Три года NotPetya. Как это было и готова ли Украина к новым атакам
Автор: Андрей Бродецкий
Утром 27 июня на малолюдной киевской улице Механизаторов был убит герой войны на Донбассе, полковник спецназа Главного управления разведки Минобороны Максим Шаповал. Через несколько часов Украину захлестнула мощнейшая в истории страны кибератака. Вирус NotPetya парализовал работу сотен частных и госкомпаний. "Легли" компьютерные системы министерств, аэропортов, банков, энергетических корпораций. Жестокое убийство и кибератака — это звенья одной цепи, за обеими стоят российские спецслужбы, заявил глава СНБО Александр Турчинов. Момент для атаки выбрали символичный — канун Дня Конституции.

К трехлетию самой разрушительной и дорогой кибератаки Liga.net подготовила спецпроект. Мы пообщались с руководителями государственных и частных киберструктур, которые расследовали эту атаку, и выяснили, кто и с какой целью запустил вирус, чем закончилось расследование, кто заплатил наибольшую цену, а главное — возможно ли повторение такого удара.
Первые сообщения о проблемах с вирусом начали появляться около 11:30. Затем украинские организации посыпались одна за другой. Сотни частных и госкомпаний, ведомства и министерства объявляли о сбоях в работе из-за того, что их компьютерные системы вышли из строя. В первый день пострадали компьютеры Кабмина, Мининфраструктуры, Чернобыльской АЭС, Налоговой службы, госконцерна Антонов, Ощадбанка и Укртелекома, аэропортов Борисполь и Жуляны, Укргаздобычи, WOG, ДТЭК, Укрпочты, Укрречфлота, киевского метрополитена, Киевэнерго, Новой Почты, Укрзалізниці, медиагрупп Интер, 24 и ICTV и сотни других компаний и банков. Всего, по данным Киберполиции, пострадали более 2000 компаний, банков и госучреждений.
Пост Павла Розенка, в 2017 году — министра социальной политики
Вирус распространялся как лесной пожар. Попав на компьютер, NotPetya заражал все машины, подключенные к его локальной сети. А 27 июня на части зараженных компьютеров вирус зашифровал информацию на жестких дисках. Как выяснилось позже, безвозвратно — восстановить информацию было невозможно.
Как работал вирус
Разработчики вируса использовали две известные уязвимости Windows — Mimikatz и EternalBlue. Первая позволяла считывать из оперативной памяти компьютера логины и пароли пользователей. Вторая — проникать на другие компьютеры в локальной сети, используя общие сетевые ресурсы. Попав на один компьютер через обновление M.E.Doc, вирус получал логин и пароль администратора и распространялся дальше по локальной сети.

Заражая компьютеры украинских компаний, вирус считывал и передавал на контрольный сервер их юридические идентификаторы (ЕДРПОУ). Благодаря этому хакеры могли управлять действиями вируса в сетях определенных предприятий. Их главной целью стали министерства, финансовые, транспортные и энергетические компании.

27 июня вирус активизировался. Он начал переписывать на определенных компьютерах загрузочную запись диска (системная информация, без которой компьютер не может загрузиться) и бесповоротно шифровать системные и пользовательские файлы.
Уже через несколько часов NotPetya вырвался за пределы Украины. Первыми пострадали компании, напрямую связанные локальными сетями с украинскими компаниями, а также те, у которых были представительства в Украине.

По данным аналитиков из Cisco Talos (подразделение, занимающееся защитой от киберпреступлений), атака затронула более миллиона компьютеров и серверов во всем мире. Замглавы Администрации президента Дмитрий Шимкив заявлял, что вирус повредил данные на 10% всех компьютеров в стране. Государственные службы и частные предприятия не могли восстановить работу на протяжении нескольких дней, а в некоторых случаях — недель.

Суммарный экономический ущерб для Украины от атаки трудно оценить точно, говорит Сергей Демедюк, возглавлявший украинскую киберполицию в 2015-2019 годах. Можно подсчитать стоимость испорченного оборудования. Намного сложнее оценить стоимость потерянных данных и общий ущерб для бизнеса. Эксперты озвучивали цифру в 0,5% ВВП Украины (около $500 млн).
Карта европейских стран, пострадавших от атаки
Оценить масштаб глобального урона можно по данным публичных западных компаний, которые отчитались перед акционерами о потерях. Логистическая компания FedEx оценила ущерб от NotPetya в $400 миллионов. Датский логистический гигант Moller-Maersk — в $250–300 миллионов. Фармацевтическая компания Merck отчиталась перед акционерами об ущербе в $870 миллионов.

