Petya від Вови?

Україна цього тижня стала епіцентром масової кібератаки. Метою вірусу було не вимагання грошей, а порушення роботи держустанов та великих підприємств

Кібератаки, на жаль, вже стали звичним явищем для нинішнього світу. Та й для України, хоч ми все ще технологічно дуже відстаємо від розвинутих країн, така новітня агресія вже не нова. Але такої кібератаки, як та, що відбулась цього тижня, ми ще не знали. У вівторок, 27 червня, перед Днем Конституції під масштабну хакерську атаку потрапила низка українських підприємств енергетики та інфраструктури, банків, державних установ, мереж автозаправок, ЗМІ, мобільних операторів. Зокрема, постраждали системи НБУ, Ощадбанку, Укренерго, Київ­енерго, Укргазвидобування, аеропорт “Бориспіль”, ОККО, WOG, Укрпошти, “Нової пошти”, ДП “Документ”. Не працював сайт уряду, і навіть кіберполіції. Чорнобильська АЕС через кібератаку змушена була перейти на радіаційний моніторинг промислових майданчиків у ручному режимі. Повідомлялось, що технологічні системи станції не постраждали.
На щастя, обійшлось без трагедій, але, як бачимо, жертвами кібератаки стали важливі об’єкти інфраструктури. Та постраждала не тільки Україна, вірус добрався до країн Європи і навіть США та Азії. Проте там масштаби були вже меншими.
Повідомлялось про те, що наші кіберполіція та СБУ працювали над локалізацією вірусу разом із фахівцями ФБР (США), Національним агентством у боротьбі зі злочинністю (NCA Великої Британії), Європолу та представниками провідних українських й іноземних IT-компаній.
Вже 28 червня в українському уряді заявили, що кібератаку вдалось зупинити. Хоч після цього ще були повідомлення про повторні зараження комп’ютерів. Не всі такі повідомлення підтверджувались. Хоч в Укренерго заявили, що 29 червня вони справді вдруге за тиждень постраждали від кібератак.
Станом на 29 червня, в нашій кіберполіції зазначали, що до них надійшло півтори тисячі повідомлень про вірусне зараження комп’ютерних мереж. Станом на 30 червня повідомлень про зараження комп’ютерів було вже понад 2100. Але в кіберполіції зазначали, що йшлось не про нові випадки хакерських атак, а про те, що працівники деяких компаній тільки після вихідного Дня Конституції виявляли зараження їхніх комп’ютерів.
“До поліції подали 420 заяв, з яких 309 від приватних компаній та 111 – від державних організацій. За результатами отриманих звернень розпочато 66 кримінальних проваджень за статтею 361 ККУ (Несанкціоноване втручання в роботу електронно-обчислювальних машин та комп’ютерних мереж). Крім того, 354 такі факти внесені до журналу єдиного обліку про вчинення кримінального правопорушення, і наразі вирішується питання щодо їх правової кваліфікації… Основним шляхом зараження комп’ютерів було оновлення програмного забезпечення M.E.doc. Ми працюємо над декриптором, який допоможе розшифрувати файли”, – заявив 30 червня директор департаменту комунікації Нацполіції Ярослав Тракало, повідомляє Українська правда.
Наслідки такої масової кіберататки одразу не долаються, тим паче у нас. Станом на день 30 червня, було вже багато повідомлень про відновлення повноцінної роботи різних підприємств та установ. Але проблеми ще залишались, до прикладу, в роботі Укрпошти.

Що відбулось?

Словацький розробник антивірусу ESET вже повідомив, що на Україну припало понад 75% заражень вірусом.
“Дослідники ESET знайшли точку, з якої почалася ця глобальна епідемія. Атакуючі успішно скомпрометували бухгалтерське програмне забезпечення M.E.doc, популярне в різних галузях промисловості України, включаючи фінансові установи. Деякі з них встановили троянізіоване оновлення M.E.doc, яке дозволило зловмисникам запустити масову кампанію по поширенню вірусу”, – зазначили в ESET.
Так само вже і у компанії Microsoft підтвердили, що кібератаки почались саме на Україну і їх спричинила бухгалтерська програма для звітності та документообігу M.E.doc. За даними Microsoft в Україні ураженими були 12,5 тисяч комп’ютерів, а далі вірус перекинувся ще на 64 країни.
Зазначимо, що розробники української програми M.E.doc відхрестилися від того, що саме їхнє бухгалтерське програмне забезпечення стало основним шляхом поширення вірусу. Також заперечили свій зв’язок із Росією чи колишнім режимом в Україні. Тут зауважимо, що радник глави МВС Зорян Шкіряк заявляв, що M.E.doc – це те програмне забезпечення, яке свого часу Міністерство доходів і зборів під керівництвом Клименка фактично примусово нав’язала українському бізнесу.
Загалом відомо, що масові зараження комп’ютерів спричинила модифікована версія вірусу, яка отримала назву Petya.A. Він використовує ту саму уразливість операційної системи Windows (тобто користувачі інших ОС в цьому випадку поза небезпекою), що й вірус-вимагач WannaCry, що наробив багато галасу у травні цього року. Тоді від WannaCry постраждали понад 300 тисяч комп’ютерів у 150 країнах. І тоді вірус також зачепив Україну, але зараз масштаби ураження від Petya набагато більші.
Вірус Petya, як зазначають експерти, відомий ще від 2016-го. Він блокує роботу комп’ютерів, вимагаючи заплатити викуп. Але в нинішній модифікації є дуже суттєві відмінності. І вже дуже багато фахівців у сфері кібербезпеки заявили про те, що головною метою цього вірусу було не вимагання грошей за розшифрування завірусованих даних, хоч така вимога і з’являлась на екранах заражених ком’ютерів (300 доларів у біткоїнах за розблокування). Метт Суїче з фірми кіберзахисту Comae, як повідомляє BBC-Україна, також зазначає, що нинішній вірус лише маскувався під “здирника”. “У 2016 році Petya змінює диск у спосіб, коли зміни зворотні, тоді як у 2017 Petya завдає системним дискам постійної і незворотної шкоди”, – пояснює експерт.
Так, відомо і про випадки оплати за розблокування ком’ютерів, але це ні до чого не призвело. Зараз же також треба звернути увагу на те, що як повідомляють ЗМІ, на різних українських сайтах з’являються оголошення від різних компаній та просто “народних умільців”, котрі за кілька сотень доларів пропонують відновити дані після атаки вірусу Petya.A. Експерти наголошують, що “вестись” на такі оголошення не можна.

