Хакери б'ють по Україні, а відгомони чути по всьому світу

Хакерська атака на Україну зацікавила американських фахівців

Хакери б'ють по Україні, а відгомони чути по всьому світу
The Guardian

Wired Magazine

Інтернет-ЗМІ

Хакерська атака на Україну зацікавила американських фахівців

Оригінал на сайті Wired Magazine

Коли вчора з території України по всій Європі раптово почав поширюватися вірус-вимагач, блокуючий мережі компаній, державних структур та об'єктів критично важливої інфраструктури, спочатку здалося, що це просто чергова хакерська програма, спрямована на отримання прибутку — нехай навіть і особливо шкідлива. Але те, що вірус поширюється з території України, піднімає серйозні питання. Адже підпільні хакери ведуть там кібервійну протягом багатьох років — і, схоже, роблять вони це за вказівкою Росії.

Новини за темою

Після з'ясування подробиць атаки представники українських фірм, що працюють у сфері кібербезпеки, і державних структур стверджують, що хакери, які стоять за цим вірусом-здирником під назвою Petya (відомим також як NotPetya, або Nyetya) — це не просто злодії. Вони, скоріше, пов'язують ці атаки з політичними діячами, які прагнуть знову посіяти хаос і зруйнувати українські інститути, використовуючи потужні віруси-вимагачі, щоб приховати свої справжні мотиви. До такого ж висновку дійшли і деякі західні аналітики-спеціалісти в сфері кібербезпеки, які вивчають вірус Petya і відстежують його поширення.

Цілеспрямований підхід

У вівторок вранці українські ЗМІ першими почали широке висвітлення ситуації, пов'язаної з поширенням вірусу Petya, атаки якого зазнали такі об'єкти, як українські банки, київський аеропорт "Бориспіль", а також енергетичні компанії "Київенерго" та "Укренерго".

Жертвами вірусу Petya стали і багато інших об'єктів. Серед потерпілих — датська судноплавна компанія Maersk, російська нафтова компанія "Роснефть" і навіть американський фармацевтичний гігант Merck. Однак українські аналітики з кібербезпеки вважають, що головною метою є Україна. Спалах вірусу Petya — це просто ще один удар у рамках їх вічної кібервійни з організованими і нещадними хакерами, які, як відкрито заявляє українська влада, пов'язані з російськими державними структурами. "Думаю, що це було спрямовано проти нас, — каже Роман Боярчук, керівник Центру кіберзахисту і протидії кіберзагрозам, підрозділу Державної служби спеціального зв'язку та захисту інформації України. — Це точно — не робота злочинців. Швидше за все, за нападом стоїть держава".

На запитання про те, чи є цією державою-спонсором Росія, Боярчук додав: "Важко уявити, щоб хтось захотів ще цим займатися".

Боярчук вказує на час нападу. Вірус атакував якраз напередодні Дня Конституції України. У вівторок Україна стала жертвою ще й цілеспрямованого акту фізичного насильства, коли в результаті вибуху замінованого автомобіля загинув співробітник Головного управління розвідки Міністерства оборони України.

Новини за темою

За словами деяких українських аналітиків у сфері безпеки, підтвердженням цієї теорії служать більш технічні докази. Київська компанія Information Systems Security Partners (ISSP) займається питаннями безпеки інформаційних систем і першою вжила заходів захисту під час кількох останніх серій кібератак на українські підприємства і державні установи. За словами її представника, фахівці компанії знайшли докази того, що професійні хакери спокійно проникли в мережі щонайменше деяких українських об'єктів за два-три місяці до того, як було запущено вірус-вимагач, який паралізував роботу цих організацій.

"Згідно з проміжними даними, отриманими в результаті проведеного нами аналізу, наші аналітики прийшли до висновку, що руйнівний вплив на інфраструктуру досліджуваних нами організацій здійснювався за допомогою програм-вимагачів. Але це відбувалося ще й за безпосередньої участі зловмисників, які незаконно проникли в мережу та вже певний час перебували в інфраструктурі", — написав в електронному листі виданню WIRED судовий експерт компанії Олексій Ясинський. Надати більш детальну інформацію про докази цих тривалих вторгнень компанія ISSP відмовилася, але, як стверджує її представник, методи, які використовувалися зловмисниками, схожі на ті, що використовувалися при попередніх атак, скоєних у 2015 і 2016 роках. Президент України Петро Порошенко назвав ті зломи актами агресії в рамках "кібервійни", яку ведуть російські спецслужби і військова розвідка. Ясинський відмовився назвати потерпілі від вірусу Petya організації, у мережах яких було виявлено сліди зловмисників. Але він зазначає, що серед них є один із найбільших українських банків та компанія, яка відноситься до об'єктів критично важливої інфраструктури.

За словами представника компанії ISSP, їхні фахівці також виявили, що вірус Petya діє не тільки як вірус-вимагач. Він не просто зашифровує заражені жорсткі диски і вимагає за ключ розшифровки 300 доларів у біткоїнах. У деяких випадках він просто стер дані в комп'ютерах мережі, видаливши з зараженого комп'ютера "основний завантажувальний запис", що знаходиться всередині системи. Він містить інформацію про те, як завантажити операційну систему. Ясинський стверджує, що, судячи з поведінки зловмисників, вони насправді не намагалися вимагати гроші у своїх жертв, а хотіли завдати максимальної шкоди системі. Як припускає Ясинський, хакери, можливо, ще й намагалися "видалити сліди" попередніх операцій, щоб позбавити слідчих можливості в повній мірі оцінити масштаб їх проникнення, намагаючись повністю видалити дані з атакованих мереж.

