Атака на Украину. Кто и для чего создал вирус Petya, – американский эксперт по кибербезопасности

Американский журналист и эксперт по кибербезопасности Энди Гринберг в колонке для Wired рассказывает о новом вирусе Petya, парализовавшем Украину

Когда с территории Украины по всей Европе внезапно начал распространяться вирус-вымогатель, нарушая работу компаний, госучреждений и критически важных объектов инфраструктуры, сначала показалось, что это просто очередная хакерская программа, созданная ради получения прибыли – пусть даже и особо вредоносная. Но его появление в Украине, поднимает более серьезные вопросы. В конце концов, подпольные хакеры уже не первый год ведут там кибервойну. И, судя по всему, это делается по указке России.

По мере выяснения подробностей атаки украинские фирмы и государственные структуры, работающие в сфере кибербезопасности, утверждают, что хакеры, стоящие за этим вирусом-вымогателем под названием Petya (также известным, как NotPetya или Nyetya) – не просто воры. Они связывают эти атаки с политической деятельностью, направленной на создание хаоса и разрушение украинских институций, используя мощные вирусы, чтобы скрыть свои истинные мотивы. Некоторые западные специалисты в сфере кибербезопасности, следящие за Petya, пришли к такому же выводу.

Целенаправленный подход

Во вторник утром украинские СМИ первыми начали освещать ситуацию, связанную с распространением вируса Petya, атаке которого подверглись украинские банки, киевский аэропорт Борисполь, а также энергетические компании «Киевэнерго» и «Укрэнерго».

В числе пострадавших также датская судоходная компания Maersk, российская нефтяная компания «Роснефть» и даже американский фармацевтический гигант Merck. Однако украинские аналитики по кибербезопасности считают, что главной целью является Украина, а вспышка вируса Petya – еще один удар в рамках вечной кибервойны с организованными и неумолимыми хакерами, которых правительство Украины открыто связывает с российскими государственными структурами. «Думаю, акция направлена против нас, – уверен Роман Боярчук, руководитель Центра киберзащиты и противодействия киберугрозам, подразделения Государственной службы специальной связи и защиты информации Украины. — Это точно не работа преступников. Такие действия, скорее всего, финансируются на государственном уровне».

На вопрос о том, является ли этим государством-спонсором Россия, Боярчук отметил: «Трудно себе представить, чтобы кто-то еще хотел этим заниматься».

Боярчук указывает на время нападения: как раз накануне Дня Конституции Украины. Во вторник страна также стала жертвой еще и целенаправленного акта физического насилия, когда в результате взрыва заминированного автомобиля в Киеве был убит сотрудник Главного управления разведки МО Украины.

По словам украинских аналитиков, в сфере безопасности, подтвердить эту теорию могут улики более технического свойства. Специалисты киевской компании Information Systems Security Partners, которая первой предприняла меры защиты во время предыдущих кибератак на украинские предприятия и государственные учреждения, нашли доказательства того, что профессиональные хакеры спокойно проникли в сети некоторых украинских организаций за два-три месяца до того, как был запущен вирус-вымогатель, парализовавший их работу.

По словам представителя компании ISSP, их специалисты также обнаружили, что вирус Petya действует не только как вирус-вымогатель. Он не просто зашифровывает зараженные жесткие диски и требует за ключ расшифровки $300 в биткоинах. В некоторых случаях он просто стирает данные с компьютеров той же сети, удалив из зараженного компьютера находившуюся внутри системы «основную загрузочную запись».

Удаление основной загрузочной записи является визитной карточкой группы киберпреступников, известной среди специалистов по кибербезопасности как Sandworm, которая досаждает Украине вот уже несколько лет. Начиная с октября 2015 года и вплоть до конца прошлого года группа атаковала сети украинских СМИ, транспортной инфраструктуры и государственных министерств и ведомств. Она дважды вызвала отключения электричества, атаковав энергосистемы Украины. Специалисты компании FireEye, работающей в сфере кибербезопасности, связывают этих киберпреступников с Россией, основываясь на результатах исследования находящегося в открытом доступе командного сервера злоумышленников, где есть документы на русском языке, объясняющие, как использовать вредоносную программу.

Странные преступники

Подтвердить теорию о том, что вирус Petya специально нацелен именно на Украину, пока не удалось. К тому же, эта теория не объясняет, почему вредоносная программа распространилась так далеко за пределы Украины, нанеся ущерб и российским объектам.

Но не только украинцы склоняются в сторону гипотезы, согласно которой вирус Petya – не инструмент для получения денег, а часть масштабной кампании с государственным финансированием, направленной против Украины. Согласно данным компании Symantec, по состоянию на утро вторника (по американскому времени) более 60% зафиксированных ими случаев заражения этим вирусом происходили в Украине, а это значит, что атака, скорее всего, началась именно там. Аналитики по кибербезопасности обнаружили, что во многих случаях заражение вирусом Petya происходило через файл обновления украинского приложения бухгалтерской программы MeDoc. По словам Крейга Уильямса, руководителя аналитической группы Talos, компании, ведущие налоговый учет или взаимодействующие с Украиной в финансовой сфере, используют MeDoc довольно широко. И это отчасти может быть одной из причин распространения программы-вымогателя за пределы Украины.

Эта тактика также указывает на то, что вирус Petya «имеет очень четкое представление о том, на кого ему надо воздействовать – предприятия и компании, связанные с украинским правительством, – говорит Уильямс. – Вполне очевидно, что это политическое заявление».

Хотя мотивы злоумышленников остаются неясными, многие представители сообщества кибербезопасности приходят к единому мнению, что в этом случае действуют не обычные преступники, поскольку было проявлено удивительное безразличие к денежной составляющей этого вредоносного ПО. Для общения с жертвами вируса они использовали встроенный биткоин-адрес, который легко отследить, и адрес электронной почты, который был удален владельцем в течение 12 часов с момента начала атаки. Отчасти поэтому новая версия вируса Petya принесла создателям лишь $10 тысяч.

Такое несоответствие позволяет предположить, что у них был скрытый мотив, считает Ник Уивер, аналитик в сфере компьютерной безопасности из Международного института информатики в Беркли. «Похоже, что под видом вируса-вымогателя была разработана вредоносная программа, предназначенная для вывода систем из строя, – говорит Уивер. – Либо они просто оплошали с вымогательством, либо их настоящей целью был сбой работы компьютеров, а основной эффект от этого должна была ощутить на себе Украина».

Все это наводит еще на одну мысль, какой бы странной она ни казалась, что блокировка компьютеров и ущерб, нанесенный компаниям в разных странах – от США до Испании и даже до России – возможно, является лишь побочным явлением. Возможно, хакеры продолжают свое затянувшееся наступление на Украину. Но на этот раз боль Украины чувствует и весь остальной мир.

Метки: вирус «Petya», кибератака
Loading...
Loading...