Хакерські атаки на Україну (2017)

Хакерські атаки на Україну — масштабна хакерська атака, що відбувалась у декілька етапів. Розпочалась щонайменше 14 квітня 2017 року з компрометації системи оновлення програми M.E.Doc[2][3]. Останній етап, з використанням різновиду вірусу Petya, відбувся 27 червня 2017 року[4][5][6], та спричинив порушення роботи українських державних підприємств, установ, банків, медіа тощо. Внаслідок атаки була заблокована діяльність таких підприємств, як аеропорт «Бориспіль», ЧАЕС, Укртелеком, Укрпошта, Ощадбанк, Укрзалізниця та низки інших великих підприємств.[7][8]

Хакерські атаки на Україну
PetyaA.jpg
Монітор комп'ютера, зараженого вірусом
Дата 14 квітня — 27 червня 2017
Місце Спочатку:
Україна Україна
Пізніше в:
Flag of the United States.svg США
Росія Росія
Іспанія Іспанія
Індія Індія
Причина компрометація системи оновлення програми M.E.Doc з встановленням бекдору
Результат заблокована діяльність державних і комерційних підприємств, сайтів органів виконавчої влади, втрати підприємств по всьому світу склали понад $1 млрд
Звинувачені Росія Росія
(згідно із заявами українських спецслужб)[1]

Жертвою вірусу також стали телеканал «Інтер», медіахолдинг ТРК «Люкс», до складу якого входять «24 канал», «Радіо Люкс FM», «Радіо Максимум», різні інтернет-видання, а також сайти Львівської міської ради, Київської міської державної адміністрації[9]. Повідомлялося, що постраждав Кабінет Міністрів України[10], але пізніше ця інформація була спростована[11] і названа невдалим жартом Павла Розенка. Причиною тимчасової непрацездатності сайта КМУ названі технічні роботи[12].

Трансляції передач припинили канали «Перший автомобільний» та ТРК «Київ».

28 червня 2017 року Кабінет Міністрів України повідомив, що атака на корпоративні мережі та мережі органів влади була зупинена[13].

Масштабна деструктивна атака різновидом вірусу Petya (також відомого як NotPetya, Eternal Petya, Petna, ExPetr, тощо) стала можливою завдяки компрометації системи оновлення програми M.E.Doc та встановлення прихованого бекдору. Таким чином, масштабною деструктивною атакою зловмисники закрили собі наявний в них завдяки бекдору доступ до комп'ютерів та комп'ютерних мереж у близько 80 % українських підприємств (в тому числі — представництв закордонних компаній). Є підстави вважати, що зловмисники пішли на такий крок оскільки або здобули надійніший доступ до інформаційних систем важливих для них жертв, або ж вважають, що зможуть доволі просто відновити його[3].

Зміст

Перебіг атакиРедагувати

Докладніше: Petya

Зараження вірусом відбувається через фішингове повідомлення (файл Петя.apx) або оновлення програми для подачі бухгалтерської звітності M.E.Doc. Вірус шифрує файли на комп'ютері, а розповсюджувачі вимагають від користувачів викуп за відновлення доступу до інформації за віртуальні гроші Bitcoin[14]. Сума, яку вимагає автор вірусу за розблокування файлів становить 300$[15].

Перші атаки з використанням перших версій вірусу Petya стали відомими ще на початку 2016 року[16]. Для перших версій Petya вдалось розробити дешифратори та відновлювачі зашифрованих даних[17].

ХронологіяРедагувати

За відкритими результатами різних розслідувань можливо відтворити хронологію подій, що передували цій атаці. Зокрема:[2][3]

  • 14 квітня 2017 року: оновлення M.E.Doc 10.01.175-10.01.176 з бекдором.
  • 15 травня 2017 року: оновлення M.E.Doc 10.01.180-10.01.181 з бекдором.
  • 17 травня 2017 року: виходить оновлення M.E.Doc без бекдору.
  • 18 травня 2017 року: хакерська атака з використанням вірусу XData (Win32/Filecoder.AESNI.C). Оскільки попереднього дня багато клієтнів отримали оновлення без бекдору, атака зазнає невдачі.
  • 31 травня 2017 року: на цей день припадає остання дата модифікацій файла з вебшелом medoc_online.php (PHP webshell PAS) — May 31 14:45 2017. Цей вебшел стає доступний за адресою http[:]//www.me-doc[.]com[.]ua/TESTUpdate/medoc_online.php.
  • 22 червня 2017 року: оновлення M.E.Doc 10.01.188-10.01.189 з бекдором.
  • 27 червня 2017 року: хакерська атака з використанням вірусу Petya-NotPetya.
    • 8:59:14 UTC: зловмисник використовує вкрадений пароль для здобуття прав адміністратора на сервері оновлень M.E.Doc
    • в проміжку 9:11:59 — 9:14:58 UTC зловмисник міняє налаштування сервера для перенаправлення запитів на сервер з IP-адресою 176.31.182[.]167, яка належить діапазону французького веб-хостера OVH[en].
    • 9:14:58 UTC з'являється трафік на сервер OVH.
    • 12:31:12 UTC останнє з'єднання до сервера OVH, завершення активної фази зараження.
    • 12:33:00 UTC відновлення налаштувань сервера M.E.Doc.
    • 14:11:07 UTC від'єднання SSH-терміналу з адреси 159.148.186[.]214 (Латвія).
    • 19:46:26 UTC зловмисник замітає сліди на сервері OVH (176.31.182[.]167) командою dd if=/dev/zero.
  • 4 липня 2017 року: для запобігання подальшим атакам поліція проводить обшуки та вилучення обладнання у компанії-розробника M.E.Doc[18]

Початкове зараженняРедагувати

За результатами спільного розслідування Кіберполіції та сторонніх фахівців з комп'ютерної безпеки було встановлено, що ураження інформаційних систем українських компаній відбулось через оновлення програмного забезпечення, призначеного для звітності та документообігу — «M.E.Doc»[19][18] шляхом внесення змін до бібліотеки ZvitPublishedObjects.dll[20]. Активна та найбільш деструктивна фаза атаки розпочалась з системи автоматичного оновлення програми M.E.doc 27 червня 2017 року близько 10:30 за київським часом[21]. Розробник програми M.E.Doc, компанія «Інтелект-сервіс» розмістила на своєму сайті повідомлення, яким визнавала джерело атаки, але невдовзі його прибрала. Згодом було розміщене нове повідомлення, в якому компанія відкидала будь-яку причетність до поширення вірусу або про злам своїх інформаційних систем[22].

