Virus_Vova

Связанные с Россией хакеры превратили Украину в полигон для испытания кибероружия, которое в дальнейшем Кремль готов использовать против куда более грозных оппонентов — США и ЕС

Галина Корба, Иван Верстюк

Утром 27 июня тысячи украинских чиновников, десятки тысяч предпринимателей и сотни тысяч прочих граждан приступили к своим обычным делам, еще не зная, что уже после обеда все они окажутся в ступоре. Госбюрократы не смогут выполнять свои функции, бизнес-структуры перестанут работать и начнут подсчитывать убытки, а обыватели не получат самых ординарных и привычных услуг: не сумеют снять деньги в банке, расплатиться в магазине карточкой или получить доступ к собственному электронному досье в медицинской клинике.

В тот вторник страна подверглась мощнейшей кибератаке — сервера государственных и корпоративных сетей парализовал вирус Petya.A. Его активность эксперты отметили в 64 странах мира. Однако, по данным разработчиков словацкого антивируса ESET, более 75 % атак Petya.A пришлись на Украину.

Хакеры торпедировали деятельность энергогенерирующих и энергоснабжающих компаний, объектов транспорта, ряда банковских учреждений, телекоммуникационных компаний. Вирус атаковал и Кабинет министров.

Александр Турчинов, секретарь СНБО, уже назвал атаку “элементом гибридной войны против Украины”, а СБУ распространила заявление, в котором заказчиком диверсии названы спецслужбы РФ.

Киберкатастрофа стала самой мощной за последние три года тайной цифровой войны, в центре которой оказалась Украина после свержения режима Виктора Януковича, оккупации Россией Крыма и начала боевых действий на Донбассе.

По данным отечественных и международных аналитиков, начиная с 2014‑го страну терроризируют хакерские группировки россиян — КиберБеркут, SandWorm, APT29 и Царская команда. “Вы действительно не сможете найти место в Украине, где не было нападения”,— говорит Кеннет Гирс, специальный представитель НАТО по кибербезопасности, которого цитирует международное издание Wired.

Эксперты из США и НАТО все чаще обращают внимание на украинские события. Делают они это не столько из любопытства, сколько из соображений безопасности: на Западе считают, что российские структуры отрабатывают в Украине владение кибероружием, следующей целью которого станут Штаты или европейские страны. И вмешательство российских хакеров в американские выборы лишь подтверждает обоснованность подобных опасений.

Алексей Ясинский, руководитель отечественной компании ISSP Labs, разработчика решений по информационной безопасности, также уверен: Украина — это не столько конечная цель, сколько полигон. Мол, у хакеров во время их многочисленных атак на энергетические и государственные структуры, была возможность добиться действительно разрушительных, необратимых последствий. Но они всякий раз отступали, как будто во время учений.

Если же отработанные в Украине механизмы хакеры Кремля применят в странах Запада, где уровень автоматизации намного выше, ущерб будет существенно больше, уверен Ясинский. “В структурах, где сохраняется механическое управление [как сейчас в Украине], риски гораздо ниже,— поясняет он.— Когда большинство процессов автоматизировано, киберсоставляющую можно расценивать как высокоэффективное оружие”.

Жертвами подобного оружия, если его применение приведет к техногенной катастрофе, могут стать тысячи людей — и это касается как Украины, так и США с Евросоюзом.

27 июня в компании экспресс-доставки Нова пошта — крупнейшей частной структуры в этой сфере в стране — обещал стать расслабленным днем накануне госпраздника, Дня Конституции. Так оно и было, пока в 14:00 департамент IT-безопасности не засек вирусную атаку в центральном офисе. В итоге временно “лег” сайт и все электронные системы компании, а отделениям пришлось прекратить обслуживание клиентов.

И хотя основные системы удалось запустить в течение нескольких часов, полностью компания не восстановилась даже спустя неделю. “Контакт-центр работает в ограниченном режиме”,— говорят в пресс-службе компании, уверяя, что Нова пошта усиленно ищет способы по предотвращению таких атак в будущем.

В тот день десятки крупнейших украинских компаний и госучреждений пали жертвами спланированного кибернаступления. Среди пострадавших оказались министерства и правительство, крупнейшие коммерческие и государственные банки, СМИ, промышленные холдинги и даже стратегические предприятия вроде Укрэнерго, Киевводоканала и Укрзализныци.

