Україна стала першою ціллю принципово нового виду кіберзброї
27 червня увійде в історію — Україна стала жертвою комп’ютерного вірусу нового покоління Petya.A., який наблизив світ до повномасштабної кібервійни. Тепер, коли останні наслідки атаки ліквідовані, а IT-агентства надали свої звіти, можна підбити підсумки кібератаки, яка стала наймасштабнішою в історії України.
75% заражених пристроїв, що були заражені — з України. Решта 25% була зафіксована у країн-сусідів. Тож можна аргументовано припустити — мішенню була Україна, а 25% - лише “бризки” від атаки. Вірус “Петя” вразив десятки мереж українських державних і приватних установ — Кабінет міністрів України, Ощадбанк, кілька міністерств, два найбільші аеропорти - “Бориспіль” та “Київ”, великі мережі магазинів - “Новус” та “Епіцентр”, - і це лише загальновідомі структури. Загальна кількість комп’ютерів, що постраждали — більше 12 тисяч.
Компанія ISSP, що надає допомогу в галузі безпеки інформаційних систем українським фірмам, провела аналіз атаки, і зробила висновок, що цей вірус - принципово новий вид кіберзброї. В чому його унікальність? Вірус багатофункціональний — він дозволяє зловмисникам фактично керувати комп’ютером віддалено, не потребуючи про цьому ані wi-fi мережі, ані чогось іншого. Що ж це за “мутант” - розберемо детальніше.
В чому принципова новизна вірусу Petya.A?
За інформацією компанії ISSP, “Петя” — шифрувальник, як і попередній Wanna Cry. Він проникає в пристрої, що працюють на операційній системі Windows і шифрує файли десятків форматів. Серед них є розповсюджені - pdf, doc, docx, ppt, rar, zip, xls.
Принципова новизна вірусу — він містить безліч інструментів, за допомогою яких “ламає” файли в комплексі — від розшифровки паролей до видалення історії свого “втручання”. Ці інструменти відомі вже давно, але до цього моменту не було жодного прикладу, коли хакери їх використовували в комплексі.
Розберемось детальніше, що ж це за “фрукт”? За інформацією того ж таки центру ISSP, вірус, коли потрапляє в мережу, запускає такі програми: mimikatz, PsExec, wmic; вірус впливає на вразливість SMB, MBR overwrite, реалізує чистку логів та, даруйте, енкрипцію файлів. А тепер простими словами.
-
mimikatz — дозволяє вірусу перехоплювати паролі на комп’ютері. Тобто якщо файл знаходиться в закритому доступі (а такі документи, зазвичай, дуже цінні), вірусу не стане на заваді елементарний для нього пароль. “Зламавши” пароль, вірус активує на комп’ютері програму для виконання команд, що даються віддалено - PsExec. Таким чином, зловмисники можуть керувати пристроєм, знаходячись будь-де. І, використавши цю “програмку”, вони починають руйнувати.
-
Wmic — функція, що може змінювати налаштування операційної системи. Наприклад, заблокувати її роботу, або ж вивести на екран повідомлення щодо оплати “штрафу” зловмисникам для розблокування комп’ютера.
-
Вірус може завдати шкоди протоколу, що дозволяє обмінюватись файлами на пристроях в межах компанії, простіше кажучи — мережі (SMB). Тож якщо атакований один комп’ютер — автоматично заражаються усі інші. Це ми й бачимо на прикладі України — як так сталось, що “полетіли” одразу всі касові апарати “Новуса” чи “Епіцентру”..? А про “Нову пошту” з її універсальною онлайн-системою взагалі годі й говорити!
-
MBR відповідає за жорсткий диск, тож команда MBR overwrite може зруйнувати код і користувач просто не зможе отримати доступ до файлів.
-
І останнє, очистка логів, потрібна щоб “замести сліди” віруса. Але, як зазначалось, можливо ця функція і була основна в “Петі” - прибрати інформацію про минулі “вторгнення”.
Тож перед нами є повна картина, як вірус зламав комп’ютери: за допомогою програмного блоку mimikatz “Петя” перехопив пароль. Користуючись вразливістю smb, отримав віддалений доступ до комп’ютера (уже маючи пароль з попереднього пункту), де за допомогою wmic i PsExec виконував в командному рядку саму команду - шифрував дані. Потім, коли шифрування було завершене, “Петя” переписував mbr, щоб користувач не міг увійти в свій комп’ютер і в кінці очистив всі логи - тобто інформацію про свої дії.
