wired Автор Wired magazine (wired)

міжнародни щомісячний журнал, що пише про вплив комп'ютерних технологій на культуру, економіку і політику. Належить видавництву Conde Nast (до складу якого також входять такі видання, як GQ і The New Yorker), має штаб-квартиру в Сан-Франциско (штат Каліфорнія). Контактиhttps://www.wired.com

Коли вчора з території України по всій Європі раптово почав поширюватися вірус-вимагач, який блокує мережі компаній, державних структур та об'єктів критично важливої ​​інфраструктури, спочатку здалося, що це просто чергова хакерська програма, спрямована на отримання прибутку — нехай навіть і особливо шкідлива. Але те, що вірус поширюється з території України, піднімає більш серйозні питання. Адже підпільні хакери ведуть там кібервійну протягом багатьох років — і, схоже, роблять вони це за вказівкою Росії.





Поступово, з'ясовуючи подробиці атаки представники українських фірм, що працюють в сфері кібербезпеки, і державних структур стверджують, що хакери, які стоять за цим вірусом-здирником під назвою Petya (відомим також як NotPetya або Nyetya) — це не просто злодії. Вони, скоріше, пов'язують ці атаки з політичними діячами, які прагнуть знову посіяти хаос і зруйнувати українські інститути, використовуючи потужні віруси-вимагачі, щоб приховати свої справжні мотиви. До такого ж висновку прийшли і деякі західні аналітики-фахівці в сфері кібербезпеки, які вивчають як лютує вірус Petya і відстежують його поширення.



Цілеспрямований підхід



У вівторок вранці українські ЗМІ першими почали широке висвітлення ситуації, пов'язаної з поширенням вірусу Petya, яким було вражено такі об'єкти, як українські банки, київський аеропорт Бориспіль, а також енергетичні компанії «Київенерго» і «Укренерго».



Жертвами вірусу Petya стали і багато інших об'єктів. У числі постраждалих — датська судноплавна компанія Maersk, російська нафтова компанія «Роснефть» і навіть американський фармацевтичний гігант Merck. Однак українські аналітики з кібербезпеки вважають, що головною метою є Україна. Спалах вірусу Petya — це просто ще один удар в рамках їх вічної кібервійни з організованими і нещадними хакерами, які, як відкрито заявляють українську владу, пов'язані з російськими державними структурами. «Думаю, що це було направлено проти нас, — каже Роман Боярчук, керівник Центру кіберзахисту і протидії кіберзагрозам, підрозділу Державної служби спеціального зв'язку та захисту інформації України. — Це точно — не робота злочинців. Швидше за все, за атакою стоїть держава».



На питання про те, чи є цією державою-спонсором Росія, Боярчук додав: «Важко уявити, щоб хтось ще захотів цим займатися».



Боярчук вказує на час нападу. Вірус атакував якраз напередодні Дня Конституції України, яка святкує свою незалежність, отриману після розпаду СРСР. У вівторок Україна стала жертвою ще й цілеспрямованого акту фізичного насильства, коли в результаті вибуху замінованого автомобіля в Києві загинув співробітник Головного управління розвідки Міністерства оборони України.



За словами деяких українських аналітиків у сфері безпеки, підтвердженням цієї теорії служать докази більш технічної властивості. Київська компанія Information Systems Security Partners (ISSP) займається питаннями безпеки інформаційних систем і першою вжила заходів захисту під час кількох останніх серій кібератак на українські підприємства і державні установи. За словами її представника, фахівці компанії знайшли докази того, що професійні хакери спокійно отримали доступ до мереж щонайменше деяких українських об'єктів за два-три місяці до того, як був запущений вірус-вимагач, який і паралізував роботу цих організацій.