Видалення з комп'ютера основного завантажувального запису також є візитною карткою групи кібершахраїв, відомої серед фахівців з кібербезпеки як Sandworm, яка переслідує Україну протягом декількох років. Починаючи з жовтня 2015 року і аж до кінця минулого року група атакувала мережі українських ЗМІ, транспортної інфраструктури та державних міністерств і відомств. Вона двічі викликала віялові відключення, атакувавши енергосистеми України. Фахівці компанії FireEye, що працює в сфері кібербезпеки, вважають, що ці кіберзлочинці пов'язані з Росією.

Новини за темою

Вони засновують свої висновки на результатах дослідження командного сервера, який знаходиться у відкритому доступі та яким користувалися зловмисники. На сервері є документи російською мовою, що пояснюють, як використовувати шкідливу програму, яку зловмисники встановили на комп'ютерах, що їх зацікавили.

Незвичайні злочинці

Підтвердити теорію про те, що вірус Petya спеціально "націлено" на Україну, поки ще не вдалося. До того ж, ця теорія не пояснює достатнім чином, чому шкідлива програма поширилася так далеко за межі України, завдавши збитків і російським об'єктам.

Однак не тільки українці схиляються на бік гіпотези, згідно з якою вірус Petya було створено не як спосіб отримання грошей, а як інструмент для використання в рамках кампанії, що фінансується державою і спрямована проти України. Згідно з даними компанії Symantec, станом на ранок вівторка (в США) більше 60% зафіксованих ними випадків зараження цим вірусом відбувалися в Україні, а це значить, що атака, швидше за все, почалася там. Аналітики з кібербезпеки у вівторок виявили, що у багатьох випадках зараження вірусом Petya відбувалося через файл оновлення українського додатку бухгалтерської програми MeDoc. За словами Крейга Вільямса, керівника аналітичної групи компанії Talos (підрозділу Cisco, що займається дослідженням і аналізом загроз для інформаційної безпеки), компанії, що ведуть податковий облік або взаємодіють з Україною у фінансовій сфері, використовують MeDoc досить широко. І це частково може бути однією з причин поширення програми-здирника за межі України.

Застосовувана тактика також вказує на те, що вірус Petya "має дуже чітке уявлення про те, на кого йому треба впливати — це підприємства і компанії, пов'язані з українським урядом", говорить Вільямс. "Абсолютно очевидно, що це політичний сигнал", — зазначає він.

Українська поліція також зазначила, що крім програмного забезпечення MeDoc поширенню вірусу Petya сприяла фішингова розсилка. А це може означати ретельний відбір об'єктів для зараження вірусом-вимагачем, заснований не на випадковому поширенні "хробака", а на виборі мови, якою говорить жертва. Правда, інші аналітики, що працюють у сфері кібербезпеки, не змогли підтвердити ці твердження.

Хоча мотиви кіберзлочинців залишаються неясними, багато представників спільноти кібербезпеки приходять до єдиної думки, що в цьому випадку діють не звичайні злочинці. Крім трюку з оновленням програми MeDoc вірус Petya також поширюється в мережі через різні інструменти, які використовують не зовсім зрозумілі протоколи Microsoft на зразок інструментарію керування Windows, програми PSExec і блоки серверних повідомлень SMB, які відрізняються високим рівнем складності. Проте злочинці проявили дивовижну байдужість до грошової складової цього шкідливого ПЗ. Для спілкування з жертвами вірусу вони використовували вбудовану біткоїн-адресу, яку легко відстежити, та адресу електронної пошти, яку було "видалено" власником протягом 12 годин від моменту початку атаки. Тому з новою версією вірусу Petya кібершахраї заробили мізерну суму — якихось 10 тисяч доларів.

Таке "нестикування" дозволяє припустити, що у них був прихований мотив, вважає Нік Вівер, аналітик у сфері комп'ютерної безпеки з Міжнародного інституту інформатики в Берклі. "Схоже, що під видом вірусу-здирника була розроблена шкідлива програма, призначена для виведення систем з ладу, — говорить Вівер. — Або вони з незрозумілих причин просто помилилися з вимаганням. Або ж справжньою метою був збій роботи пристроїв, причому зроблено це було таким чином, щоб ефект відчули в Україні".

Новини за темою

Все це наводить ще на одну думку (якою б дивною вона не здалася) про те, що блокування комп'ютерів і збиток, нанесений компаніям у різних країнах — від США до Іспанії і навіть у Росії — можливо, є лише "випадковими втратами", побічними наслідками. Не виключено, що насправді хакери продовжують тривалий наступ на Україну. Але цього разу біль відчуває і весь інший світ.

Енді Грінберг

Переклад ИноСМИ

Редакція може не погоджуватися з думкою автора. Якщо ви хочете написати в рубрику "Думка", ознайомтеся з правилами публікацій і пишіть на blog@112.ua.

відео по темі

Новини за темою

Новини за темою

Новини партнерів

Загрузка...

Віджет партнерів

d="M296.296,512H200.36V256h-64v-88.225l64-0.029l-0.104-51.976C200.256,43.794,219.773,0,304.556,0h70.588v88.242h-44.115 c-33.016,0-34.604,12.328-34.604,35.342l-0.131,44.162h79.346l-9.354,88.225L296.36,256L296.296,512z"/>