Хакерские атаки на Украину (2017)

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Хакерские атаки на Украину
PetyaA.jpg
Монитор компьютера, заражённого вирусом
Дата 27 июня 2017 года
Место сначала  Украина
позднее 
 США
 Россия
 Польша
 Франция
 Италия
Индия Индия
 Германия
 Великобритания
 Испания
 Эстония
 Румыния
Результат заблокирована деятельность государственных и коммерческих предприятий, сайтов, органов исполнительной власти
Подозреваемый (е)  Россия (по заявлению Украины, США, Великобритании, Австралии)

Ха́керские ата́ки на Украи́ну — целенаправленные масштабные[1][2][3] хакерские нападения на сети украинских государственных предприятий, учреждений, банков, медиа и тому подобное, которые состоялись 27 июня 2017 года. В результате этих атак была заблокирована деятельность таких предприятий, как аэропорт «Борисполь», ЧАЭС, Укртелеком, Укрпочта, Ощадбанк, Укрзализныця и ряда крупных коммерческих предприятий.[4][5]

Атакам также подверглись сайт Кабинета Министров Украины[6], телеканал «Интер», медиахолдинг ТРК «Люкс», в состав которого входят «24 канал», «Радио Люкс FM», «Радио Максимум», различные интернет-издания, а также сайты Львовского городского совета, Киевской городской государственной администрации и Службы спецсвязи Украины[7].

Трансляции передач прекратили каналы «Первый автомобильный» и ТРК «Киев»[uk].

Характеристика вируса[править | править код]

Заражение вирусом началось через распространение обновления для программы M.E.Doc 27 июня 2017 года. Программа M.E.Doc широко используется для подачи бухгалтерской отчетности на Украине[8], по данным специалистов информационной безопасности, у фирмы на момент заражения было около 400 тысяч клиентов, что составляет порядка 90 % всех организаций страны[9][10]. По всей видимости, сервер обновлений был скомпроментирован и был использован для первичного распространения вредоносной программы[11]. Похожее заражение было проведено 18 мая 2017 года, когда распространяемое приложение M.E.Doc было заражено шифровальщиком-вымогателем XData[12].

Непосредственно шифровальщик был основан на коде ранее известной вредоносной программы 2016 года Petya, получив от него собственное — Petya.A. Попав в систему, шифровальщик использует известную уязвимость в протоколе SMB EternalBlue для закрепления в системе, зашифровывает содержимое жёсткого диска, безвозвратно уничтожает оригинальные файлы и принудительно перезапускает компьютер[13][14]. После перезагрузки пользователю выводится экран с требованием перечислить сумму в биткоинах, эквивалентную на тот момент времени 300 долларам[15][16]. Одновременно с этим вирус предпринимает попытки поиска уязвимых компьютеров в локальной сети и производит дальнейшее заражение через уязвимость EternalBlue.

Чтобы не быть обнаружённым антивирусными программами, бинарные коды вируса применяют поддельные цифровые подписи Microsoft и шифрование алгоритмом XOR (для обхода проверок на сигнатуру)[источник не указан 422 дня].

Однако, несмотря на достаточно высокий уровень реализации самого вируса, его разработчики воспользовались крайне уязвимым и ненадежным способом общения с жертвами, что создает впечатление, что вымогательство не было основным мотивом:[17] всем жертвам предлагается перечислить биткойны стоимостью $300 на кошелек автора вируса и передать указанный на экране длинный код на указанный адрес электронной почты.

Почтовая служба, где был зарегистрирован почтовый ящик злоумышленников, заблокировала его уже через несколько часов после начала атаки (таким образом, сделала невозможным общение между жертвами и злоумышленниками) и сообщила, что активно работает с немецкой федеральной службой информационной безопасности в расследовании этого события[18]. То есть, уплата выкупа не имеет смысла, поскольку гарантированно не даст желаемого результата[19].

Сначала Киберполиция предположила[20], а специалисты по компьютерной безопасности компании Microsoft подтвердили, что атака началась из системы автоматического обновления программы M.E.doc 27 июня 2017 года около 10:30 GMT (13:30 по киевскому времени, киберполиция утверждает, что атака началась в 10:30 по киевскому времени)[21]. Разработчик программы M.E.Doc компания «IT Эксперт» разместила на своём сайте сообщение, которым признавала источник атаки, но вскоре его убрала. Впоследствии было размещено новое сообщение, в котором компания отвергала любую причастность к распространению вируса или о взломе своих информационных систем[22].