«Відповідно до проміжних даних, отриманих в результаті проведеного нами аналізу, наші аналітики прийшли до висновку, що руйнівний вплив на інфраструктуру досліджуваних нами організацій здійснювалося за допомогою [програм-вимагачів]. Але це відбувалося ще й за безпосередньої участі зловмисників, які вже якийсь час несанкціоновано перебували в інфраструктурі», — написав в електронному листі виданню WIRED судовий експерт компанії Олексій Ясинський. Надати докладнішу інформацію про докази цих тривалих вторгнень компанія ISSP відмовилася але, як стверджує її представник, методи, що застосовувалися зловмисниками, схожі на ті, що використовувалися при попередніх атаках, скоєних в 2015 і 2016 роках. Президент України Петро Порошенко назвав ті зломи актами агресії в рамках «кібервійни», яку ведуть російські спецслужби і військова розвідка. Ясинський відмовився назвати постраждалі від вірусу Petya організації, в мережах яких були виявлені сліди зловмисників. Але він зазначає, що в їх числі є один з найбільших українських банків і компанія, що відноситься до об'єктів критично важливої ​​інфраструктури.



За словами представника компанії ISSP, їх фахівці також виявили, що вірус Petya діє не тільки як вірус-вимагач. Він не просто шифрує заражені жорсткі диски і вимагає за ключ розшифровки 300 доларів в біткоінах. У деяких випадках він просто видаляє дані в комп'ютерах тієї ж мережі, видаливши з зараженого комп'ютера знаходилася всередині системи «головний завантажувальний запис». Вона містить інформацію про те, як завантажити його операційну систему. Ясинський стверджує, що, судячи з поведінки зловмисників, вони насправді не намагалися вимагати гроші у своїх жертв, а хотіли завдати максимальної шкоди системі. Як припускає Ясинський, хакери, можливо, ще й намагалися «видалити сліди» попередніх операцій, щоб позбавити слідчих можливості в повній мірі оцінити масштаб їх проникнення, намагаючись повністю видалити дані з атакованих мереж.



Видалення з комп'ютера головного завантажувального запису також є візитною карткою групи кіберзлочинців, відомої серед фахівців з кібербезпеки як Sandworm, яка переслідує Україну протягом декількох років. Починаючи з жовтня 2015 року та аж до кінця минулого року група атакувала мережі українських ЗМІ, транспортної інфраструктури та державних міністерств і відомств. Вона двічі викликала віялові відключення (blackouts), атакувавши енергосистеми України. Фахівці компанії FireEye, що працює в сфері кібербезпеки, вважають, що ці кіберзлочинці пов'язані з Росією.



Вони обґрунтовують свої висновки на результатах дослідження, що знаходиться у відкритому доступі командного сервера, яким користувалися зловмисники. На сервері є документи російською мовою, що пояснюють, як використовувати шкідливу програму, яку зловмисники встановили на комп'ютерах, які їх цікавили.



Незвичайні злочинці



Підтвердити теорію про те, що вірус Petya спеціально «націлений» на Україну, поки що не вдалося. До того ж, ця теорія не пояснює в достатній мірі, чому шкідлива програма поширилася так далеко за межі України, завдавши збитків і російським об'єктам.



Однак не тільки українці схиляються в бік гіпотези, згідно з якою вірус Petya був створений не як спосіб отримання грошей, а як інструмент для використання в рамках кампанії, що фінансується державою і спрямований саме проти України. Згідно з даними компанії Symantec, станом на ранок вівторка (в США) більше 60% зафіксованих ними випадків зараження цим вірусом відбувалися на Україні, а це значить, що атака, швидше за все, почалася там. Аналітики з кібербезпеки у вівторок виявили, що в багатьох випадках зараження вірусом Petya відбувалося через файл оновлення українського додатку бухгалтерської програми MeDoc. За словами Крейга Вільямса (Craig Williams), керівника аналітичної групи компанії Talos (підрозділу Cisco), — «компанії, що ведуть податковий облік або взаємодіють з Україною у фінансовій сфері, використовують MeDoc досить широко. І це частково може бути однією з причин поширення програми-здирника за межі України».



Застосовувана тактика також вказує на те, що вірус Petya «має дуже чітке уявлення про те, на кого йому треба впливати — це підприємства і компанії, пов'язані з українським урядом», говорить Вільямс. «Цілком очевидно, що це політичний сигнал», — зазначає він.