Також кіберполіція зазначила, що відомі випадки поширення вірусу через фішингові листи від імені відомих компаній або від імені адресатів, з якими до цього велось листування. У цих листах присутні посилання на завантаження шкідливих додатків (документів Microsoft Word, PDF-файлів, таблиць та інших)[23].

Слідство припускає, що зловмисникам вдалось вбудувати в одне із оновлень програми бекдор та приблизно 15 травня 2017 року встановити його на комп'ютери жертв[18]. Є підстави стверджувати, що зловмисникам були доступні вихідні коди програми. Також відомо, що оновлення з вбудованим бекдором відбувались:[2]

  • 01.175-10.01.176, випуск 14 квітня 2017
  • 01.180-10.01.181, випуск 15 травня 2017
  • 01.188-10.01.189, випуск 22 червня 2017

Представники компанії-розробника «M.E.Doc» були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але проігнорували їх[18]. Навіть після атаки 18 травня 2017 року (всього через три дні після випуску 01.180) з хробаком XData (Win32/Filecoder.AESNI.C) компанія-виробник заперечила проблеми з безпекою і назвала це простим «збігом»[18].

Разом з тим з'ясовано: виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній та відправляти їх на віддалений сервер. Крім того, завантажувати файли і збирати інформацію про операційну систему та ідентифікаційні дані користувачів[18]. Зловмисники мали можливість в залежності від кодів ЄДРПОУ віддавати бекдору різні команди, в тому числі — завантажувати й запускати додаткові модулі[2].

Таким чином, станом на 27 червня 2017 року про існування проблем з безпекою в системі оновлень M.E.Doc вже було відомо. Навіть після атаки фахівцям фірми ESET вдалось знайти бекдор у вигляді зашифрованої PHP програми PAS (webshell PHP PAS) з іменем файла medoc_online.php на цьому сервері[24]. На сервері було встановлене застаріле програмне забезпечення з численними вразливостями, для якого вже були добре відомі методи атак[25][26]. Начальник Департаменту кіберполіції Національної поліції України полковник Сергій Демедюк в інтерв'ю журналістам Associated Press заявив, що розробникам M.E.Doc «багато разів говорили про це творці антивірусів. Така недбалість може послужити причиною початку кримінального розслідування»[27][28]. Крім всього іншого сервер оновлень upd.me-doc.com.ua (IP адреса 92.60.184[.]55) фізично знаходився у хостинг-провайдера WNet (ТОВ «Дабл-ю нет Україна»), в якого лише на початку червня того ж року Служба безпеки України проводила обшуки та вилучала обладнання через надання компанією телекомунікаційних послуг в Криму ФСБ РФ, Воєнтелекому РФ та псевдодержавним підприємствам зв'язку. За інформацією спецслужби, через незаконну маршрутизацію трафіку до анексованого Криму ФСБ РФ планувало отримати доступ та знімати інформацію з українського сегменту мережі провайдера[29][30].

Також, на даний момент відомо, що після спрацювання бекдору, зловмисники компрометували облікові записи користувачів, з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM (KVM-перемикач з можливістю роботи через комп'ютерні мережі) здійснювали завантаження власної операційної системи на базі Tiny Core Linux[18].

Зловмисники, з метою приховування вдалої кібероперації щодо масового ураження комп'ютерів та несанкціонованого збору з них інформації, тим же самим способом, через останні оновлення програмного забезпечення «M.E.Doc» розповсюдили модифікований хробак-здирник Petya[18].

Видалення та шифрування файлів операційних систем, було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору), та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих[18].

Атака 27 червня 2017 року розпочалась близько 10:30 за київським часом, коли на комп'ютерах жертв програма EzVit.exe — складова частина M.E.Doc, запустила команду:[21]

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

4 липня 2017 року з'явилось повідомлення від розробників іншого ПЗ подання бухгалтерської звітності 1С:Звіт про наявність віруса в бібліотеці ZvitPublishedObjects.dll, виявленого одним з антивірусів з останніми оновленнями [31]. Зазначена бібліотека використовується і у «M.E.Doc», і у 1С:Звіт[20].

БекдорРедагувати

Див. також: Бекдор

Хробак Petya потрапив на комп'ютери жертв в першу чергу завдяки бекдору, який був встановлений в оновлення програми M.E.Doc. Таким чином, шкідлива дія атаки не обмежена деструктивними діями хробака, але і включає шкоду, яку зловмисники могли заподіяти бекдором: викрадення системних паролів, ключів, викрадення важливої інформації та документів, встановлення програм-шпигунів, проникнення в інші системи, тощо.