Вредное действие[править | править код]

Сообщение, которое показывается после завершения шифрования.

Вредное действие вируса зависит от прав, который имеет его процесс, и от того, какие процессы работают в операционной системе. Вирус вычисляет несложный хеш названий запущенных процессов, и если будут найдены заранее заданные коды, может либо прекратить свое распространение, либо даже отказаться от вредного действия.

Прежде всего, вирус изменяет главную загрузочную запись (MBR) кодом своего запуска, устанавливает случайный таймер (не менее 10, но не более 60 минут) на перезагрузку компьютера и уничтожает все записи в системных журналах. После загрузки, благодаря изменениям в MBR вместо операционной системы загружается вирус, который рисует на экране подделку под интерфейс программы проверки целостности жесткого диска Chkdsk. Одновременно запускается процесс шифрования данных в файлах с заранее заданного перечня типов (их более 60). После завершения шифрования экран меняется на сообщение об успешной атаке с требованием уплатить выкуп.

Для каждого компьютера вирус вычисляет новый ключ симметричного алгоритма шифрования AES-128, который шифрует 800-битным открытым ключом RSA пары ключей злоумышленников и сохраняет на жестком диске.

В зависимости от полученных прав, вирус пытается стереть главную загрузочную запись (MBR) и Volume boot record (VBR).

Связь с терактом[править | править код]

Менее чем за три часа до начала хакерской атаки, 27 июня, в 8:15 утра в Соломенском районе произошел взрыв автомобиля, за рулём которого был командир отряда специального назначения Главного управления разведки — полковник Максим Шаповал. От мощного взрыва он погиб на месте[23].

Примерно в 10:30 началась волна загрузок обновление программы M.E.Doc, которое несло в себе код вирусной программы. За несколько часов вирус поразил ряд государственных сетей.

Секретарь СНБО Украины Александр Турчинов[24] выдвинул теорию, что эти два события связаны между собой и составляли двойную российскую атаку, посвященную Дню Конституции Украины.

Атаки за пределами Украины[править | править код]

Почти одновременно с Украиной в России перестали работать компьютеры Роснефти[25], Башнефти[26], что привело к остановке добычи нефти на нескольких участках.

Однако, крупные российские предприятия оказались защищёнными против распространения червя, но недостаточно защищёнными от заражения им (при том, что они вряд ли пользуются программой для составления украинской налоговой отчетности)[27].

Вслед за Украиной и Россией атаки начали осуществляться в сети в Испании, Индии[28], Ирландии, Великобритании[29] и других странах и городах ЕС и США[30]. По данным McAfee, в США было зафиксировано больше инфицированных компьютеров, чем на Украине, однако, статистика антивируса ESET утверждает, что более 80 % зафиксированных заражений произошли именно на Украине.

После этого в Эстонии прекратили свою работу строительные предприятия фирмы EhituseABC[31].

Расследование[править | править код]

За сутки от начала атаки в Департамент киберполиции Украины поступило более 1000 сообщений о вмешательстве в работу компьютерных сетей, что привело к сбоям в их работе. Из них официально с заявлениями в полицию обратились 43 компании. По состоянию на 28 июня начаты 23 уголовных производства по фактам несанкционированного вмешательства в электронно-вычислительные системы как государственных, так и частных учреждений, организаций, предприятий (статья 361 Уголовного кодекса Украины). Ещё по 47 фактам решается вопрос о внесении сведений в Единый реестр досудебных расследований[32].

По состоянию на 29 июня 2017 года в Национальную полицию Украины обратились 1508 юридических и физических лиц с сообщениями о блокировании работы компьютерной техники с помощью вируса-шифровальщика. Из них — 178 обратились в полицию с официальными заявлениями. В частности, 152 организации частного сектора и 26 обращений от государственного сектора страны. 115 таких фактов зарегистрированы в журнале Единого учета совершенных уголовных нарушений и других событий. Решается вопрос об их правовой квалификации. По 63 фактам сведения внесены в ЕРДР по статье 361 УК Украины[33].

