Міжнародний розробник телекомунікаційних рішень Protei опинився в центрі масштабного кіберінциденту: невідома хакерська група заявила про злам серверів компанії, дефейс офіційного сайту та викрадення близько 182 ГБ даних, включно з багаторічною електронною перепискою. Для глобального телеком-ринку це показовий кейс того, наскільки вразливими можуть бути ключові постачальники обладнання для контролю та маршрутизації трафіку.
Кібератака на Protei: дефейс сайту та суперечливі заяви
Згідно з публікаціями в ЗМІ, атака на інфраструктуру Protei супроводжувалася зміною головної сторінки корпоративного сайту. На ній з’явилося нецензурне повідомлення та фраза на кшталт «ще один провайдер DPI/SORM повержений», що вказує на цільовий удар саме по постачальнику систем моніторингу та фільтрації інтернет-трафіку.
Архівні копії в сервісі Wayback Machine фіксують, що станом на 8 листопада 2025 року сайт перебував у стані дефейсу. Згодом ресурс відновили, але технічні деталі проникнення, вектори атаки й час початкової компрометації публічно не розкривалися.
На фоні появи повідомлень про злам керівник йорданського офісу Protei Мохаммад Джалал (Mohammad Jalal) заявив журналістам, що компанія нібито не пов’язана з Росією та не має відомостей про витік даних з її серверів. Таким чином, позиція компанії наразі розходиться з твердженнями хакерів, що типово для ранньої фази розслідування, коли підтверджена цифрова форензіка ще відсутня або не розголошується.
Хто така Protei та чому її компрометація критична для операторів
Protei історично пов’язана з Росією, а її головний офіс нині розташований в Йорданії. Компанія розробляє комплексні рішення для операторів фіксованого та мобільного зв’язку й інтернет-провайдерів у десятках країн, серед яких Бахрейн, Італія, Казахстан, Мексика, Пакистан і низка держав Центральної Африки.
У портфелі – платформи для відеоконференцій, організації доступу до інтернету, а також рішення для нагляду, веб-фільтрації та глибокої інспекції пакетів (DPI). Подібні продукти часто застосовуються для блокування ресурсів, фільтрації контенту та детального логування дій користувачів у мережі.
За даними дослідницької групи Citizen Lab, у 2023 році іранський оператор Ariantel консультувався з Protei щодо впровадження систем реєстрації трафіку та блокування сайтів. Окремо згадувалася можливість обмежувати доступ до інтернет-ресурсів для окремих користувачів або цілих груп населення, що посилює інтерес до потенційного вмісту викрадених масивів.
DPI та SORM: як технології моніторингу роблять постачальників цілями атак
DPI (Deep Packet Inspection, глибока інспекція пакетів) — це клас технологій, що дозволяє аналізувати не лише заголовки, а й вміст мережевих пакетів. Для провайдерів та державних структур це інструмент тонкої фільтрації, блокування й перенаправлення трафіку, а також побудови систем масового моніторингу.
Термін SORM традиційно пов’язують із російськими системами оперативно-розшукових заходів, які забезпечують силовим відомствам доступ до трафіку операторів зв’язку. Постачальники рішень для DPI/SORM опиняються в зоні підвищеної уваги як з боку державних замовників, так і з боку хакерських та активістських груп, які виступають проти інструментів цензури й тотального нагляду.
Фраза, залишена на зламаній сторінці Protei, свідчить, що атака могла мати ідеологічну мотивацію та бути спрямованою безпосередньо проти постачальника технологій контролю інтернет-трафіку.
Можливий витік 182 ГБ і роль DDoSecrets
Хакери заявили, що викрадені 182 ГБ інформації передано некомерційній ініціативі DDoSecrets (Distributed Denial of Secrets), яка спеціалізується на зберіганні й каталогізації витоків даних в інтересах журналістів, дослідників та правозахисників.
Якщо ці твердження підтвердяться, у витік можуть потрапити службова переписка, технічна документація, комерційні пропозиції, контракти, а також відомості про розгортання й конфігурацію систем DPI та веб-фільтрації в мережах клієнтів Protei. Такі дані становлять цінність не лише для журналістів, а й для інших зловмисників, які можуть використати їх для подальших атак на операторів зв’язку, обходу фільтрації або компрометації вузлів мережі.
Ризики ланцюга постачання: чому атака на вендора б’є по десятках мереж
Ситуація з Protei наочно демонструє ризики ланцюга постачання (supply chain risk). Компрометація розробника чи інтегратора телеком-обладнання потенційно відкриває шлях до атак на десятки мереж у різних країнах, особливо якщо вкрадені масиви містять топологію мереж, IP-адреси, конфігурації систем, ключі доступу або облікові записи.
Для операторів зв’язку цього недостатньо — захист лише власного дата-центру та магістральних вузлів не гарантує безпеки. Необхідно системно керувати ризиками постачальників: проводити регулярні аудити, вимагати від вендорів зрілих процесів безпечної розробки (Secure SDLC), контролю оновлень ПЗ, шифрування чутливих даних і прозорості в частині реагування на інциденти.
Практичні кроки для телеком-сектору
1. Жорстке управління доступами та сегментація. Системи DPI, моніторингу та lawful intercept мають бути ізольовані від публічних сервісів (пошта, веб-сайти), із мінімально необхідними правами і багаторівневим контролем адмінських обліковок.
2. Захист електронної пошти та архівів. Багаторічні масиви листування — надзвичайно цінна мішень. Варто обмежувати терміни зберігання, застосовувати наскрізне шифрування, багатофакторну автентифікацію, моніторинг аномалій та політики DLP.
3. Незалежні аудити та тестування на проникнення. Регулярні зовнішні перевірки, у тому числі тестування веб-додатків і хостингу вендора, допомагають виявити вразливості до того, як ними скористаються хакери.
4. Керування ризиками постачальників. Операторам доцільно включати вимоги з кібербезпеки в контракти, оцінювати постачальників за галузевими стандартами (ISO/IEC 27001, NIST CSF тощо) та вимагати своєчасного сповіщення про інциденти.
5. План реагування та прозора комунікація. Наявність відпрацьованого IR-плану, сценаріїв взаємодії з клієнтами, регуляторами й медіа суттєво знижує репутаційні та юридичні наслідки витоку.
Кейс із можливою компрометацією Protei ще раз підкреслює: що критичнішою є роль компанії в інфраструктурі зв’язку та контролі трафіку, то вищими мають бути вимоги до її кіберстійкості. Операторам, державним структурам і великим корпоративним замовникам варто уважно відстежувати розвиток цієї історії, переглянути власні підходи до вибору та аудиту постачальників і інвестувати в багаторівневий захист — від архітектури мереж до культури безпечного поводження з даними. Чим раніше такі заходи будуть запроваджені, тим менше шансів, що наступна атака по ланцюгу постачання стане критичною саме для вашої мережі.