Ущерб для всех оказался разным. Одни отделались неработающим сайтом, других атака полностью вывела из строя. В частности, Ощадбанку пришлось на пять дней перейти “на режим консультаций” и не проводить операций. Всего в дни атаки украинская киберполиция зафиксировала более 2 тыс. жалоб и открыла более 60 уголовных производств.

Вирус Petya.A, который показал свою силу 27 июня, сам по себе довольно прост, говорит Юрий Марченко, гендиректор украинской компании Накитель, разрабатывающей технологические решения для безопасности. Заражая отдельные компьютеры, а через них и целые сети, он, как и многие его “сородичи”, использует уязвимость операционных систем Windows, чтобы зашифровать файлы и заблокировать к ним доступ.

Специалистов насторожил механизм внедрения вируса в системы госучреждений. По данным СБУ, заражение компьютеров вредоносными файлами произошло задолго до самой атаки. Хакеры использовали обновление бухгалтерского продукта M. E.Doc.

“Комплексность использования этих технологий, их сочетание и уникальный для Украины способ проникновения в сеть организаций впервые привели к таким масштабным последствиям”,— говорит Виктор Жора, директор украинской компании Инфосейф ИТ. Атака 27 июня, по его словам, не имеет аналогов по массовости распространения и нанесенному ущербу.

За дешифрацию файлов хакеры требовали от пострадавших выкуп в $ 300, которые следовало перечислить в биткоинах. Но, по наблюдениям специалистов, вымогательство служило лишь прикрытием для истинных мотивов. Организация атаки обошлась злоумышленникам примерно в $ 20 тыс., собрать же они смогли вдвое меньше.

“А поскольку даже уплаченные пострадавшими деньги не давали ключ расшифровки, скорее всего это была политическая акция”,— говорит Жора.

В этом не сомневается Олег Сыч, технический директор украинского производителя антивирусов Zillya!. Он считает, что силой, атаковавшей украинские сети, стали россияне. “Российские хакеры вполне могли таким образом реагировать на запрет российских соцсетей и бухгалтерской программы 1С,— говорит он.— К тому же атака произошла в канун Дня Конституции, а президент РФ любит знаковые вещи, чтобы нанести максимальный имиджевый удар по стране”.

Для Сыча очевидно, что действия злоумышленников явно подстраивали под украинские реалии. “Наши корпоративные сети устроены так: есть общий администратор сети с одним логином и одним паролем,— поясняет эксперт.— А атака как раз и была заточена на получение доступа к правам админа”. Заразив один компьютер, вирус мог навредить всей компании.

“К организации этой атаки причастны хакерские группировки, которые в свое время атаковали украинские энергетические объекты,— заявил по итогам расследования кибератаки 27 июня глава СБУ Василий Грицак.— Настоящий мотив, как мы понимаем,— дестабилизация ситуации в нашем государстве”.

Представители украинских силовых структур рассматривают вирус Petya.A как еще один элемент тянущейся уже четвертый год гибридной войны с Россией.

Одним из первых громких проявлений действий хакеров стали удары по Центризбиркому во время внеочередных президентских выборов 2014 года. Тогда злоумышленники ненадолго “вывели” в лидеры гонки кандидата от Правого сектора Дмитрия Яроша, который на самом деле набрал всего 1 % голосов избирателей. Этот момент позволил российскому Первому каналу раструбить на весь мир о страшных националистах, рвущихся к власти в Киеве.

Операцию провернула пророссийская группировка КиберБеркут. Далее она, а также еще три схожие структуры с российскими корнями и связями с Кремлем — SandWorm, APT29 и Царская команда — неоднократно вмешивались в деятельность украинских организаций. Причем, по словам Сыча, россиянам вполне могут оказывать помощь хакеры самопровозглашенных “ДНР” и “ЛНР”: в регионе довольно много экспертов в сфере кибербезопасности, которые активно искали работу после начала военных действий.

Чем дальше, тем агрессивней становились кибератаки. За последние три года Украина подвергалась подобным нападениям примерно 7 тыс. раз, утверждает министр обороны Степан Полторак.

Самые масштабные из них состоялись зимой 2015 года. Тогда хакеры с помощью вируса BlackEnergy вывели из строя сразу шесть стратегических энергокомпаний Украины, обесточив 103 населенных пункта и дома четверти миллиона украинцев. По данным отечественного Минэнерго, эту атаку хакеры готовили более полугода. Запустить системы удалось лишь в ручном режиме.