Кроме того, к расследованию были привлечены специалисты Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности Службы безопасности Украины. Было организовано взаимодействие с партнерскими правоохранительными органами, специальными службами иностранных государств и международными организациями, специализирующимися на кибернетической безопасности. Специалисты СБУ во взаимодействии со специалистами ФБР США, Национальным агентством по борьбе с преступностью (NCA) Великобритании, Европолом, а также ведущими учреждениями по кибербезопасности принимают скоординированные совместные меры по локализации распространения вредоносного программного обеспечения PetyaA, окончательного выяснения методов реализации этой акции кибертерроризма, установление источников атаки, её исполнителей, организаторов и заказчиков[34].

Глава Департамента киберполиции Сергей Демидюк заявил, что представители киберполиции выехали к предприятиям, которые заявили об атаке вируса. Он также отметил, что сотрудничество по ликвидации последствий вирусных атак может идти на международном уровне. Пресс-секретарь СБУ Елена Гитлянская предположила, что атаки организованы с территории России или с Донбасса[35].

По информации советника МВД Антона Геращенко против государства Украина была произведена массовая хакерская атака с использованием модифицированной под Украину версии вируса WannaCry — «cryptolocker». По его мнению такая атака готовилась по меньшей мере месяц. Конечной целью атаки является дестабилизация ситуации в экономике Украины.[источник не указан 568 дней]

4 июля 2017 года с целью немедленного прекращения распространения червя Petya принято решение о проведении обысков и изъятии программного и аппаратного обеспечения компании, с помощью которого распространялось вредоносное программное обеспечение. Обыски проведены представителями Департамента киберполиции, следователями и при участии Службы безопасности Украины. Изъяты рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение.[36]

Атрибуция атаки[править | править код]

Несмотря на то, что вирус производит впечатление обычного образца вымогательского программного обеспечения, созданного ради обогащения злоумышленников, ряд исследователей высказали предположение, что, на самом деле, этот миф служит прикрытием масштабной кибератаки со стороны одного государства против другого. Таким образом, основным назначением вируса могло быть не вымогательство, а уничтожение важных данных и нарушение нормальной работы крупных государственных и частных учреждений[37][38].

Результаты[править | править код]

Благодаря тому, что все транзакции Bitcoin являются полностью публичными, статистику переводов владельцу вируса может увидеть любой. Нью-йоркский журналист и программист Кейт Коллинз создал аккаунт в Твиттере, который автоматически обновляется после каждой из операций и показывает текущее состояние счета злоумышленника.

По состоянию на 14:00 по Киевскому времени 28 июня злоумышленник получил более $10 тыс.

28 июня 2017 года Кабинет Министров Украины сообщил, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена[39].

30 июня секретарь СНБО Турчинов заявил о возможности использования технологий Tor и VPN злоумышленниками[40]. В первых числах июля 2017 года Служба безопасности Украины заявила о причастности спецслужб РФ к атаке с использованием вируса Petya[41].

Список атакованных предприятий[править | править код]

Банки[править | править код]

Компании[править | править код]

Российские и иностранные компании[править | править код]

Примечания[править | править код]

