Апокалипсис от “Petya.А.”

18 июля 2017, 12:35
0
294

Эксперты рекомендуют, как минимум, следовать рекомендациям СБУ по защите от вируса-вымогателя. А как максимум – нанять на постоянной основе отдельного специалиста или отдел специалистов, который будет

Апокалипсис от “Petya.А.

Украина до сих пор полностью не оправилась от масштабной хакерской атаки, которая началась во вторник, 27 июня, накануне Дня Конституции. Из-за вируса под названием «Petya.А.» работа десятков украинских банков, медиаресурсов, сайтов государственных органов и многих негосударственных предприятий была заблокирована.

Некоторые предприятия устраняют последствия "заражения" до сих пор. К примеру, отделения "Ощадбанка" только спустя три дня заработали в обычном режиме после кибератаки. Всего, по официальным данным Microsoft, было заражено почти 13 тысяч компьютеров. СБУ до сих пор работает над локализацией распространения вредоносного программного обеспечения вместе со специалистами из США и Европола. 

Кто стоит за "Петей"?

Специалисты сразу отметили сходство вируса «Petya.А.»  с "шифровальщиком" «WannaCry», который в мае заблокировал работу сотен учреждений в Европе и нанес миллиардный ущерб мировой экономике. В первую очередь тем, что хакеры использовали ту же самую уязвимость, что и создатели «WannaCry». Софт и уязвимость были добыты ими в открытом доступе на сайте Wikileaks куда их слили группировка «APT28»(Fancy Bear) после удачной атаки на сервера Агентства Национальной Безопасности.

О том, то вирус «Petya.А.» был разработан американскими спецслужбами, а потом украден хакерами, написала и "Нью-Йорк Таймс".

Но распространение вируса «Petya.А.» оказалось быстрее и масштабнее: только в Украине он заразил около 13 тысяч компьютеров на базе Windows. Компьютеры перегружались, а вся информация на них зашифровывалась.

Но стоит отметить, что пострадала от «Petya.А.» не одна Украина – также Германия, Польша, Румыния, Россия и другие страны мира. Но три четверти всех заражений пришлись именно на нашу страну.

Кто стоит за хакерской атакой и какая цель перед ней стояла, до сих пор доподлинно неизвестно.

Советник министра МВД Антон Геращенко считает, что кибератака была организована спецслужбами РФ. Многие украинские политики также предполагают, что за нападением могут стоять российские спецслужбы или близкие к ним хакерские группировки. Позже эту версию подтвердили и в Службе безопасности Украины

Немецкое Федеральное управление по информационной безопасности (BSI) и департамент киберполиции Украины назвали главным источником кибератаки украинскую программу бухгалтерской отчётности «M.E.Doc», в обновлениях которой якобы и "спрятался" вирус.

"Источник и главное направление кибератаки, по всей видимости, находятся в Украине, хотя нападение и приобрело глобальные масштабы", — говорится в заявлении BSI, опубликованном на официальном сайте организации.

Глава комитета по электронной коммерции интернет-ассоциации Украины, президент компании "Интернет инвест" Александр Ольшанский также уверен, что вирус распространился главным образом через «M.E.Doc.» "Но важно понимать, что любая программа, которая установлена у большого количества людей и апдейтится (обновляется) – это потенциальная угроза". 

Впрочем, в компании «M.E.Doc» отрицают причастность к распространению вируса «Petya» и утверждают, что сами подверглись заражению. 

"Исходный код программы «M.E.Doc» не содержит команды запуска приложения «Windows rundll32.exe», на который, как на причину атаки, ссылается Microsoft TechNet. Таким образом, в данной статье отсутствует обвинение программы «M.E.Doc» как источника заражения, по скольку они сами и стали жертвами хакеров. Единственное, о чем говорит статья - это иллюстрация того, что программа «M.E.Doc» запущена на ранее зараженном компьютере и, соответственно, сама подверглась заражению", – говорится в пресс-релизе на официальном сайте компании.