Звідки ти, Petya. A?

Від представників української влади вже прозвучала не одна заява про те, що за поширенням вірусу Petya.A стоять російські спецслужби.
“Поширення цього комп’ютерного вірусу та аналіз зламу інформаційних систем дає нам змогу говорити, що це складова гібридної війни, яку веде проти нас Росія. Перш за все, це відбувалося за рахунок системи оновлення програмного забезпечення бухгалтерської звітності і документообігу. Також був задіяний хостинг-майданчик одного з інтернет-провайдерів, до якого вже мала питання СБУ про співпрацю з російськими спецслужбами. В той же час активно використовувались системи “сірого інтернету”, зокрема, можливості VPN, ТОR тощо, які активно рекламуються на російських ресурсах, доступ до яких було заборонено рішенням РНБО”, – заявив секретар РНБО України Олександр Турчинов.
Багато подібних думок звучать і від західних експертів у сфері кібербезпеки. І навіть те, що з’явилась інформація про те, що від вірусу Petya.A постраждали й російські компанії, такі як “Роснефть” і “Газпром” – це не означає, що Росія перестає бути головним підозрюваним.
“За словами представника компанії ISSP, їхні фахівці також виявили, що вірус Petya діє не тільки як вірус-вимагач. Він не просто зашифровує заражені жорсткі диски і вимагає за ключ розшифровки 300 доларів в біткоїни. У деяких випадках він просто стирає дані з комп’ютерів тієї ж мережі, видаливши з зараженого комп’ютера “головний завантажувальний запис”, який містився всередині системи. Видалення головного завантажувального запису є візитною карткою групи кіберзлочинців, відомої серед фахівців з кібербезпеки як Sandworm, яка дошкуляє Україні ось уже кілька років. Починаючи з жовтня 2015 року та аж до кінця минулого року група атакувала мережі українських ЗМІ, транспортної інфраструктури та державних міністерств і відомств. Вона двічі викликала відключення електрики, атакувавши енергосистеми України. Фахівці компанії FireEye, що працює в сфері кібербезпеки, пов’язують цих кіберзлочинців з Росією, ґрунтуючись на результатах дослідження командного сервера, що перебуває у відкритому доступі зловмисників, де є документи російською мовою, що пояснюють, як використовувати шкідливу програму… Хоча мотиви зловмисників залишаються неясними, багато представників спільноти кібербезпеки приходять до єдиної думки, що в цьому випадку діють не звичайні злочинці, оскільки було проявлено дивовижну байдужість до грошової складової цього шкідливого ПЗ. Для спілкування з жертвами вірусу вони використовували вбудовані біткоїн-адрес, які легко відстежити, і адресу електронної пошти, яку було видалено власником протягом 12 годин з моменту початку атаки. Почасти тому нова версія вірусу Petya принесла творцям лише 10 тисяч доларів. Така невідповідність дозволяє припустити, що у них був прихований мотив… Це наводить ще на одну думку, якою б дивною вона не здавалася, що блокування комп’ютерів і збиток, завданий компаніям в різних країнах – від США до Іспанії і навіть до Росії – можливо, є лише побічним явищем. Можливо, хакери продовжують свій тривалий наступ на Україну. Але цього разу біль України відчуває і весь інший світ”, – сайт “Новое время” опублікував переклад частини колонки для Wired американського журналіста та експерта з кібербезпеки Енді Грінберга.
Впливова американська газета The New York Times також пише про те, що  кібератака проти України, яка потім поширилась по світу, наймовірніше, є роботою російських хакерів. При цьому видання зазначає, що вірус Petya, як і вуріс WannaCry створювались на основі розробок, вкрадених в американського Агентства національної безпеки (АНБ, NSA). Тому виходить, що саме американці створили цю кіберзброю, яку зараз використовують офіційно не ідентифіковані хакери. При цьому в АНБ все приховують. Ось така заплутана історія.
І треба розуміти, що навряд чи ця поки найбільша кібератака в історії України буде останньою. І тому нам, нашій владі, потрібно зараз терміново переглянути свій підхід до кіберзахисту. І як тут не згадати, що наші парламентарі вже дуже довго не можуть ухвалити закон про основні засади кібербезпеки України.
Про безпеку своїх комп’ютерів має думати і кожен громадянин. Серед найпростіших, але важливих порад від експертів: оновлювати свою операційну систему до останньої версії; це стосується й антивірусу, яким не можна нехтувати; робити резервну копії даних; не відкривати підозрілих електронних листів (до прикладу, від невідомого відправника або з розширенням вкладеного файлу “ехе”, “scr”).

коментарі відсутні
Для того щоб залишити коментар необхідно
0.7046 / 4.45MB / SQL:{query_count}