Бекдор був доданий до коду в бібліотеці програми ZvitPublishedObjects.dll у функцію ZvitPublishedObjects.Server.UpdaterUtils.IsNewUpdate. Бекдор створює фоновий потік, який звертається за адресою http[:]//upd.me-doc.com.ua/last.ver?rnd=<GUID> куди передає код ЄДРПОУ підприємств та ім'я користувача, від імені якого виконується програма, в очікувані коду команди. Всього бекдор здатен виконувати шість команд:[2][3]

0 — RunCmd
запускає передану команду в оболонці shell.
1 — DumpData
отримує дані в кодуванні Base64, розкодовує та зберігає їх на жорсткому диску.
2 — MinInfo
збирає та відправляє інформацію про версію операційної системи, бітову архітектуру (32 або 64 біти), привілеї користувача, налаштування UAC, проксі-сервера, електронної пошти (в тому числі логін та пароль).
3 — GetFile
зчитує та передає вказаний файл з жорсткого диску жертви.
4 — Payload
отримує дані в кодуванні Base64, декодує, зберігає на диску та запускає цей файл як програму.
5 — AutoPayload
аналогічно команді з кодом 4, але для бібліотек DLL. Запускає отриману бібліотеку із допомогою rundll32.exe, також намагається переписати та знищити отриманий файл.

Команда з кодом 5 найкраще збігається з тим, як розпочалось зараження вірусом Petya.

XDataРедагувати

18 травня 2017 року був виявлений вірус-здирник XData, який став другим за швидкістю поширення та шкідливістю після WannaCry в Україні[32]. Вірус шифрував дані на комп'ютері та вимагав від 0,1 до 1 BTC (станом на травень 2017, один біткойн коштував понад 1,9 тисяч доларів США).[33] Переважною більшістю жертв вірусу стали бухгалтерські комп'ютери українських підприємств, які використовували систему M.E.Doc на 64-бітних операційних системах Windows XP, Windows 7, Windows Server 2008 та Windows Server 2012. Багато постраждалих стверджували, що шифрування їхніх даних відбулося після оновлення програми M.E.Doc.[32] Однак компанія-виробник ПЗ заперечила проблеми з безпекою і назвала це збігом[34].

Засіб для дешифрування даних, уражених XData, був опублікований уже 30 травня[35].

NotPetyaРедагувати

Попри зовнішню схожість новий вірус має істотні відмінності від вже відомого Petya й тому отримав нові назви від різних дослідників (NotPetya, Eternal Petya, Petna, тощо). У цілому, він має добре написаний код, який використовує низку шляхів для свого поширення:[36]

  • Вразливості EternalBlue та EternalRomance (CVE-2017-0144 та CVE-2017-0145 відповідно, обидві виправлені в оновлені MS17-010)[21]
  • Виявлення гешів паролів зареєстрованих на комп'ютері користувачів і навіть адміністраторів[37] (алгоритм LSA Dump, схожий на Win32/Mimikatz)[21]
  • Використання стандартних можливостей операційної системи[21]:
    Спочатку передає свої файли установки через мережеві диски (Windows Share), а потім намагається їх запустити або віддаленим виконанням команд PowerShell (psexec), або ж через систему WMIC (Windows Management Instrumentation Command-line).

Таким чином, заражений цим хробаком комп'ютер здатен, за певних умов, вражати інші комп'ютери в мережі, навіть ті, які отримали останні оновлення операційної системи.

Аби не бути виявленим антивірусними програмами, бінарні коди вірусу застосовують[36]:

  • підроблений цифровий підпис Microsoft,
  • шифрування алгоритмом XOR (для обходу перевірок на сигнатуру).

Проте, попри досить високий рівень реалізації самого вірусу, його розробники скористались вкрай вразливим та ненадійним способом спілкування з жертвами, що створює враження, що здирництво не було основним мотивом:[36][38]

  • всім жертвам пропонується перерахувати криптовалюту біткоїн вартістю 300$ на гаманець автора віруса,
  • та передати вказаний на екрані довгий код на вказану адресу електронної пошти.

Поштова служба, де була зареєстрована скринька зловмисників, заблокувала її вже через кілька годин після початку атаки і, таким чином, унеможливила спілкування між жертвами та зловмисниками[36]. Тобто, сплата викупу не має сенсу, оскільки гарантовано не дасть бажаного результату[39]. В оприлюдненій заяві компанія-провайдер поштової скриньки повідомила, що не лише заблокувала скриню, а й активно працює з німецькою федеральною службою інформаційної безпеки в розслідуванні цієї події[40].

Шкідлива діяРедагувати

Див. також: Ransomware
 
Повідомлення, що показується після завершення шифрування головної таблиці файлів файлової системи NTFS
Шифрування файлів

Шкідлива дія вірусу складається з двох частин та залежить від прав, який має його процес, та від того, які процеси працюють в операційній системі. Вірус обчислює нескладний геш назв запущених процесів, і якщо буде знайдено наперед задані коди може або припинити своє поширення, або ж, навіть, відмовитись від шкідливої дії[21].

Першим кроком вірус шифрує файли з наперед заданого переліку типів (їх понад 60) з використанням алгоритму AES-128. Для кожного комп'ютера вірус обчислює новий ключ симетричного алгоритму шифрування AES-128, який шифрує 800-бітним відкритим ключем RSA з пари ключів зловмисників та зберігає на жорсткому диску[21]. Повідомлення з вимогою викупу для дешифрування файлів залишається на жорсткому диску. Це повідомлення має відмінний від ключа на другому кроці ключ (так званий «ідентифікатор жертви») та доведена можливість відновлення втрачених файлів за умови отримання правильного коду від зловмисників[41]. Проте, навіть тут зловмисники припустились помилок, внаслідок яких відновлення даних істотно ускладнене, а сам вірус Petya не містить модуля для відновлення даних, тому для цього необхідна іще одна, інша програма[42].

Знищення файлової системи

Після завершення першого кроку (шифрування файлів), якщо вірус має достатньо системних прав та за певних інших умов, він переходить до другого кроку (знищення файлової системи).

Другим кроком вірус:

  • змінює головний завантажувальний запис (MBR) кодами свого запуску,
  • обчислює «ідентифікатор жертви» (англ. Victim ID) із застосуванням випадкових чисел,
  • обчислює ключі шифрування із використанням криптографічно стійкого генератора псевдовипадкових чисел, зберігає його у MBR,
  • встановлює випадковий таймер (не менше 10, але не більше 60 хвилин) на перезавантаження комп'ютера, та
  • знищує всі записи в системних журналах.