Впрочем, известно, что в мае этого года через систему обновления «M.E.Doc» распространялся аналогичный вирус-вымогатель «XData».

Однако эксперты отмечают, что обновления «M.E.Doc» были лишь одним из аккумуляторов заражения. "Вирус мог проникнуть в систему, если кто-то из сотрудников открыл сообщения на электронной почте с исполнительными файлами, но это могли быть и другие программы, не только «M.E.Doc». Пока что изучение путей проникновения «Petya.А.», продолжается, и однозначно сказать, кто виноват и кто за этим стоит, сложно"- директор Интернет Ассоциации Украины, Александр Федиенко.  

"Проверьте остатки по депозитам"


Изначально хакеры требовали выкуп за ключ разблокировки зараженных компьютеров в размере $300 в биткоинах. Стоит заметить, что те компании, которые перечислили вымогателям деньги, ключа от них так и не получили.  

При этом из-за колебаний курса биткоина вымогатели потеряли часть выкупа. Если еще утром 29 июня их прибыль составляла $12 тысяч, то уже к вечеру – чуть больше $10 тысяч.

Впрочем, эксперты делают вывод, что деньги и не были основным мотивом инициаторов глобальной кибератаки. К технической стороне вопроса вымогатели подошли грамотно, а вот к финансовой – подозрительно халатно.

"Следователи до сих пор не могут установить инициаторов последней глобальной кибератаки, но стратегия нападающих указывает, что не деньги были основным мотивом их действий", – говорится в сообщении главы Глобальной программы Организации Объединенных Наций (ООН) по киберпреступности Нил Уолш.

Программное обеспечение, использованное во время атаки, было значительно сложнее, чем то, которое использовалось в предыдущих атаках с применением вируса «WannaCry». Но, по мнению Нила Улоша, инициаторы новой атаки не опытны в вопросе сбора выкупа от жертв в обмен на разблокирование их компьютеров. Это, по его словам, позволило 28 июня заблокировать учетную запись и сделать невозможным получение денег.

По мнению IT-экспертов, вирус поразил не единичные компании и не ограничился банковскими учреждениями, хакеры намерены были нанести ущерб всей экономике Украины.

"Чего хотят добиться хакеры – это скорее вопрос к психологам. Я не знаю. Но сейчас они уже добились того, что в экономике страны случился коллапс. Все застыло. Эта атака, я считаю, была, сделала из экономических побуждений, нанести ущерб целой стране, а не отдельным компаниям. Это элемент терроризма. Кибер-терроризм", – заявил Александр Федиенко.

Пока доподлинно неизвестно, сколько денег потеряла экономика Украины за время вирусной атаки, когда вышли из строя компьютерные системы многих компаний.

Но эксперты отмечают, что пострадать от хакерской атаки незаметно для самих себя могли и рядовые граждане Украины. По их словам, "падением" компьютерных систем хакеры могли отвлечь внимание от незаконного проникновения в различные госреестры.

"Поскольку вся система в тот день (27 июня) подверглась атаке и долгое время была недоступна нотариусам, такой лазейкой могли воспользоваться злоумышленники. Советую людям, у которых есть недвижимость и другое ценное имущество, проверить свои документы", — передает слова адвоката Ивана Либермана "Вести".

А Олег Гороховский, экс-первый замглавы правления "ПриватБанка" (который от вируса «Petya. A» не пострадал), посоветовал украинцам на всякий случай проверить свои остатки на банковских счетах.

"Когда я слышу, что некоторые банки останавливались, а теперь "постепенно восстанавливаются" у меня сомнения, что все клиентские счета восстановлены корректно. Советую просто проверить свои остатки по картам, кредитам и депозитам. Результаты могут вас удивить. А банкам рекомендую всерьёз заняться ИТ. Банк 21-го века не может зависеть от того, в отпуске или нет сотрудник аутсорсинговой компании из России", – написал на своей странице в Фейсбук Олег Гороховский.

