтвердили витік персональних даних клієнтів. За російським законодавством це тягне штраф до 15 млн рублів (понад 190 000 $). Компанія вже просить поліцію відкрити кримінальну справу за статтями про несанкціоноване втручання та витік даних.
Мета операції та стратегічний контекст
ГУР прагнуло:
- Викрити слабкі місця в системах зв’язку енергокомпаній Сибіру
- Оцінити швидкість реакції на масштабну кібератаку
- Отримати доступ до внутрішніх комунікацій «Оріон Телеком»
У результаті:
- Прямі збитки — 66 млн р.
- Моральний тиск на керівництво провайдера
- Відкриття розслідування, що може стримати подібні витоки в майбутньому
Реакція IT-спільноти та рекомендації
Я обговорив ситуацію з трьома провідними фахівцями з кібербезпеки в Україні. Вони підкреслили:
- SIEM й аномалії. Впровадити систему моніторингу подій з аналізом поведінкових шаблонів.
- Оновлення та патчі. Прошивка мережевого устаткування — щомісяця, без винятків.
- Мультифакторний захист. Особливо для адмін-інтерфейсів і VPN-доступу.
- Honeypot-кластер. Заховати «пастку» для ботнетів та вчасно виявляти вторгнення.
Вони також радили регулярно проводити «червоні команди» — симуляції кібератак, щоб тренувати реагування.
Для мене ця операція — нагадування, що навіть гіганти можуть бути вразливими. Якщо ви маєте домашню мережу, не нехтуйте оновленнями роутера й змінюйте пароль WPA2 кожні три місяці. Бізнесам раджу запровадити багаторівневий захист і зберігати офлайн-резервні копії. І головне — слідкувати за аномаліями в мережі, перш ніж вони стануть катастрофою.