При завантаженні комп'ютера, завдяки змінам в головному завантажувальному записі (MBR) замість операційної системи буде завантажено шкідливий код віруса, який малює на екрані підробку під інтерфейс програми перевірки цілісності жорсткого диску Chkdsk[21]. Основна шкідлива дія на цьому кроці полягає в шифруванні таблиці файлів (англ. Master File Table, MFT) файлової системи NTFS алгоритмом шифрування Salsa20. При цьому, ключ шифрування по завершенні процесу безповоротно стирається, а жертві пропонується відправити зловмисникам для отримання ключа дешифрування «ідентифікатор жертви» (англ. Victim ID), який жодним чином не пов'язаний з тим ключем[43].

Така поведінка відрізняється від поведінки оригінального хробака Petya/Mischa. Оригінальний вірус Petya зберігав ключ шифрування Salsa20 й тим самим зберігав можливість для відновлення даних. Хоча, через помилку в реалізації відновити дані виявилось можливим навіть без сплати викупу (поки ця помилка не була виправлена у третій версії та вірусі Goldeneye)[43].

Слід зазначити, що шкідлива дія вірусу цим не обмежена: через ваду в реалізації вірус здатен повторно вражати одну й ту саму систему. Тоді зашифровані на першому кроці файли будуть зашифровані вдруге, а необхідний для їхнього дешифрування ключ буде затертий новим, чим унеможливить їхнє відновлення[41].

Використання вірусом одного-єдиного відкритого ключа RSA означає, що розкривши за викуп бодай один код для відновлення даних жертви (фактично — приватний ключ в парі RSA), зловмисники водночас відкрили б можливість усім іншим відновити втрачені дані (за допомогою цього ключа). Це, разом з іншими ознаками, може свідчити, що здирництво не було основним мотивом атаки, а навпаки, під здирництво була замаскована масштабна кібератака на інформаційні системи українських підприємств (від найбільших до найменших) та органів державної влади[39].

ЗахистРедагувати

Компанія Symantec стверджує, що для своєї роботи вірус створює файл «C:\Windows\perfc», а якщо він вже існує, то вірус припиняє роботу. Тому якщо користувач сам створить цей файл і зробить його доступним тільки для читання, то це, імовірно, захистить його від вірусу[44].

Створити порожні та захищені від запису файли

  • C:\Windows\perfc
  • C:\Windows\perfc.dat
  • C:\Program Data\perfc
  • C:\Program Data\perfc.dat

Це захистить від шифрування файлів на комп'ютері, але не захистить від його використання для поширення віруса.

Аби завадити зараженню та поширенню віруса, слід, перш за все, виконувати звичайні поради з комп'ютерної безпеки, зокрема: не відкривати вкладені файли від незнайомих осіб або підозрілих листів від знайомих (захист від фішингу), встановити останні оновлення для операційної системи (в тому числі латку MS17-010) та антивірусних програм. Для захисту мережі від поширення вірусу слід також вимкнути підтримку застарілого протоколу SMBv1, вимкнути або обмежити використання систем PowerShell, WMIC та мережевих тек (Windows Share). Також в мережевих екранах слід заблокувати трафік на порти 139 та 445. Виконання цих порад, однак, може порушити звичну роботу інформаційної системи та вимагатиме додаткових зусиль від адміністраторів[21].

Для ефективного захисту не лише від цього конкретного віруса-хробака, а подібних інцидентів взагалі, слід ретельно впровадити політики комп'ютерної-інформаційної безпеки, наприклад, Defence-in-Depth[45].

Пов'язаність із терактомРедагувати

Менш ніж за три години до початку хакерської атаки, 27 червня, о 8:15 ранку в Солом'янському районі стався вибух автомобіля, за кермом якого був командир загону спеціального призначення Головного управління розвідки — полковник Максим Шаповал. Від потужного вибуху він загинув на місці[46].

Приблизно о 10:30 почалася хвиля завантажень оновлення програми M.E.Doc, яке несло в собі код вірусної програми. За декілька годин вірус вразив низку державних мереж.

Ймовірно ці дві події пов'язані між собою і складали подвійну російську атаку присвячену Дню Конституції України[47]. Цю теорію висунув Секретар РНБО України Олександр Турчинов[48].

Поширення вірусу та атаки за межами УкраїниРедагувати

За даними Нацполіціі, понад 1,5 тисяч юридичних і фізичних осіб звернулися до них із заявами про блокування роботи комп'ютерів, які стали жертвами найбільшої хакерської атаки, що розповсюджує вірус Petya.A. За даними компанії ESET, яка розробляє програмне забезпечення для боротьби зі шкідливими комп'ютерними програмами, на Україну припало найбільше атак вірусу Petya — 75,24 % від усіх атак. Проте атаки не обмежилися Україною.

Також Petya.A атакував Німеччину (9,06 % атак), Польщу (5,81 %), Сербію (2,87 %), Грецію (1,39 %), Румунію (1,02 %), а також менш одного відсотка від всіх атак вірусу довелося на Росію і Чехію.[49]

У Російській Федерації майже одночасно з Україною перестали працювати комп'ютери Роснафти[50], Башнафти[51], що призвело до зупинки видобутку нафти на декількох ділянках[джерело?].

Проте, великі російські підприємства виявились напрочуд захищеними проти поширення хробака, але начебто недостатньо захищеними від зараження ним (при тому, що вони навряд чи користуються програмою для складання української податкової звітності)[36].

Слідом за Україною та Росією атаки почали здійснюватися на мережі в Іспанії, Індії[52], Ірландії, Великій Британії[53] та інших країнах і містах ЄС і США[54]. За даними Mcafee, в США було зафіксовано більше інфікованих комп'ютерів, ніж в Україні, проте, статистика антивіруса ESET стверджує, що найбільше зафіксованих інфікувань відбулись саме в Україні[15].