На прикладі вірусу “Петі” добре видно, що інструменти кібертероризму сягнули серйозного рівня, вийшли на принципово інший левел — тепер можна ледь не повністю контролювати комп’ютери віддалено. Якщо йде мова про пристрої державних і технологічних компаній — це може стати катастрофою. Що можуть зробити кібертерористи? Наприклад, спровокувати колапс банківської системи — вкрасти гроші у вкладників і перевести їх на інші рахунки. Або можуть відключити електростанції, або можуть захопити керування аеропортами, а як наслідок - розбити літак...
Наскільки він є небезпечним зараз? Які перспективи захисту?
Варто відмітити оперативну реакцію українського IT-середовища на кібератаку 27 червня. Українські спеціалісти менше ніж за добу “генерували” алгоритми для розкодування заражених файлів, тому наразі наслідки аварії вже ліквідовано.
Але заяви експертів, що пролунали одразу після атаки не вселяють оптимізму — кібератака віруса Petya.A. була “пробною”, хакери лише перевіряли реакцію державних та приватних структур. От і заступник міністра інформаційної політики України Дмитро Золотухін у своєму Facebook з посиланням на Український кібер-альянс висловив думку, що “сьогоднішня операція проти України була проведена у показовому стилі, щоб продемонструвати Володимиру Путіну - "ану дивись як ми можемо"”.
Подібні узагальнення є і в звіті компанії ISSP, про який йшлося вище. Аналітики наводять 5 можливих причин атаки 27 червня. По-перше, це могла бути демонстрація кіберсили та підготовка до можливих наступних атак. По-друге, - тестування нової кіберзброї та можливості систем кібербезпеки. Тобто, зловмисники хотіли оцінити час зараження пристроїв і час, потрібний на ліквідацію наслідків аварії. По-третє, це могло бути підготовкою до нових цільових та масштабних кібератак. По-четверте, тестування виконання цільової кібератаки з іншими можливими методами гібридної війни. І по-п’яте, кібератака, можливо, була проведена з метою зачистки систем від минулих “втручань”.
Тож бачимо, що прогнози експертів здебільшого песимістичні. Усі сходяться на тому, що ця атака - “пробна”. Але реакція українських спеціалістів заслуговує схвальної, хоч і попередньої оцінки — перший іспит зданий.
Атака “Петьою”: українські спеціалісти реагують швидко і якісно
Звідки ми взяли, що спеціалісти заслужили високу оцінку? Давайте порівняємо дві реакції - на кібератаку вірусом Petya.A. та травневу кібератаку вірусом Wanna Cry. В травні на забезпечення ефективної протидії вірусу пішло більше двох діб, а 27 червня Україна зреагувала швидше: в 11.00 все почалось, а на ранок наступного дня програмісти розкодовували останні “заражені” комп’ютери. На вірусі “Петя” зловмисники заробили значно менше ніж на Wanna Cry — лише 12 тис. доларів, в той час як у травні — більше ста тисяч. Чи не свідчить і це про досить пристойний рівень протидії?
Державні служби кіберзахисту, а саме Департамент кіберполіції Національної поліції України також зреагували швидко - до обіду 28 червня розробили рекомендації для спеціалістів, як дешифрувати файли, що постраждали від вірусу.
Натомість у кібертерористів тепер також є багато інформації: час, за який поширюється вірусу, час, що необхідний для відновлення функціонування державних та приватних підприємств. Але найгірше — вони тепер знають наші недоліки. Також серед їхніх переваг— раптовість, адже ніхто не знає коли очікувати можливого повторення кібератаки.
Зрештою, якщо кібервійна таки неминуча, то проблеми можуть виникнути не лише в України. Масштаби атаки, швидкість розповсюдження, можливості вірусів показали, що кіберзброя уже цілком здатна призвести до зміни балансу сил у світі.
Питання лише, на чию користь. Але українські “ITшники” не пасуть задніх. Про це свідчить те, що за 2016 рік українська IT-індустрія вийшла на третє місце в загальному списку експорту послуг або товарів, поступивши перші дві сходинки сільському господарству та транспортній галузі відповідно. Це свідчить про великий потенціал українських IT-спеціалістів. Як мінімум, вони не слабші за тих, хто створював і запускав «Петю».
Микола Романюк, Київ