Он вам не Petya: был ли доказан российский след вируса
Служба безопасности Украины и американская компания FireEye полагают, что за вирусом NotPetya стоят российские спецслужбы. В НАТО также видят следы государства в этой атаке, больше всего ударившей по Украине.
Читай также: Хакеры вывели из строя 10% компьютеров в Украине - АП
Русская служба Би-би-си разбиралась, насколько состоятельна эта версия.
Бахмут (бывший Артемовск) - небольшой город на севере Донбасса, контролируемый украинскими властями. Сайт Вечерний Бахмут 27 июня сообщал о пойманном с поличным “дуэте гаражных воров-рецидивистов“, а также о нехватке вагонов для перевозки соли с местных рудников.
Однако главной новостью дня предстояло стать самому Вечернему Бахмуту. Хакеры использовали этот сайт для распространения вируса NotPetya - главного инструмента крупнейшей в истории Украины кибератаки, также поразившей десятки организаций в других странах.
Хакеры взломами систему управления сайта и вплоть до 29 июня показывали посетителям всплывающее окно с призывом обновить Windows.
Ссылка в окне активировала вредоносный файл, расположенный на одном из четырех сомнительных сайтов. Так, сайт под номером один рекламировал французскую кухонную утварь, - файл мог оказаться там в результате еще одного взлома.
Читай также: Спецслужбы Украины и Великобритании узнали истинную цель вируса Petya
Файл блокировал компьютер жертвы, шифровал данные, распространялся по корпоративной сети, используя ранее опубликованный хакерами инструмент Агентства национальной безопасности США, и, наконец, требовал “выкуп“ - $300 в биткойнах.
Связаться со злоумышленниками можно было лишь в первые часы, пока почтовая служба Posteo не отключила их адрес.
Еще одним спусковым крючком для распространения NotPetya стали фишинговые письма, сообщавшие, что у адресата могут снять с карточки 2,3 тыс. долларов. Ссылка на “спасительный“ файл также, скорее всего, вела на сайт с французскими кастрюлями и активировала вирус.
Цель - Украина
Главным же источником распространения вируса оказалось обновление одной из трех самых популярных в Украине программ для документооборота M.E. Doc. Обновление подменили все тем же вредоносным файлом. После заражения через M.E. Doc хакеры получали уникальный налоговый номер компании или учреждения.
Читай также: История вирусов-вымогателей: кто их придумал и зачем
Пресс-секретарь группы Украинский киберальянс под псевдонимом Шон Тауншенд (Sean Townsend) отмечает, что, имея код предприятия, хакеры могли выбирать, что делать с конкретной жертвой. “Где-то украсть файлы, где-то пароли, где-то деньги. Достаточно открыть реестр и посмотреть, кто именно попался на удочку“, - пишет Тауншенд.
В первый же день вирус поразил 2000 организаций, 75% жертв пришлось на Украину. Пострадали украинские министерства, полиция, банки, аэропорт Борисполь, киевский метрополитен, СМИ, мобильные операторы, медицинские компании.
Ущерб от кибератаки еще предстоит подсчитать. Известно лишь, что зашифрованные вирусом файлы можно вернуть в прежнее состояние: за “лекарство“ хакеры требуют 100 биткойнов (260 тыс. долларов). В качестве эксперимента издание Motherboard отправило хакерам “больной“ текстовый файл и получило его назад расшифрованным.
Снова виновата Россия?
Первым о проблемах “Вечернего Бахмута“ сообщил румынский антихакер, сотрудник Лаборатории Касперского Костин Райю. Он предположил, что окно со ссылкой на вредоносный сайт злоумышленники показывали только посетителям из Украины.
В своем отчете Лаборатория Касперского отмечает сходство NotPetya c кибератакой Black Energy, поразившей украинскую энергетическую, финансовую и транспортную системы в 2016 году. При этом исследователи отмечают, что уровень уверенности в сходстве кибератак пока низкий.
На основании сходства Black Energy и NotPetya Служба безопасности Украины заявила, что к созданию последнего причастны российские спецслужбы. Ту же мысль высказал представитель американской компании FireEye Джон Уоттерс в комментарии Financial Times.
“Это убийца, маскирующийся под вирус-вымогатель. И мы вполне уверены, что это дело рук России“, - заявил Уотерс.
Ранее украинские власти обвиняли в кибератаках на свою инфраструктуру 16-й и 18-й центры ФСБ РФ, отвечающие за информационную безопасность, криптографию и шифрование каналов передачи данных.
Читай также: Как восстановить компьютер после вируса Petya - инструкция от киберполиции
Агентство по кибербезопасноссти НАТО (CCDOE) заявило, что за созданием NotPetya стоит “государственный актор“, не уточняя, что именно имеется в виду. “Российская компания “Роснефть“ тоже была заражена, - говорится в заявлении. - Но заражение было имело очевидно ограниченный эффект и нанесло мало ущерба“.
Миссия слишком выполнима
Читай также: Кого поразил вирус Petya: опубликована карта
C гипотезой о российском следе согласны не все. Достоверно установить авторство вируса можно, только поймав хакера с поличным.
Некоторые злоумышленники специально внедряют в свой код иностранные символы, чтобы сбить экспертов со следа. Так поступили участники Lazarus (с высокой степенью вероятности, эта северокорейская группа стоит за созданием вымогателя WannaCry): по данным Group-IB, они среди прочего вставили в код одного из своих инструментов слово poluchit, перепутав его смысл с “отправить“.
Читай также: Восстановить зашифрованные вирусом Petya данные невозможно - Лаборатория Касперского
К слову, при обновлении M.E. Doc на компьютеры жертв загружался не только NotPetya, но и другой вирус, который в Лаборатории Касперского“ назвали FakeCry. Этот вирус притворяется китайским и содержит в коде фразу Made in China.
По мнению независимого исследователя Джонатана Николса, NotPetya - слишком простая кибератака для государства. “Ничего из публично доступных данных не противоречит тому, что эту кибератаку мог осуществить 200-килограммовый хакер с небольшими деньгами и копией [бесплатной операционный системы для защиты данных] Kali Linux“, - пишет эксперт.
По его мнению, 10 тысяч долларов, которые в итоге собрали хакеры, - вполне приемлемая плата за риск на рынке киберпреступлений.
Читай также: Найден очень простой способ защититься от вируса Petya
При этом Николс оговаривается: “Неспособность найти данные, подтверждающие, что нападение совершено государством, не исключает возможность того, что нападение совершено государством“.