В Белом Доме глобальный ущерб от атаки оценили в $10 млрд, рассказал изданию Wired советник Трампа по кибербезопасности Том Боссерт. Эта цифра делает NotPetya самой "дорогой" кибератакой в истории.

Почти сразу же в СНБО заявили о российском следе атаки. Масштаб, техническая сложность и некоммерческий характер диверсии указывали на то, что за ней стояли не киберпреступники, а государство.
27 июня был финальный и, вероятно, не основной этап спецоперации. Ещё весной, а возможно и раньше, хакеры получили доступ к серверам компании Linkos Group ("Інтелект-Сервіс") — производителя программы M.E.Doc, с помощью которой около 80% бухгалтеров Украины подают отчетность в налоговую. В апреле сервер начал рассылать обновления программы со встроенным бэкдором.

"Это был очень логичный вектор для массовой атаки, ведь M.E.Doc — одна из самых распространенных программ среди украинских предприятий", — объясняет Олег Деревянко, глава совета директоров компании ISSP, расследовавшей кибератаку.
Компьютеры торговой сети, пораженные шифровальщиком NotPetya
Как через M.E.Doc хакеры заразили 80% украинских предприятий, хорошо известно. Обновления M.E.Doc с актуальной версией программы и исправлением ошибок — это исполняемые exe-файлы. Обновления выходят часто, поэтому бухгалтеры включают их автоматическую загрузку и настаивают, чтобы сисадмины разрешали запускать программы с правами администратора. Без своевременного обновления M.E.Doc отчетность компании может не дойти в налоговую, а это грозит большими штрафами.

"Программа M.E.Doc была в исключениях фаерволов и антивирусов. Ее трафик не проверялся на наличие вредоносного кода. Это позволило вирусу обойти все сетевые барьеры даже на тех предприятиях, где они были", — объясняет полковник Максим Литвинов, в 2017 году руководивший ситуационным центром обеспечения кибербезопасности СБУ.

Десятки тысяч бухгалтерских компьютеров по всей Украине на протяжении месяцев загружали обновления с бэкдором, открывая хакерам доступ ко всем компьютерам в своей локальной сети.
Такой способ атаки называется supply chain attack. Он позволяет провести массовое заражение корпоративных сетей, не взламывая каждое предприятие по отдельности. К примеру, в том же 2017 году была зафиксирована схожая по технике атака через популярную утилиту для оптимизации компьютера CCleaner. Тогда зараженную бэкдором версию программы скачали более 2,2 миллионов пользователей.

Как хакеры получили доступ к серверам M.E.Doc, расположенным в неприметном офисе на киевском Подоле, остается загадкой. Это точно знают в компании Linkos Group, разработавшей M.E.Doc. Но управляющий партнер компании Олеся Линник отказалась делиться с Liga.net результатами внутреннего расследования. В одном из интервью Линник упоминала, что разработка взлома шла полгода, а компанию взломали "в трех местах".
Сообщение на сайте M.E.Doc, появившееся в день атаки
Основная рабочая версия следствия состоит в том, что организаторы атаки внедрили в компанию инсайдера, — рассказывает экс-глава Киберполиции Сергей Демедюк.

"Перед такой атакой работает классическая разведка — на объект устраивают специалиста, который сможет изнутри открыть "черный ход" для несанкционированного доступа. Поэтому людей, которые имеют доступ к серверам такого ПО, необходимо тщательно проверять, а о безопасности софта нужно задумываться еще на этапе его проектирования», — говорит Демедюк. Расследование Киберполиции еще не завершено, его результаты не разглашаются.

Хакеры встроили на сервер с обновлениями M.E.Doc веб-шелл — программный код, позволяющий удаленно управлять сервером, говорится в отчете Talos (подразделение Cisco по реагированию на киберугрозы; специалисты Talos сотрудничали с Linkos Group в исследовании атаки на серверы компании). Они получили учетные данные администратора M.E.Doc и переписали конфигурацию веб-сервера. Весь трафик к серверам обновлений M.E.Doc перенаправлялся в режиме прокси на сервер во Франции, с которого хакеры и отправляли команды на зараженные компьютеры.
Таймлайн проникновения хакеров на сервера M.E.Doc. Источник: отчет Cisco Talos
В ходе расследования выяснилось, что хакеры хотели использовать для заражения не только M.E.Doc. Параллельно они пытались взломать других украинских разработчиков популярного корпоративного софта, рассказывает полковник Максим Литвинов. Не называя компаний, Литвинов говорит: хакнуть пытались софт для бухгалтеров, юристов и антивирусное ПО.

