17 серпня 2017, четвер

Атака на Україну. Хто і для чого створив вірус Petya, – американський експерт з кібербезпеки

Енді Грінберг: Злочинці проявили дивовижну байдужість до грошової складової цього шкідливого ПО
wired.com

Енді Грінберг: Злочинці проявили дивовижну байдужість до грошової складової цього шкідливого ПО

Американський журналіст і експерт з кібербезпеки Енді Грінберг в колонці для Wired розповідає про новий вірус Petya, який паралізував Україну

Коли з території України по всій Європі раптово почав поширюватися вірус-вимагач, порушуючи роботу компаній, держустанов і критично важливих об'єктів інфраструктури, спочатку здалося, що це просто чергова хакерська програма, створена заради отримання прибутку - нехай навіть і особливо шкідлива. Але його поява в Україні, піднімає більш серйозні питання. Зрештою, підпільні хакери вже не перший рік ведуть там кібервійну. І, судячи з усього, це робиться за вказівкою Росії.

У міру з'ясування подробиць атаки українські фірми і державні структури, що працюють в сфері кібербезпеки, стверджують, що хакери, які стоять за цим вірусом-здирником під назвою Petya (також відомим, як NotPetya або Nyetya) - не просто злодії. Вони пов'язують ці атаки з політичною діяльністю, спрямованою на створення хаосу і руйнування українських інституцій, використовуючи потужні віруси, щоб приховати свої справжні мотиви. Деякі західні фахівці в сфері кібербезпеки, що стежать за Petya, дійшли до такого ж висновку.

Цілеспрямований підхід

У вівторок вранці українські ЗМІ першими почали висвітлювати ситуацію, пов'язану з розповсюдженням вірусу Petya, атаки якого зазнали українські банки, київський аеропорт Бориспіль, а також енергетичні компанії Київенерго і Укренерго.

У числі постраждалих також данська судноплавна компанія Maersk, російська нафтова компанія «Роснефть» і навіть американський фармацевтичний гігант Merck. Однак українські аналітики з кібербезпеки вважають, що головною метою є Україна, а спалах вірусу Petya - ще один удар в рамках вічної кібервійни з організованими і невблаганними хакерами, яких уряд України відкрито пов'язує з російськими державними структурами. «Думаю, акція спрямована проти нас, - впевнений Роман Боярчук, керівник Центру кіберзахисту і протидії кіберзагрозам, підрозділи Державної служби спеціального зв'язку та захисту інформації України. - Це точно не робота злочинців. Такі дії, найімовірніше, фінансуються на державному рівні».

Видалення основного завантажувального запису є візитно карткою групи кіберзлочинців, відомої як Sandworm

На питання про те, чи є цією державою-спонсором Росія, Боярчук зазначив: «Важко собі уявити, щоб хтось ще хотів цим займатися».

Боярчук вказує на час нападу: якраз напередодні Дня Конституції України. У вівторок країна також стала жертвою ще й цілеспрямованого акту фізичного насильства, коли в результаті вибуху замінованого автомобіля в Києві був убитий співробітник Головного управління розвідки МО України.

За словами українських аналітиків, в сфері безпеки, підтвердити цю теорію можуть докази більш технічної властивості. Фахівці київської компанії Information Systems Security Partners, яка першою вжила заходів захисту під час попередніх кібератак на українські підприємства і державні установи, знайшли докази того, що професійні хакери спокійно проникли в мережі деяких українських організацій за два-три місяці до того, як був запущений вірус-вимагач, який паралізував їх роботу.

За словами представника компанії ISSP, їхні фахівці також виявили, що вірус Petya діє не тільки як вірус-вимагач. Він не просто зашифровує заражені жорсткі диски і вимагає за ключ розшифровки $300 в біткоїни. У деяких випадках він просто стирає дані з комп'ютерів тієї ж мережі, видаливши з зараженого комп'ютера «головний завантажувальний запис», який містився всередині системи.

Видалення головного завантажувального запису є візитною карткою групи кіберзлочинців, відомої серед фахівців з кібербезпеки як Sandworm, яка дошкуляє Україні ось уже кілька років. Починаючи з жовтня 2015 року та аж до кінця минулого року група атакувала мережі українських ЗМІ, транспортної інфраструктури та державних міністерств і відомств. Вона двічі викликала відключення електрики, атакувавши енергосистеми України. Фахівці компанії FireEye, що працює в сфері кібербезпеки, пов'язують цих кіберзлочинців з Росією, грунтуючись на результатах дослідження командного сервера, що перебуває у відкритому доступі зловмисників, де є документи російською мовою, що пояснюють, як використовувати шкідливу програму.

Дивні злочинці

Підтвердити теорію про те, що вірус Petya спеціально націлений саме на Україну, поки не вдалося. До того ж, ця теорія не пояснює, чому шкідлива програма поширилася так далеко за межі України, завдавши збитків і російським об'єктам.

Але не тільки українці схиляються в бік гіпотези, згідно з якою вірус Petya - не інструмент для отримання грошей, а частина масштабної кампанії з державним фінансуванням, спрямованої проти України. Згідно з даними компанії Symantec, станом на ранок вівторка (за американським часом) більше 60% зафіксованих ними випадків зараження цим вірусом відбувалися в Україні, а це значить, що атака, найімовірніше, почалася саме там. Аналітики з кібербезпеки виявили, що в багатьох випадках зараження вірусом Petya відбувалося через файл оновлення українського додатку бухгалтерської програми MeDoc. За словами Крейга Вільямса, керівника аналітичної групи Talos, компанії, що ведуть податковий облік або взаємодіють з Україною у фінансовій сфері, використовують MeDoc досить широко. І це частково може бути однією з причин поширення програми-здирника за межі України.

Ця тактика також вказує на те, що вірус Petya «має дуже чітке уявлення про те, на кого йому треба впливати - підприємства і компанії, пов'язані з українським урядом, - каже Вільямс. - Цілком очевидно, що це політична заява».

Хоча мотиви зловмисників залишаються неясними, багато представників спільноти кібербезпеки приходять до єдиної думки, що в цьому випадку діють не звичайні злочинці, оскільки було проявлено дивовижну байдужість до грошової складової цього шкідливого ПЗ. Для спілкування з жертвами вірусу вони використовували вбудовані біткоїн-адрес, які легко відстежити, і адресу електронної пошти, яку було видалено власником протягом 12 годин з моменту початку атаки. Почасти тому нова версія вірусу Petya принесла творцям лише $10 тисяч.

Така невідповідність дозволяє припустити, що у них був прихований мотив, вважає Нік Уівер, аналітик в сфері комп'ютерної безпеки з Міжнародного інституту інформатики в Берклі. «Схоже, що під виглядом вірусу-здирника була розроблена шкідлива програма, призначена для виведення систем з ладу, - говорить Вівер. - Або вони просто схибили з вимаганням, або їх справжньою метою був збій роботи комп'ютерів, а основний ефект від цього повинна була відчути на собі Україна».

Все це наводить ще на одну думку, якою б дивною вона не здавалася, що блокування комп'ютерів і збиток, завданий компаніям в різних країнах - від США до Іспанії і навіть до Росії - можливо, є лише побічним явищем. Можливо, хакери продовжують свій тривалий наступ на Україну. Але цього разу біль України відчуває і весь інший світ.

Повну версію колонки читайте в Wired

Більше поглядів тут

Коментарі

1000

Правила коментування
Показати більше коментарів

Останні новини

ТОП-3 блога

Читайте на НВ style

Ми рекомендуємо ТОП-10

Погода
Погода в Киеве

влажность:

давление:

ветер: