Він вам не Petya: чи довели російський слід вірусу?

cyberpolice Копирайт изображения Getty Images
Image caption Українська влада не вперше звинувачує Росію в кібератаці

Служба безпеки України і американська компанія FireEye вважають, що за вірусом NotPetya стоять російські спецслужби. У НАТО також бачать сліди держави в цій атаці, яка найбільше вдарила по Україні.

Російська служба Бі-бі-сі з'ясовувала, наскільки обґрунтована ця версія.

Бахмут (колишній Артемівськ) - невелике місто на півночі Донбасу, контрольоване українською владою. Міський сайт "Вечірній Бахмут" 27 червня повідомляв про спійманого на гарячому "дуеті гаражних злодіїв-рецидивістів", а також про брак вагонів для перевезення солі з місцевих копалень.

Однак головною новиною дня мав стати сам "Вечірній Бахмут". Хакери використали цей сайт для поширення вірусу NotPetya - головного інструменту найбільшої в історії України кібератаки, яка також вразила десятки організацій в інших країнах.

Хакери зламали систему управління сайту і аж до 29 червня показували відвідувачам спливаюче вікно із закликом поновити Windows.

Посилання у вікні активувало шкідливий файл, розташований на одному з чотирьох сумнівних сайтів. Так, сайт під номером один рекламував французьке кухонне начиння, - файл міг опинитися там в результаті ще одного зламу.

Копирайт изображения Getty Images
Image caption NotPetya - лише один з кількох інструментів кібератаки, що почалася 27 червня

Файл блокував комп'ютер жертви, шифрував дані, поширювався по корпоративній мережі, використовуючи раніше опублікований хакерами інструмент Агентства національної безпеки США, і, зрештою, вимагав "викуп" - 300 доларів у біткойнах.

Зв'язатися зі зловмисниками можна було лише у перші години, поки поштова служба Posteo не відключить їхню адресу.

Ще одним спусковим гачком для поширення NotPetya стали фішингові листи, які повідомляли, що у адресата можуть зняти з картки 2,3 тисяч доларів. Посилання на "рятівний" файл також, скоріше за все, вів на сайт із французькими каструлями і активував вірус.

Ціль - Україна

Головним же джерелом поширення вірусу стало оновлення однієї з трьох найпопулярніших в Україні програм для документообігу M.E. Doc. Оновлення підмінили тим самим шкідливим файлом. Після зараження через M.E. Doc хакери отримували унікальний податковий номер компанії або установи.

Прес-секретар групи "Український кіберальянс" під псевдонімом Шон Таунсенд (Sean Townsend) зазначає, що, маючи код підприємства, хакери могли обирати, що робити з конкретною жертвою.

"Десь вкрасти файли, десь паролі, десь гроші. Досить відкрити реєстр і подивитися, хто саме попався на вудку", - пише Таунсенд.

У перший же день вірус вразив 2 тис. організацій, 75% жертв припало на Україну. Постраждали українські міністерства, поліція, банки, аеропорт "Бориспіль", київський метрополітен, ЗМІ, мобільні оператори, медичні компанії.

Копирайт изображения Getty Images
Image caption Кібератака вразила Україну напередодні Дня конституції

Збитки від кібератаки ще належить підрахувати.

Відомо лише, що зашифровані вірусом файли можна повернути до попереднього стану: за "ліки" хакери вимагають 100 біткойнов (260 тисяч доларів). Як експеримент видання Motherboard відправило хакерам "хворий" текстовий файл і отримало його назад розшифрованим.

Знову винна Росія?

Першим про проблеми "Вечірнього Бахмута" повідомив румунський антихакер, співробітник "Лабораторії Касперського" Костін Райю. Він припустив, що вікно з посиланням на шкідливий сайт зловмисники показували тільки відвідувачам з України.

У своєму звіті "Лабораторія Касперського" звертає увагу на схожість NotPetya c кібератакою Black Energy, що вразила українську енергетичну, фінансову і транспортну системи 2016 року. При цьому дослідники зауважують, що вони поки що не надто упевнені в схожості кібератак.

На підставі схожості Black Energy і NotPetya Служба безпеки України заявила, що до створення останнього причетні російські спецслужби. Схожу думку висловив представник американської компанії FireEye Джон Воттерс в коментарі Financial Times.

Image caption Хакреи зібрали близько 10 тисяч доларів і вивели кошти на інший біткойн-гаманець

"Це вбивця, що маскується під вірус-вимагач. І ми цілком впевнені, що це справа рук Росії", - заявив Вотерс.

Раніше українська влада звинувачувала в кібератаці на свою інфраструктуру 16-й і 18-й центри ФСБ РФ, що відповідають за інформаційну безпеку, криптографію і шифрування каналів передачі даних.

Агентство з кібербезпеки НАТО (CCDOE) заявило, що за створенням NotPetya стоїть "державний актор", але не уточнило, кого саме має на увазі.

"Російська компанія "Роснефть" теж була заражена, - йдеться в заяві. - Але зараження вочевидь мало обмежений ефект і завдало мало шкоди".

Занадто проста місія?

З гіпотезою про російський слід згодні не всі. Достовірно встановити авторство вірусу можна, тільки піймавши хакера на гарячому.

Деякі зловмисники спеціально впроваджують у свій код іноземні символи, щоб збити експертів зі сліду.

Так вчинили учасники Lazarus (з високим ступенем ймовірності, ця північнокорейська група стоїть за створенням вимагача WannaCry): за даними Group-IB, вони серед іншого вставили в код одного зі своїх інструментів слово poluchit, переплутавши його сенс з "відправити".

До слова, під час оновлення M.E. Doc на комп'ютери жертв завантажувався не тільки NotPetya, а й інший вірус, який в "Лабораторії Касперського" назвали FakeCry. Цей вірус вдає із себе китайський і навіть містить в коді фразу Made in China.

На думку незалежного дослідника Джонатана Ніколса, NotPetya - занадто проста кібератака для держави.

"Нічого з публічно доступних даних не суперечить тому, що цю кібератаку міг здійснити 200-кілограмовий хакер з невеликими грошима і копією [безкоштовної операційної системи для захисту даних] Kali Linux", - пише експерт.

На його думку, 10 тисяч доларів, які в підсумку зібрали хакери, - цілком прийнятна плата за ризик на ринку кіберзлочинів.

При цьому Ніколс каже: "Нездатність знайти дані, які підтверджують, що напад скоєно державою, не виключає можливість того, що напад скоєно державою".

Новини на цю ж тему