За даними Німецького федерального агенства з безпеки інформаційних технологій (нім. Bundesamt für Sicherheit in der Informationstechnik, BSI) повідомило, що від атаки хробаком Petya постраждало одне німецьке підприємство, виробництво на якому зупинилось на понад тиждень. Зупинка виробництва потягнула за собою «мільйонні» збитки[55].

РозслідуванняРедагувати

За добу від початку атаки до Департаменту кіберполіції України надійшло понад 1000 повідомлень про втручання в роботу комп'ютерних мереж, що призвело до збоїв у їх роботі. З них офіційно із заявами до поліції звернулось 43 компанії. Станом на 28 червня розпочато 23 кримінальні провадження за фактами несанкціонованого втручання в електронно-обчислювальні системи як державних так і приватних установ, організацій, підприємств (стаття 361 Кримінального кодексу). Ще по 47 фактах вирішується питання щодо внесення відомостей до Єдиного реєстру досудових розслідувань[23].

Станом на 29 червня 2017 року до Національної поліції України звернулось 1508 юридичних та фізичних осіб із повідомленнями, щодо блокування роботи комп'ютерної техніки за допомогою вірусу-шифрувальника. Із них — 178 звернулися до поліції із офіційними заявами. Зокрема, 152 організації приватного сектору та 26 звернень від державного сектору країни. 115 таких фактів зареєстровано в журналі Єдиного обліку про вчинені кримінальні порушення та інші події. Вирішується питання щодо їх правової кваліфікації. За 63 фактами відомості внесено до ЄРДР за статтею 361 КК України[56].

Крім того, до розслідування були залучені фахівці Департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Служби безпеки України. Була організована взаємодія з партнерськими правоохоронними органами, спеціальними службами іноземних країн та міжнародними організаціями, що спеціалізуються на кібернетичній безпеці. Спеціалісти СБУ у взаємодії з фахівцями ФБР США, Національною агенцією по боротьбі зі злочинністю (NCA) Великої Британії, Європолу, а також провідних кібербезпекових установ, проводять скоординовані спільні заходи з локалізації розповсюдження шкідливого програмного забезпечення PetyaA, остаточного з'ясування методів реалізації цієї акції кібертероризму, встановлення джерел атаки, її виконавців, організаторів і замовників[57]. Для локалізації масштабної кіберзагрози, Національною поліцією України та Службою безпеки України було створено оперативно-технічний штаб, до якого увійшли представники найвідоміших українських та іноземних компаній з кібербезпеки[18].

Начальник Департаменту кіберполіції Національної поліції України полковник Сергій Демедюк в інтерв'ю журналістам Associated Press заявив, що розробникам M.E.Doc «багато разів говорили про вразливості сервера оновлень програми творці антивірусів. Така недбалість може послужити причиною початку кримінального розслідування»[58][59].

  Зовнішні відеофайли
  Обшуки та вилучення техніки в офісі розробника M.E.Doc

4 липня 2017 року з метою негайного припинення розповсюдження хробака Petya (адже було зафіксовано нові спроби) прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії, за допомогою якого розповсюджувалось шкідливе програмне забезпечення. Обшуки проведено представниками Департаменту кіберполіції, слідчими та за участю Служби безпеки України. Вилучено робочі комп'ютери персоналу та серверне обладнання, через яке поширювалося програмне забезпечення[18].

Атрибуція атакиРедагувати

Попри те, що вірус справляє враження звичайного зразка здирницького програмного забезпечення, створеного заради збагачення зловмисників, низка дослідників висловили припущення, що, насправді, цей міф служить прикриттям масштабної кібератаки з боку однієї держави проти іншої. Таким чином, основним призначенням вірусу було не здирництво, а знищення важливих даних та порушення нормальної роботи великих державних і приватних установ[60][61]. Але легенда про чергову атаку кіберзлочинців дозволила нападникам створити бажане їм висвітлення у засобах масової інформації, коли досягнувши мету (порушення нормальної роботи великої кількості установ) можна приховати справжній мотив. Зокрема, про це свідчать такі ознаки:

  • Попри досить високий рівень реалізації шкідливої програми був обраний вкрай вразливий спосіб спілкування з жертвами. Поштову скриню було, абсолютно очікувано та передбачувано, заблоковано протягом кількох годин після початку атаки[36].
  • Досвід WannaCry показав фінансову непривабливість масштабних та не вибіркових атак подібного роду[62].
  • Програма шифрує та зберігає перший сектор на жорсткому диску, а потім безповоротно знищує наступні 24 сектори, чим робить повне відновлення даних неможливим. За певних умов програма знищує всі 10 перших секторів на диску, без спроб зберегти їх для подальшого відновлення[62]. Задокументовані випадки, коли програма безповоротно знищувала критично важливу для працездатності операційної системи інформацію і тому може йтися про «замітання слідів»[61].
  • Відсутні докази того, що програма здатна відновити зашифровані файли з кодом викупу. Навпаки, є підстави вважати, що зловмисники не здатні надати код для дешифрування даних[62][63].
  • Зловмисники не мали можливості контролювати поширення свого хробака, але обраний ними спосіб початкового зараження був націлений безпосередньо проти України[61]. Були задокументовані випадки, коли зараження сталось вже через місяць після того, як зловмисники спромоглись отримати несанкційований доступ до інформаційних систем великих установ в Україні. Уражені хробаком іноземні фірми могли стати випадковими (наприклад, через свої представництва в Україні), але не основними, жертвами атаки[61].

Натомість, низка інших експертів висловили припущення, що очевидні вади в роботі віруса та спосіб спілкування з жертвами можна пояснити недбалістю розробників та бажанням розпочати атаку як можна раніше, без належного тестування й перевірки всіх компонентів шкідливої програми[64][65].