Внутренняя сеть одного из разработчиков популярного офисного ПО, как и у Linkos, была под контролем хакеров. "Все было готово к атаке, запланированной на государственный праздник — день защитника Украины 14 октября», — делится Литвинов. Но этим компаниям вместе с СБУ удалось предотвратить массовое заражение пользовательских компьютеров.

Компании Linkos Group этого сделать не удалось. При том, что специалисты уже предупреждали ее о проблемах с безопасностью IT-инфраструктуры. Почему не удалось? "Кибербезопасность начинается с понимания серьезности угроз. Это вопрос управленческой культуры. Если вы никогда не тратились на защиту, вам ментально непросто выделить на кибербезопасность даже 5% вашего IT-бюджета, не говоря уже о необходимых 10%", — говорит Олег Деревянко.
Проведя технический анализ финального этапа атаки, аналитики ISSP Labs назвали четыре возможные главные цели: заметание следов после предыдущих атак, демонстрация силы, тестирование украинских систем безопасности и их скорости реагирования на угрозы, а также подготовка к новой кибератаке.

Экс-глава Киберполиции Демедюк уверен, что операция 27-го июня была заметанием следов. "Основной целью атаки был шпионаж. Ее организаторы получили доступ к колоссальным объемам информации. Сначала разработчики вируса получали доступ к финансовой отчетности компаний, а затем, после его распространения по локальным сетям предприятий — и ко всем файлам на всех зараженных компьютерах", — говорит специалист.

Особенностью атаки было, что NotPetya был активирован далеко не на всех компьютерах, на которые он проник. Технический анализ кода вируса показал, что ключевым элементом для управления атакой был код ЕДРПОУ (есть у каждого юрлица. — Ред). Не все компании получили команду на уничтожение данных. Именно по ЕДРПОУ организаторы атаки адресно управляли тем, что будет делать вирус с компьютерами того или иного предприятия, — говорит Демедюк.

"Шифрование информации 27 июня — лишь вершина айсберга. Это было сокрытие следов, — подтверждает Литвинов. — Злоумышленники собрали интересующую их информацию, переслали ее на сервер французского провайдера OVH, затем затерли ее и уничтожили все следы своей деятельности. Все логи со следами присутствия вируса на зараженных компьютерах в Украине были уничтожены им".

Сергей Демедюк рассказывает: киберполицейские ещё на протяжении нескольких лет после атаки находили на украинских предприятиях работающие компьютеры с активным вирусом NotPetya. 27 июня только часть инфицированных компьютеров получили команду шифровать данные. По мнению Демедюка — только те, на которых были следы взлома.

К этому моменту хакеры имели возможность изучить устройство компьютерных сетей всех интересующих их организаций. Системный инженер по безопасности Cisco Владимир Илибман, расследовавший атаку, отмечает: хакеры легко раскрыли и потеряли доступ к сетям 80% украинских компаний; это может говорить о том, что они уверены в возможности снова получить доступ к целевым сетям в будущем.
Сейчас почти ни у кого нет сомнений, что за NotPetya стоят российские хакеры, работающие на ГРУ. Как это доказали?

Обычно со 100% достоверностью установить авторов кибератак (специалисты используют термин "атрибуция") невозможно. Идентифицировать хакеров можно лишь по косвенным признакам. К примеру, хакеров из группировок Fancy Bear и Cozy Bear (их также считают сотрудниками секретных российских кибервойск) атрибутировали по времени их работы (оно регулярно совпадало с часовым поясом Москвы) и по русским словам в коде. Единственный более-менее надежный способ атрибуции — анализ почерка хакеров, то есть технических особенностей взлома.

Проанализировав атаку NotPetya, специалисты словацкой компании ESET узнали почерк группировки Sandworm, которая ранее уже атаковала украинские финансовые учреждения и уничтожала их данные, маскируя атаки под заражение вирусом-вымогателем. В ESET этих хакеров назвали TeleBots — они управляли своими вредоносными программами с помощью Bot API мессенджера Telegram. Осенью 2018 года Sandworm пытались распространить еще один массовый бэкдор; почерк этой атаки позволил аналитикам ESET связать ее со всеми предыдущими эпизодами.
Связи между кибератаками, установленные исследователями компании ESET
Украинские аналитики из компании ISSP, исследовавшие кибератаки на украинскую инфраструктуру 2015-2017 годов, независимо от ESET пришли к тому же выводу — это дело рук Sandworm.

А в ноябре 2017 года ЦРУ сделало заключение, что за атакой NotPetya стояло подразделение Главного разведывательного управления Генштаба РФ под названием "Главный центр специальных технологий". В феврале 2018 года Национальный центр кибербезопасности Великобритании опубликовал результаты своего расследования, согласно которому за атакой стоят российские военные. К заявлению Великобритании присоединились США, Канада, Австралия, Новая Зеландия и Дания.

Автор книги "Sandworm" Энди Гринберг называет эту группировку "самыми опасными хакерами Кремля". В 2018 году Департамент юстиции США опубликовал обвинение, согласно которому к вмешательству в американские выборы 2016 года причастны 12 сотрудников кибернетического подразделения ГРУ. Был назван даже номер части, в которой служили большинство обвиняемых — в/ч 26165, и ее адрес — Москва, Комсомольский проспект, 20.
Здание Военного университета Минобороны РФ, расположенное по адресу Комсомольский проспект, 20
Спустя три года после завершения кибератаки NotPetya следствие все еще не закончено. О его промежуточных результатах бывший глава Киберполиции Демедюк говорит осторожно. Но когда речь заходит об исполнителях, он вполне конкретен: "Установлено много лиц, причастных к подготовке атаки, администрированию данных и прикрытию операции. Это бывшие и действующие граждане Российской Федерации, которые находились на территории Евросоюза."

По словам Демедюка, в ходе расследования обнаружилось, что некоторые из этих людей причастны к попыткам незаконного вмешательства в выборы в западных странах. Из-за этого несколько крупных партнеров засекретили выводы своих расследований из соображений национальной безопасности. В составе международной следственной группы с Украиной продолжает сотрудничать Франция.

Максим Литвинов объясняет: атаку атрибутировали с россиянами из-за совокупности факторов. Цель атаки — сбор информации. Преступную инфраструктуру вокруг нее создавали граждане и уроженцы РФ. Атака стала демонстрацией силы кибероружия. Совпал и политический контекст — кому еще могло понадобиться парализовать страну в день Конституции во время войны на Донбассе? "Посмотри, кому это выгодно, и ты поймешь, кто это сделал", — говорит Литвинов.
Уже упомянутый Энди Гринберг пишет, что Украина стала учебным полигоном для российских кибервойск. Пик "учений" пришелся на 2015-2017 года. С начала конфликта на Донбассе и до атаки NotPetya российские хакеры атаковали Министерство финансов, Пенсионный фонд, центризбирком, казначейство, украинскую железную дорогу и другие критически важные государственные учреждения Украины. Многие атаки имели общие признаки: вторжение в систему с помощью трояна BlackEnergy и уничтожение данных с помощью вируса KillDisk.

Гринберг полагает, что российские хакеры могли нанести украинской инфраструктуре намного больший урон, но ограничились лишь отключением оборудования. Как будто их задачей было не максимальное разрушение, а отработка техник вторжения.
NotPetya – далеко не первая кибератака на Украину за время конфликта с Россией
В декабре 2015 года хакеры атаковали несколько облэнерго, в частности киевскую и ивано-франковскую. Хакеры проникали в систему благодаря фишинговым письмам, захватывали контроль над оборудованием и отключали его, имитируя действия оператора энергостанции (сотрудники Прикарпаттяобленерго сняли это на видео). В результате сложной и многоуровневой операции без света остались сотни тысяч украинцев. Исследователи из компании FireEye установили, что за атакой стояла российская хакерская группировка Sandworm, ранее замеченная в атаках на энергетические объекты стран Западной Европы и НАТО.

В декабре 2016 года вирус Industroyer обесточил часть Киева. Он был устроен сложнее: попав в систему, Industroyer блокировал оборудование автоматически, без участия хакеров. Его разработчики хорошо знали служебные протоколы, используемые на оборудовании Укрэнерго. Это первый вирус подобного рода, разработанный специально для взлома индустриальных энергосистем. Несколько разных компаний, исследовавших атаку независимо друг от друга (к примеру, американская Dragos), пришли к выводу, что за ней также стоит группировка Sandworm.
После атаки 27 июня украинскому бизнесу и госучреждениям понадобилось несколько недель и сотни миллионов гривень, чтобы восстановить более или менее штатный режим работы. Восстановление архивов документов и баз заняло многие месяцы.

Бизнесмены жаловались, что из-за кибератаки не успели вовремя подать отчетность в налоговую и были вынуждены заплатить штраф, несмотря на заверения премьер-министра, что санкций не будет.