Спустя два месяца эксперты министерства внутренней безопасности США, расследовавшие это беспрецедентное даже по мировым меркам событие, признали: за тотальным сбоем в энергосистеме стояли именно хакеры. В дальнейшем Элизабет Шервуд-Рэндалл, заместитель министра энергетики США, прямо обвинила в инциденте Россию.

Еще более сузила круг подозреваемых американская компания iSight Partners, специализирующаяся на вопросах киберразведки. По ее данным, за атакой стояли хакеры российской группировки SandWorm.

Для американцев SandWorm — давние знакомые: именно эта группа в 2013–2014 годах вела шпионаж в структурах НАТО, а также в США и странах Запада. Причем с использованием той же технологии, что и в Украине,— вируса BlackEnergy.

SandWorm запустили BlackEnergy в сетях американских энергетических и водных предприятий.

Причем когда аналитики американской компании FireEye, занимающейся вопросами кибербезопасности, анализировали вредоносную программу, то нашли инструкции к вирусу, написанные на русском языке.

Подобные пересечения — когда в Украине и на Западе действуют одни и те же хакеры — заставили многих мировых экспертов говорить о том, что происходящее на берегах Днепра — лишь прелюдия к чему‑то большему.

“Россия использует Украину как полигон, лабораторию для улучшения новых способов ведения глобальной онлайн-войны,— считает эксперт Энди Гринберг.— И цифровые бомбы, которые Россия неоднократно устанавливала в Украине,— те же, что устанавливались как минимум однажды в гражданской инфраструктуре США”.

Так, после атаки на украинский ЦИК в 2014‑м КиберБеркут перебросил свои усилия через океан и засветился во время президентских выборов в США в 2016‑м. По итогам расследования американских спецслужб оказалось, что хакеры из России получили доступ к системам избиркомов большей части штатов. Кроме того, накануне выборов киберпреступники, которых в США связывают с Москвой, атаковали предвыборный штаб кандидата в президенты США Хиллари Клинтон.

И такие действия могут оказаться лишь цветочками. У киберопераций большой потенциал, ведь нанести удар по информационной безопасности проще, чем начинать настоящую кровопролитную войну, полагают в НАТО. “Операции с компьютерными сетями могут быть очень разными и использоваться для политических целей,— говорит Кеннет Гирс, представитель Североатлантического альянса.— В целях разведки, нанесения военного вреда, реализации террористической или криминальной угрозы. Кибератаки сложно предсказать, да и защищаться от них тоже нелегко”.

Хакерам вполне по силам вывести из строя предприятия, отвечающие за поставку жизненно важных ресурсов. В том числе заблокировать водо- и электроснабжение воинских частей и больниц или же перекрыть каналы связи. “Самый плохой потенциальный сценарий — техногенная катастрофа”,— резюмирует Ясинский.

И по мнению Роберта Ли, американского эксперта по кибербезопасности, для хакеров российской SandWorm США могут представить еще более удобный набор целей, чем Украина. Энергетические фирмы США более защищены с точки зрения кибербезопасности, но они также более автоматизированные и современные, чем в Украине. А значит, предоставляют больше возможностей для атак. К тому же у американских инженеров меньше опыта с ручным восстановлением работы станций из‑за частых отключений.

Учитывая все факторы, некоторые международные аналитики в сфере кибербезопасности приходят к выводу: активничая в Украине, Россия не только обкатывает новые образцы оружия электронной войны, но еще и демонстрирует западным оппонентам свои возможности. Это, мол, своего рода предупреждение для США и их союзников: на любые ваши действия мы можем ответить внезапным и разрушительным онлайн-штурмом.

Кремль, похоже, готов продолжать игру на украинском полигоне бесконечно долго: 5 июля, всего лишь на восьмой день после предыдущей кибератаки, российские хакеры вновь попытались парализовать Украину. Об этом сообщил Арсен Аваков, глава МВД, уточнив, что агенты департамента киберполиции предотвратили новый компьютерный армагеддон.

“Атака была остановлена,— заявил министр.— Сервера изъяты вместе со следами воздействия киберпреступников с очевидными источниками из Российской Федерации”.