30 червня секретар РНБО Турчинов заявив про можливість використання технологій Tor та VPN зловмисниками[66]. В перших числах липня 2017 року Служба безпеки України встановила причетність спецслужб РФ до атаки із використанням вірусу Petya[67].

РеакціяРедагувати

Посадові особиРедагувати

За інформацією радника МВС Антона Геращенка проти держави Україна була розпочата масована хакерська атака з використанням модифікованої під Україну версії вірусу WannaCry — «cryptolocker». На його думку така атака готувалася щонайменше місяць. Кінцевою метою атаки є дестабілізація ситуації в економіці України[47]. Пізніше інформація про WannaCry була спростована.

Речниця СБУ Олена Гітлянська припустила, що атаки організовані з території Росії або з окупованих територій Донбасу[68].

Ліквідація наслідківРедагувати

Голова Департаменту кіберполіції Сергій Демедюк заявив, що представники кіберполіції виїхали до підприємств, які заявили про атаки вірусу. Він також зазначив, що співпраця з ліквідації наслідків вірусних атак може йти на міжнародному рівні.

Власники мереж, які зазнали впливу цієї кібератаки, навіть відновивши комп'ютери після атаки, можуть стати потенційним об'єктом повторної атаки: існує висока ймовірність того, що зловмисникам відома інформація про мережі, паролі до облікових записів користувачів, адміністраторські паролі, приблизні схеми мереж, паролі до електронних поштових скриньок, ЕЦП тощо. Для зниження означених ризиків та попередження повторного ураження вірусом команда CERT-UA рекомендує, зокрема, змінити паролі облікових записів в мережі та інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх ІР-адрес та структуру мережі — схема мережі може бути відома зловмисникам, що полегшує реалізацію наступної атаки[20].

Акредитований центр сертифікації ключів органів юстиції України (АЦСК) разом з командою CERT-UA надали рекомендацію користувачам послуг електронного цифрового підпису (ЕЦП) замінити ЕЦП для подання електронної звітності у зв'язку з можливістю його компрометації[69][70]. Для підвищення рівня захисту користувачів послуг ЕЦП та держави в цілому, АЦСК реалізовано придбання та використання захищених носіїв особистих ключів. Однією з переваг використання захищених носіїв особистих ключів є те, що особистий ключ не записується на жорсткий диск комп'ютера, а зберігається безпосередньо у апаратному середовищі захищеного носія. Це забезпечує захист особистого ключа від несанкціонованого доступу зловмисників[71].

Німецьке федеральне агенство з безпеки інформаційних технологій (нім. Bundesamt für Sicherheit in der Informationstechnik, BSI) наголошує, що жертвами атаки могли стати навіть ті користувачі програми M.E.Doc, які не зназнали деструктивної дії хробака Petya. Оскільки бекдор був встановлений в оновлення програми M.E.Doc щонайменше з 13 квітня 2017 року, то і початок атаки слід віднести на цю дату[55].

Внаслідок шкідливої дії засобами бекдору могли бути скомпрометовані архівні файли зроблені починаючи з цієї дати. Федеральне агенство припускає, що із допомогою бекдору зловмисники могли приховано встановити шпигунські програми для викрадення даних з комп'ютерних мереж підприємств. Шкода від них може бути не меншою, аніж від відверто деструктивної дії хробака[55].

З огляду на всі ці обставини BSI радить ізолювати комп'ютери, на яких встановлено M.E.Doc в окремі мережеві сегменти. Вважати всі комп'ютери, на яких встановлено M.E.Doc, та всі комп'ютери, досяжні з них комп'ютерною мережею потенційно скомпрометованими. Тому слід змінити паролі, бажано перевстановити операційні системи, обмежити права адміністративних записів, використовувати на різних комп'ютерах різні паролі адміністратора, тощо. Також федеральне агенство радить звернутись по допомогу до фахівців з комп'ютерної безпеки для підвищення захисту і зміцнення інформаційних систем від несанкційованого втручання[55].

РезультатиРедагувати

ВикупРедагувати

Завдяки тому, що всі транзакції Bitcoin є повністю публічними, статистику переказів власнику віруса може побачити будь-хто. Нью-йоркський журналіст і програміст Кейт Коллінз створив акаунт у Твіттері, який автоматично оновлюється після кожної з операцій і показує поточний стан рахунку зловмисника.

Станом на 14:00 за Київським часом 28 червня зловмисник отримав більше 10 тис. $[15].

28 червня 2017 року Кабінет Міністрів України повідомив, що масштабна хакерська атака на корпоративні мережі та мережі органів влади була зупинена[72].

4 липня 2017 року, об 22:10 UTC з гаманця було знято майже 4 біткоіна вартістю близько $10 тисяч та переведено на інший гаманець. За кілька хвилин перед тим з гаманця були зроблені дрібні платежі в гаманці служб Pastebin та DeepPaste. Але за 11-12 хвилин до переведення коштів на сайтах DeepPaste та Pastebin від імені хакерів було розміщене звернення, в якому за 100 біткоїнів (близько $256 тисяч) хакери обіцяли передати приватний ключ для дешифрування файлів. Таку велику суму автори звернення пояснили тим, що цим ключем можна дешифрувати всі файли[73].

5 липня 2017 року журналістам видання Vice вдалось вийти на зв'язок із зловмисниками та передати їм на дешифрування один файл розміром не більше 1 мегабайту. Через дві години зловмисники передали журналістам розшифрований файл. Іншим доказом того, що зловмисники стоять за вірусом Petya є те, що звернення на Pastebin та DeepPaste були підписані приватним ключем з пари ключів вірусу Petya[74].

ВтратиРедагувати

Заступник голови адміністрації Президента України Дмитро Шимків, колишній директор представництва фірми Microsoft в Україні, заявив, що внаслідок атаки хробаком NotPetya було виведено з ладу близько 10 % персональних комп'ютерів в Україні (особистих, в державних та не державних установах і підприємствах)[75].