Linkos Group отделалась репутационным уроном. Не известно, чтобы кто-то предъявлял компании финансовые претензии и требовал компенсации за нанесенный вирусом урон. На почти монопольном положении программы M.Е.Doc атака никак не сказалась. Скорее наоборот: проблемы появились у конкурентов.

Через несколько недель после атаки четыре компании-производители ПО для финотчетности публично обратились к премьер-министру с жалобой на некорректную работу серверов Государственной фискальной службы. Их клиенты не могли подать отчетность, тогда как у клиентов M.E.Doc проблем не возникало. Компании, подписавшие письмо, заподозрили разработчиков M.E.Doc в связях с ГФС, используемых для недобросовестной конкуренции. Разработчики M.E.Doc назвали письмо пиар-акцией конкурентов. Последовала продолжительная судебная тяжба, суд встал на сторону Linkos Group, сочтя формулировки письма некорректными.
В компании Linkos Group заявили, что провели внутреннее расследование и усовершенствовали защиту своей IT-инфраструктуры. Подробнее отвечать на вопросы Liga.net директор компании Олеся Линник отказалась.

M.E.Doc остаётся самым популярным сервисом для ведения электронной отчетности среди украинских предприятий.

К неприятным последствиям для компании можно отнести то, что домен M.E.Doc попал в блоклисты некоторых фаерволов и антивирусных сервисов.
Для украинского государства удар не прошел бесследно. Власть осознала проблему. В мае 2018 года вступил в силу закон об основах кибербезопасности, который в общих чертах обозначил структуру государственной киберзащиты. В правовом поле появились понятия "киберпространство", "кибератака", "кибертерроризм", "кибербезопасность", "объект критической инфраструктуры".

Активизировалось сотрудничество Украины и США по теме кибербезопасности. В рамках программы United States and Ukraine Cyber Dialogue две страны наладили обмен информацией и экспертизой в области безопасности. Американское Агентство международного развития (USAID) в ближайшие 4 года инвестирует в украинскую кибербезопасность $38 млн.

Осенью 2019 года бывший глава Киберполиции Демедюк стал заместителем секретаря СНБО и возглавил новосозданный Национальный координационный центр кибербезопасности. Одним из слабых мест в киберзащите Украины замсекретаря СНБО считает отсутствие требований к софту, используемому в госучреждениях. По мнению Демедюка, такие программы должны проходить специальную сертификацию и аудит исходного кода, как это работает в США. Другой вариант решения проблемы — перевести госорганы на софт с открытым кодом, например на украиноязычные дистрибутивы Linux.

Олег Деревянко констатирует: после атак общий уровень защиты в частном секторе и на некоторых объектах критической инфраструктуры вырос. Но во многих государственных структурах до сих пор есть проблемы с защитой данных. "Взять те же реестры — заходи, делай что хочешь. А на подходе новые базы — eHealth, например. Когда эти базы наполнятся, без полноценной защиты их просто заберут целиком те, кому это будет надо. От спецслужб недружественных стран и организованного криминалитета до выполнения частных заказов на получение данных по конкретным людям".

Бизнес тоже вынес уроки из кибератак 2017 года. Основатель группы компаний Октава Капитал Александр Кардаков считает, что, несмотря на весомый финансовый урон, в целом атака имела позитивный результат. "Украинские компании наконец поняли, что киберугрозы — не фантастика, а суровая реальность, а за безопасность надо платить", — говорит Кардаков.

"Когда в день атаки аналитики СБУ опубликовали информацию о том, как остановить распространение вируса по сетям, это было сделано поздно и неэффективно — никто из администраторов не читает сайт СБУ и других госорганов. Сейчас ситуация другая. У нас есть механизм быстрого донесения информации о предупреждении киберугроз для технического сообщества", — говорит Литвинов, который, как и Демедюк, сменил место работы: перешел из СБУ в Госслужбу спецсвязи и защиты информации, где возглавил государственный центр киберзащиты. При центре недавно начал работать киберполигон, на котором специалисты из госструктур могут отрабатывать сценарии реагирования на кибератаки.

После NotPetya в информационном поле не было громких новостей об атаках российских хакеров в Украине. Но вряд ли из-за того, что Украина стала лучше защищаться.

"После атак 2017 года Россия изменила свою тактику. Таких массовых атак, как NotPetya, уже не проводят. Попытки кибершпионажа никуда не делись, но это происходит адресно на отдельных объектах и без привлечения лишнего внимания, — суммирует Демедюк.
Дата: 15.07.2020
© 2020 Все права защищены.
Информационное агентство ЛІГАБізнесІнформ
lenta@liga.net
Made on
Tilda