По мнению же Сергея Креймера, президента «Association of Troubleshooters», целью вируса было не уничтожение данных, не завладение имуществом и не деньги, а шпионство. По словам эксперта, злоумышленники получили контроль над всеми зараженными компьютерами и даже после возобновления работы могут ими управлять.

"Основная версия всех экспертов сводится к тому, что в последней вирусной атаке главным было поразить как можно больше компьютеров вредоносным кодом вируса-вымогателя. Однако даже после очистки компьютера от вируса-шифровальщика и возобновления работы, все равно на компьютерах остался вредоносный код типа Троян с функцией проверки открытых портов для обмена данными", – утверждает специалист, сотрудничающий с пострадавшими от вируса компаниями.

"Доподлинно известно лишь то, что при подключении очищенного компьютера к сети происходит попытка соединения с одним из интернет-сайтов, которого не существует в природе. Проблема заключается в том, что в случае активации данного интернет-адреса и загрузки туда вредоносного кода злоумышленники опять получают полный контроль над компьютером жертвы. На самом деле основная функция данного вируса шпионская. Более подробно о его назначении мы узнаем через несколько недель, когда получим протокол испытаний от наших немецких коллег-специалистов по компьютерной безопасности", – говорит Сергей Креймер.

Пока что эта информация официально нигде не подтверждалась. Но если так, сложно даже представить, к каким последствиям это может привести – ведь конечный план злоумышленников никому не известен.

Впрочем, пока что, пожалуй, главный ущерб, который нанес вирус «Petya.A» Украине – имиджевый. Государственные органы и компании нашей страны де-факто оказалась незащищенными и не готовыми к такой масштабной кибератаке – причем не от самого сложного вируса.


Какие выводы надо сделать?


Очевидно, что украинским компаниям (в первую очередь, государственным) стоит более серьёзно отнестись к информационной безопасности.

"Департаменты информационной безопасности в госструктурах должны сделать для себя выводы. Возможно, придётся глобально перестроить компьютерные сети на предприятиях, чтобы их сегментировать и минимизировать дальнейшее распространение вирусов", – отмечает Александр Федиенко.

Это тем более важно, что пренебрежение правилами кибербезопасности не в первый раз поставило под угрозу работу стратегически важных объектов инфраструктуры в Украине. Вирус «Petya. А» – уже третья по счёту кибератака в Украине за последние два года, хоть и первая столь масштабная. И может стать не последней.

Так, в декабре 2016 года хакерской атаке подверглись учреждения Минфина, коммерческие банки, объекты "Укрэнерго" и инфраструктуры. Из-за этого в Киеве на несколько часов исчезла электроэнергия. Последствия прошлого взлома государственные специалисты по кибербезопасности устраняли несколько недель, хотя заражение тогда также происходило довольно примитивным методом – через макросы в документах, которые рассылались по электронной почте.

Аналогичный случай произошел годом ранее, в декабре 2015-го: парализовав объекты "Укрэнерго", вирус «Black Energy» вызвал отключения электроэнергии. Теперь Украина столкнулась с вирусом «Petya.А», который поразил уже сотни украинских предприятий, некоторые из которых до сих пор устраняют последствия заражения.

Некоторые специалисты усматривают в этих атаках своеобразную проверку на прочность украинских стратегических ресурсов.

Главный вывод, который должны сделать для себя компании – не экономить на компьютерной безопасности. Это должно стать первоочередным вопросом для компаний любого уровня. Потому что мы все находимся в едином интернет-пространстве, и если даже маленькая компания пострадает от любого вируса, она может быть подрядчиком другой, средней компании, а та, в свою очередь, подрядчиком компании крупной. И по этой цепочке может произойти заражение на всех уровнях.

Эксперты рекомендуют, как минимум, следовать рекомендациям СБУ по защите от вируса-вымогателя. А как максимум – нанять на постоянной основе отдельного специалиста или отдел специалистов, который будет отслеживать виртуальные угрозы и работать на опережение.