Проте усунення наслідків атаки вірусом-винищувачем NotPetya забрало істотні зусилля та час. Так, наприклад, компанія Reckitt Benckiser заявила, що частина комп'ютерних систем відновить свою нормальну роботу лише у серпні[76].

За оцінками концерну Maersk втрати компанії, особливо її підрозділів Maersk Line, Damco та APM Terminals вкупі будуть на рівні $200-300 млн (€170-256 млн за тогочасним курсом)[77].

У вересні 2017 року американська логістична та поштова компанія FedEx оприлюднила оцінку збитків у своєму дочірньому підприємстві у Нідерландах TNT Express. Так, через порушення нормальних робочих процесів підприємство оцінює свої збитки на рівні до $300 млн за перше півріччя 2017 року[78].

У фінансовій звітності за третій квартал 2017 року американська фармацевтична компанія Merck заявила про недоотримання виручки на суму до $240 млн, в основному, через тимчасову зупинку виробництва вакцини проти вірусу папіломи людини Гардасил в червні того ж року через ураження інформаційних систем заводу вірусом NotPetya. Внаслідок браку вакцин на тлі високого попиту компанія була вимушена запозичити певну кількість у Федерального центру контролю захворювань (англ. U.S. Centers for Disease Control, CDC)[79].

Список атакованих підприємствРедагувати

ПриміткиРедагувати

  1. СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya.A. СБУ. 1 липня 2017. Процитовано 1 липня 2017. 
  2. а б в г д Anton Cherepanov (4 Jul 2017). Analysis of TeleBots’ cunning backdoor. 
  3. а б в г David Maynor, Aleksandar Nikolic, Matt Olney, and Yves Younan (July 5, 2017). The MeDoc Connection. Cisco Talos. 
  4. Ukraine cyber attack: Chaos as national bank, state power provider and airport hit by hackers
  5. Ukrainian banks, electricity firm hit by fresh cyber attack
  6. Через масштабну вірусну атаку не працюють банки, медіа, сервіси
  7. Україною поширюється комп'ютерний вірус: атаковано десятки компаній та установ
  8. Вірус Petya.A. Хакери атакували банки
  9. Хакерська атака на Україну
  10. Вірус «Петя» паралізував роботу Кабміну
  11. Стало відомо, чим насправді виявилась кібератака на Кабмін. 30 червня 2017. Процитовано 23 липня 2017. 
  12. Кібератаки не було: у Кабміні пояснили, чому не працював їхній сайт. 29 червня 2017. Процитовано 23 липня 2017. 
  13. Кібератаку на корпоративні мережі та мережі органів влади зупинено
  14. Вірус "Петя". Як вберегтися від кібер-атаки. Українська правда. 27 червня 2017. Процитовано 28.06.2016. 
  15. а б в Скільки заробив автор вірусу Petya.A і які країни найбільше постраждали від його дій?. Tokar.ua (uk-UA). 2017-06-28. Процитовано 2017-06-28. 
  16. Демонстрація
  17. Як відновити дані
  18. а б в г д е ж и к л м Прикриттям наймасштабнішої кібератаки в історії України став вірус Diskcoder.C - кіберполіція. Департамент кіберполіції Національної поліції України. 05.07.2017. 
  19. Олег Дмитренко (28 Червня 2017). Кіберполіція: вірусна атака поширювалась через M.E.doc. Watcher. 
  20. а б в Нові подробиці щодо кібератаки 27.06.2017 з використанням Petya ransomware. CERT-UA. 05 липня 2017. 
  21. а б в г д е ж и к New ransomware, old techniques: Petya adds worm capabilities. Microsoft Malware Protection Center blog. 27 червня 2017 року. 
  22. Dave Lee. 'Vaccine' created for huge cyber-attack. BBC News. 
  23. а б У ПОЛІЦІЇ ВІДКРИТО 23 КРИМІНАЛЬНИХ ПРОВАДЖЕННЯ ЗА ФАКТАМИ ВТРУЧАННЯ В РОБОТУ КОМП'ЮТЕРНИХ МЕРЕЖ. Департамент кіберполіції. 28 червня 2017 р. 16:00. 
  24. Помилка цитування: Неправильний виклик <ref>: для виносок wls.30-2017 не вказаний текст
  25. Russell Brandom (July 3, 2017). Ukranian company that spread Petya could face criminal charges for vulnerability. The hack was easier than we thought. The Verge. 
  26. Paul McEvatt (June 30, 2017). Petya, Medoc and the delivery of malicious software. Fujitsu Information Security. 
  27. Вірус Petya: компанії M.E.Doc загрожує кримінальна справа. Факти.ICTV. 4 липня 2017. 
  28. Raphael Satter (4 липня 2017). Official: firm at center of cyberattack knew of problems. Associated Press. 
  29. СБУ викрила українського Інтернет-провайдера на незаконній маршрутизації трафіку до Криму в інтересах російських спецслужб (відео). Служба безпеки України. 1 червня 2017. 
  30. Інтернет для ФСБ, шпигунство та ігнорування указу Президента: СБУ пояснили обшуки в Wnet. 5 канал. 1 червня 2017. 
  31. Пост на офіційній сторінці 1С:Звіт у Фейсбук щодо наявності віруса в бібліотеці ZvitPublishedObjects.dll. 
  32. а б Павел Красномовец. Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать // ain, 24.05.2017. (рос.)
  33. Олександр Мельник. 5 фактів про новий вірус, який атакує український корпоративний сектор — як запобігти // Na chasi, 20.05.2017.
  34. Будьте пильні: вірусна атака на корпоративний сектор! — M.E.Doc, 22.05.2017.
  35. Максим Давыгора. Вирус-вымогатель XData. «Карантин» для M.E.Doc? // tucha, 25.05.2017. (рос.)