Українська поліція також зазначила, що крім програмного забезпечення MeDoc поширенню вірусу Petya сприяла фішингова розсилка. А це може означати ретельний відбір об'єктів для зараження вірусом-здирником, заснований не на випадковому поширенні «хробака», а на виборі мови, якою говорить жертва. Правда, інші аналітики, які працюють в сфері кібербезпеки, не змогли підтвердити ці твердження.



Хоча мотиви кіберзлочинців залишаються неясними, багато представників спільноти кібербезпеки приходять до єдиної думки, що в цьому випадку діють не звичайні злочинці. Крім трюку з оновленням програми MeDoc вірус Petya також поширюється в мережі через різні автоматизовані інструменти, що використовують не зовсім зрозумілі протоколи Microsoft на зразок інструментарію управління windows, програми PSExec і блоки серверних повідомлень SMB, які відрізняються високим рівнем складності. Проте злочинці проявили дивовижну байдужість до грошової складової цього шкідливого ПО. Для спілкування з жертвами вірусу вони використовували вбудований біткоін-адресу, яку легко відстежити, і адреса електронної пошти, яка була «видалена» власником протягом 12 годин з моменту початку атаки. Тому з новою версією вірусу Petya кіберзлочинці заробили мізерну суму — якихось 10 тисяч доларів.



Така «невідповідність» дозволяє припустити, що у них був прихований мотив, вважає Нік Уівер (Nick Weaver), аналітик в сфері комп'ютерної безпеки з Міжнародного інституту інформатики в Берклі. «Схоже, що під виглядом вірусу-здирника була розроблена шкідлива програма, призначена для виведення систем з ладу, — говорить Вівер. — Або вони з незрозумілих причин просто схибили з вимаганням. Або ж справжньою метою був збій роботи пристроїв, причому зроблено це було таким чином, щоб ефект відчули в Україні».





Все це наводить ще на одну думку (якою б дивною вона не здалася) про те, що блокування комп'ютерів і збитки, нанесені компаніям в різних країнах — від США до Іспанії і навіть в Росії — можливо, є лише «випадковими втратами», побічними наслідками. Не виключено, що насправді хакери продовжують тривалий наступ на Україну. Але на цей раз «біль» відчуває і весь інший світ.



Автор: Энді Грінберг (Andy Greenberg)

  • Джерело: https://www.wired.com/story/petya-ransomware-ukraine/

Теги

Похожие материалы

  • Кібер-зброя АНБ проти України

    За минулий місяць вкрадена з арсеналів АНБ кіберзброя застосовувалася проти двох дуже різних партнерів США — Британії та України. АНБ мовчить, не визнаючи свою причетність до розробки цієї зброї. Чиновники з Білого дому...

  • Сепаратисти вимагають гроші у ОБСЄ за "кришування"

    «Так що тепер — рекет?» — Так, відповідає голос на іншому кінці дроту. «Вимагання грошей у ОБСЄ» . Голос належить одній з двох добре поінформованих осіб з двох західних країн, які тільки що підтвердили в інтерв'ю цій газеті: на Сході...

  • Як Україна опинилася в пастці між Сходом та Заходом

    У жовтні 1994 року міністр закордонних справ України Борис Тарасюк приїхав до Вашингтона. Там він зустрівся з заступником держсекретаря США Строубом Телботтом (Strobe Talbott) , в розмові з яким Тарасюк підняв питання про розширення НАТО....

  • Так, ми знову повинні боятися війни

    Ми повинні бути обережними, щоб не звикнути до цієї ідеї. Давайте захистимо себе від пророцтв, які збуваються, навіть незважаючи на те, що в повітрі все більш чітко відчувається запах війни, відчуття, що ось-ось щось вибухне. Відчувається...

  • Вашингтон має намір поставляти Україні зброю

    Тим (здебільшого, європейцям) , хто не розуміють суть конфлікту, що розгортається на сході України, Курт Волкер дає категоричну відповідь: «В обстановці, коли перемир'я порушувалося понад тисячу раз, і кожен день гинуть люди, говорити про...