  1. Ukraine cyber attack: Chaos as national bank, state power provider and airport hit by hackers
  2. Ukrainian banks, electricity firm hit by fresh cyber attack
  3. Из-за масштабной вирусной атаки не работают банки, медиа, сервисы
  4. Україною поширюється комп’ютерний вірус: атаковано десятки компаній та установ
  5. Вирус Petya.
  6. Вирус "Петя" парализовал работу Кабмина
  7. Хакерская атака на Украину
  8. Kramer, Andrew Ukraine Cyberattack Was Meant to Paralyze, not Profit, Evidence Shows. The New York Times (28 June 2017). Дата обращения 29 июня 2017.
  9. Ошибка в сносках?: Неверный тег <ref>; для сносок BBCUca26717 не указан текст
  10. Satter , Raphael Ukraine says it foiled 2nd cyberattack after police raid. Associated Press (5 July 2017). Дата обращения 5 июля 2017.
  11. Frenkel, Sheera Global Ransomware Attack: What We Know and Don’t Know. The New York Times (27 June 2017). Дата обращения 28 июня 2017.
  12. Красномовец, Павел. Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать (рус.), AIN.UA (24 May 2017). Дата обращения 29 июня 2017.
  13. Polityuk, Pavel Global cyber attack likely cover for malware installation in Ukraine: police official. Reuters (29 June 2017). Дата обращения 29 июня 2017.
  14. Petroff, Alanna Experts: Global cyberattack looks more like 'sabotage' than ransomware. CNN (30 June 2017). Дата обращения 30 июня 2017.
  15. Вірус "Петя". Як вберегтися від кібер-атаки. Українська правда (27 червня 2017). Дата обращения 28 июня 2016.
  16. Скільки заробив автор вірусу Petya.A і які країни найбільше постраждали від його дій? (uk-UA), Tokar.ua (28 июня 2017). Дата обращения 28 июня 2017.
  17. Hern, Alex. Ransomware attack 'not designed to make money', researchers claim (англ.), The Guardian (28 июня 2017). Дата обращения 28 июня 2017.
  18. Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt. Posteo (27.Juni 2017).
  19. CERT-EU-SA2017-014: Petya-Like Malware Campaign. CERT-EU (27 червня 2017).
  20. Олег Дмитренко Кіберполіція: вірусна атака поширювалась через M.E.doc. Watcher (28 Червня 2017).
  21. New ransomware, old techniques: Petya adds worm capabilities. Microsoft Malware Protection Center blog (27 червня 2017 року).
  22. Dave Lee 'Vaccine' created for huge cyber-attack. BBC News.
  23. Минобороны подтвердило: от взрыва погиб полковник ГУР
  24. Збіг кібератаки і вбивства полковника Шаповала не є випадковим, — Турчинов
  25. Мощная атака: в серверы «Роснефти» проник клон вируса WannaCry
  26. Клон вируса WannaCry парализовал компьютеры «Башнефти»
  27. The Grugq. Pnyetya: Yet Another Ransomware Outbreak. Medium.com (27 червня 2017).
  28. Хакерская атака на Украину распространяется по всему миру
  29. Global cyber attack hits IT systems in Ireland and the UK
  30. 'Petya' ransomware attack strikes companies across Europe and US | World news | The Guardian
  31. Вирус Petya добрался до Эстонии: из-за атаки закрыты все магазины Ehituse ABC (рус.), Rus.Postimees.ee. Дата обращения 5 июля 2017.
  32. У ПОЛІЦІЇ ВІДКРИТО 23 КРИМІНАЛЬНИХ ПРОВАДЖЕННЯ ЗА ФАКТАМИ ВТРУЧАННЯ В РОБОТУ КОМП'ЮТЕРНИХ МЕРЕЖ. Департамент кіберполіції (28 червня 2017 р. 16:00).
  33. За дві доби до поліції надійшло 1,5 тисячі повідомлень про вірусне зараження комп'ютерних мереж. Департамент кіберполіції (29 червня 2017).
  34. СБУ спільно з іноземними партнерами продовжує роботу з локалізації розповсюдження шкідливого програмного забезпечення PetyaA. Служба безпеки України (29-06-2017).
  35. Масові хакерські атаки можуть бути організовані з Росії
  36. Прикриттям наймасштабнішої кібератаки в історії України став вірус Diskcoder.C - кіберполіція (укр.). Департамент кіберполіції Національної поліції України (5 июля 2017).
  37. Russell Brandom The Petya ransomware is starting to look like a cyberattack in disguise. The Verge (Jun 28, 2017).
  38. Andy Greenberg. Ukrainians Say Petya Ransomware Hides State-Sponsored Attacks. The Wired (28 червня 2017).
  39. Кібератаку на корпоративні мережі та мережі органів влади зупинено
  40. Турчинов: вирус Petya провел через VPN украинский провайдер
  41. СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya.. СБУ (01-07-2017).
  42. Пострадавшие от кибератаки банки и компании: перечень
  43. Телеканал ICTV подвергся хакерской атаке
  44. 1 2 "Укрлендфарминг" и "Авангард" Бахматюка подверглись хакерской атаке
  45. Євген Букет. Вітання Петру О. від “Пєті А.” до Дня Конституції (недоступная ссылка)
  46. Вирус Petya распространился по всей Европе — The Guardian
  47. Наталья Селиверстова. Информационная система Evraz подверглась хакерской атаке, РИА Новости (27 июня 2017). Дата обращения 17 июля 2017.

Ссылки[править | править код]