  36. а б в г д е The Grugq (27 червня 2017). Pnyetya: Yet Another Ransomware Outbreak. Medium.com. 
  37. а б Украина подверглась самой крупной в истории кибератаке вирусом Petya, habrahabr.ru, 27 червня 2017
  38. Hern, Alex (2017-06-28). Ransomware attack 'not designed to make money', researchers claim. The Guardian (en-GB). ISSN 0261-3077. Процитовано 2017-06-28. 
  39. а б CERT-EU-SA2017-014: Petya-Like Malware Campaign. CERT-EU. 27 червня 2017. 
  40. Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt. Posteo. 27.Juni 2017. 
  41. а б Andy Patel (2017-06-29). Petya: “I Want To Believe”. F-Secure. 
  42. How EternalPetya Encrypts Files In User Mode. F-Secure. 2017-07-04. 
  43. а б EternalPetya and the lost Salsa20 key. Malwarebytes Labs. June 29, 2017. 
  44. Symantec показала простий спосіб захисту від вірусу-здирника Petya. Уніан. 28 червня 2017. Процитовано 29 червня 2017. 
  45. Игорь Шаститко (29 червня 2017). Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов. KO. 
  46. Міноборони підтвердило: від вибуху загинув полковник ГУР
  47. а б Вірус-вимагач модифікований під Україну. В МВС розповіли подробиці найбільшої кібератаки. ESPRESO.TV. Процитовано 2017-06-28. 
  48. Збіг кібератаки і вбивства полковника Шаповала не є випадковим, — Турчинов
  49. Відновити файли після атаки вірусу Petya неможливо — експерти
  50. Мощная атака: в серверы «Роснефти» проник клон вируса WannaCry(рос.)
  51. Росію атакував такий же комп'ютерний вірус, як і Україну
  52. Хакерская атака на Украину распространяется по всему миру
  53. Global cyber attack hits IT systems in Ireland and the UK
  54. [1]
  55. а б в г Update: Cyber-Angriffswelle Petya – Bedrohung größer als bekannt. Bundesamt für Sicherheit in der Informationstechnik. 07.07.2017. 
  56. За дві доби до поліції надійшло 1,5 тисячі повідомлень про вірусне зараження комп'ютерних мереж. Департамент кіберполіції. 29 червня 2017. 
  57. СБУ спільно з іноземними партнерами продовжує роботу з локалізації розповсюдження шкідливого програмного забезпечення PetyaA. Служба безпеки України. 29-06-2017. 
  58. Вірус Petya: компанії M.E.Doc загрожує кримінальна справа. Факти.ICTV. 4 липня 2017. 
  59. Raphael Satter (4 липня 2017). Official: firm at center of cyberattack knew of problems. Associated Press. 
  60. Russell Brandom (Jun 28, 2017). The Petya ransomware is starting to look like a cyberattack in disguise. The Verge. 
  61. а б в г Andy Greenberg (28 червня 2017). Ukrainians Say Petya Ransomware Hides State-Sponsored Attacks. The Wired. 
  62. а б в Matt Suiche (28 червня 2017). Petya.2017 is a wiper not a ransomware. Comae technologeis. 
  63. Anton Ivanov, Orkhan Mamedov (June 28, 2017). ExPetr/Petya/NotPetya is a Wiper, Not Ransomware. Securelist. 
  64. Martijn Grooten (Jun 29, 2017). 48 hours after initial reports, many mysteries remain around the latest ransomware/wiper threat. Virus Bulletin. 
  65. Andy Patel (2017-06-30). (Eternal) Petya From A Developer’s Perspective. F-Secure. 
  66. Турчинов: вірус Petya провів через VPN український провайдер
  67. СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya.A. СБУ. 01-07-2017. 
  68. Масові хакерські атаки можуть бути організовані з Росії
  69. Пост на офіційній сторінці АЦСК органів юстиції щодо можливої компрометації ключів ЕЦП. 5 липня 2017. 
  70. Пост на офіційній сторінці Департаменту кіберполіціїї у Фейсбук з рекомендаціями щодо зміни ключів ЕЦП. 5 липня 2017. 
  71. АЦСК органів юстиції України надав рекомендації щодо заміни ЕЦП. CERT-UA. 05 липня 2017. 
  72. Кібератаку на корпоративні мережі та мережі органів влади зупинено
  73. Lorenzo Franceschi-Bicchierai (Jul 5 2017). Hackers Connected to NotPetya Ransomware Surface Online, Empty Bitcoin Wallet. Vice Motherboard. 
  74. Joseph Cox, Lorenzo Franceschi-Bicchierai (Jul 5 2017). Hackers Linked to NotPetya Ransomware Decrypted a File for Us. Motherboard Vice. 
  75. Дмитрий Шимкив: «От кибератаки вируса-шифровальщика Petya.A пострадало приблизительно 10% компьютеров в Украине». ITC.ua. 07.07.2017. 
  76. Danny Palmer (24 липня 2017). Petya ransomware: Companies are still dealing with aftermath of global cyberattack. ZDnet. 
  77. Fabian A. Scherschel (16.08.2017 ). NotPetya: Maersk erwartet bis zu 300 Millionen Dollar Verlust. Heise Online. 
  78. а б Martin Holland (22.09.2017 ). NotPetya: Auch Fedex kostet die Cyber-Attacke 300 Millionen US-Dollar. Heise Online. 
  79. а б NotPetya Infection Left Merck Short of Key HPV Vaccine. The Security Ledger. 27 жовтня 2017. 
  80. а б в Пострадавшие от кибератаки банки и компании: перечень
  81. Телеканал ICTV зазнав хакерської атаки
  82. а б "Укрлендфармінг" і "Авангард" Бахматюка зазнали хакерської атаки
  83. Євген Букет. Вітання Петру О. від “Пєті А.” до Дня Конституції
  84. а б в г Вирус Petya распространился по всей Европе — The Guardian

Див. такожРедагувати

ПосиланняРедагувати