"Конкретно в случае с этим вирусом самый простой рецепт не подцепить его — пользоваться не «Windows», а другой операционной системой, — сообщил в интервью "Стране" Дмитрий Дубилет. — "В "Привате", например, почти все наши станции работали на [операционной системе] «Linux» (наша версия Ubuntu). И дело не в том, больше «Windows» защищен или меньше по сравнению с другими ОС, а в том, что он — самая массовая ОС, потому вирусы обычно создают именно под него".

Эксперты прогнозируют, что украинские разработчики всерьёз займутся совершенствованием программного обеспечения и антивирусной защиты. Пока что главный совет специалистов – создавать резервные копии, пользоваться облачными сервисами, а самые важные файлы хранить на съёмных носителях.

"На самом деле, ничего кардинально нового не произошло – нам просто наступили на больной мозоль, – считает Александр Ольшанский. – А по большому счёту, никаких глобальных изменений в компьютерном мире этот вирус не принёс. Нам просто не повезло в связи с тем, как именно вирус распространялся, на какие компании и как быстро. Но главный вывод от вирусной атаки должно для себя сделать государство".

После недавней атаки вируса «Petya.А.» Минобороны решило создать кибервойска: министр обороны Украины Степан Полторак отметил, что Украина будет перенимать опыт Литвы в борьбе с киберпреступностью, а помогать ей в этом будет НАТО. Правда, результаты расследования декабрьских атак 2016 года до сих пор не обнародованы ни СБУ, ни киберполицией. 

Дмитрий Дубилет утверждает: "Если мы говорим о государственных органах, то кибербезопасность — это частный вопрос более широкого вопроса IТ. С IТ в нашем государстве, по моей оценке, все грустно. И вопрос вообще не в бюджетах на IТ (бюджеты как раз, по моей оценке, в Украине слишком раздутые), а в том, что, к сожалению, у нас катастрофически мало компетентных управленцев, которые хоть что-то понимают в IТ".

Эксперты настаивают: если ничего в плане информационной безопасности в Украине не изменится, не исключено, что страна может столкнуться с повторной хакерской атакой.  

На данный момент главный вопрос, который всех волнует, это кто же стоит за новым видом вируса, и уже как отметили все специалисты и хакеры, это не вирус шифровальщик, это вирус-вайпер, то есть «уничтожитель», «вредитель». С подобным уже вирусом США и Европа сталкивалась, это был вирус «Сатана», который попросту уничтожал данные безвозвратно. Правда его масштабы не были такими огромными, и «дыры» в его написание позволили быстро локализовать. С «Петей» все иначе, ведь в нем и «вымогатель» и «уничтожитель», из-за чего первые жертвы, которые заплатили, так и не получили ключ дешифратора, а кто получил не смогли восстановить свои данные. Силовые структуры сразу дали рекомендацию, что ни в коем случае не платить, и идти искать новые сервера, по сколько эти уже не подлежат восстановлению.

Возможно, мы имеем дело с очень хорошо подготовленной, обученной и бесстрашной хакерской мировой группировкой, в состав которой могут входить с каждой страны по несколько человек. Цель, которую они преследуют, пока заоблачная, но в некоторых чертах понятна. Все просто - кто владеет информацией, тот владеет миром. Если не финансовый характер пока их интересует, то желание власти точно. Как бы там не было, но нам стоит готовится ко второй атаке, ведь как показывает практика и говорят специалисты, это была всего лишь разведка боем. Весь театр ещё впереди.


Рубрика "Я - Корреспондент" является площадкой свободной журналистики и не модерируется редакцией. Пользователи самостоятельно загружают свои материалы на сайт. Редакция не разделяет позицию блогеров и не отвечает за достоверность изложенных ими фактов.
РАЗДЕЛ: Новости политики
ТЕГИ: Компьютеры,Украина-США,хакеры,Минобороны,СБУ,банки Украины,ПриватБанк,кибервойна,киберпреступность,кибератака,европейский союз,Европол,российские новости,експерти,биткоин,совет безопасности оон,новости Киева,новости Украины,хакерская атака,Приватбанк новости,киберполиция,вирус Petya A
Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции.