День, когда загадочная кибератака парализовала Украину

банкомат Копірайт зображення UNIAN

Неделю назад масштабные хакерские нападения вызвали хаос в украинских банках, больницах и правительственных учреждениях, а затем распространились по всему миру. Очевидно, целью киберпреступления были не деньги - но что тогда? И может ли оно быть предвестником чего-то гораздо более серьезного?

Утром во вторник, 27 июня, председатель совета директоров украинской компании по информационной безопасности ISSP Олег Деревянко был на Бессарабском рынке. Он собирался поехать за город к своим родителям, так как на следующий день в Украине был выходной - День Конституции.

Его дети также были за городом - они ежегодно проводят два месяца летних каникул у бабушки с дедушкой, - и следовательно, семье выпала редкая возможность провести день вместе.

Так же, как и Деревянко, миллионы украинцев завтра будут отдыхать, а компании и государственные учреждения будут закрыты.

День начался с новости об убийстве полковника украинской военной разведки Максима Шаповала, в автомобиль которого была заложена взрывчатка.

Но подобные случаи в этой части мира - уже не редкость. И следовательно, утро вторника вряд ли можно было назвать необычным.

Примерно в одиннадцать телефон Деревянко зазвонил.

Это был представитель крупной телекоммуникационной компании, которая обслуживает государственный Ощадбанк - одно из крупнейших финансовых учреждений Украины и один из трех системно важных банков.

Ощадбанк насчитывает 3650 филиалов и 2850 банкоматов по всей стране. Хотя они не были клиентом ISSP, им требовалась срочная помощь: банк подвергся хакерской атаке.

"Я передал задание своей команде, - рассказывает Деревянко в интервью, которое он дал в офисе ISSP в один из самых жарких (во всех смыслах) дней лета. - И продолжил путешествие к родителям. Хакерские атаки происходят постоянно, и я не видел причин менять свои планы".

Копірайт зображення Getty Images
Image caption Нападение было совершено и на судоходную компанию Maersk

Ни Деревянко, ни кто-либо другой в стране и представить не мог, что произойдет в скором времени.

Масштабная кибератака поразит украинские банки, энергосистемы, почтовые службы, государственные министерства, медиа-организации, главный аэропорт Киева, национальных провайдеров мобильной связи и даже Чернобыльскую АЭС.

"Где-то в час-два часа дня стало понятно, что мы подверглись масштабному нападению, и атаки продолжаются", - заявил министр инфраструктуры Украины Владимир Омелян.

Эта кибератака ударила и по другим странам мира, а ее последствия ощущаются до сих пор.

Самое интересное, что даже неделю спустя не до конца понятно, какой была цель нападения и кто за ним стоял.

Редакция BBC Future попыталась проследить, как развивались события в тот день в Украине и что известно о цели кибератаки?

Атака хакеров распространяется

Примерно тогда, когда Олег Деревянко передавал звонок от Ощадбанка своим сотрудникам, признаки атаки стали появляться и в других местах.

В 10:30 предупреждение поступило в ситуационный центр Совета национальной безопасности и обороны. А уже через тридцать минут эксперт по кибербезопасности пришел к председателю СНБО Александру Турчинову.

Он дал команду применить последовательность действий, утвержденную Национальным координационным центром кибербезопасности в случае атаки.

"Оборудование в моем кабинете позволяет связаться со всеми руководителями служб безопасности страны", - рассказал Александр Турчинов BBC Future.

На видеоконференции, которая состоялась сразу же, присутствовали руководители Государственной службы специальной связи и защиты информации, киберполиции, Службы безопасности Украины и штабов СНБО.

Между тем начальник Центра киберзащиты Роман Боярчук поручил специальной команде Компьютерной аварийной реабилитации Украины (Cert-UA) выяснить все, что известно о нападении.

Через несколько часов стало понятно, что атаке подверглась вся страна.

На обочине

Пока Олег Деревянко ехал к своим родителям, его телефон не прекращал звонить. А когда его сотрудники начали докладывать о деталях нападения, Деревянко понял, что его выходной отменяется.

Съехав на обочину у ближайшей стоянки, он достал свой ноутбук и начал работать.

Образцы, собранные в компьютерной системе Ощадбанка, которые ему отправили сотрудники, смутили Деревянко. "Мы сразу заметили некоторые признаки того, что это не атака с целью вымогательства", - пояснил он.

Копірайт зображення Getty Images

В таком случае преступники заражают вирусом систему, а потом требуют выкуп за ее разблокировку. Так было с вирусом WannaCry ранее в этом году, который нанес удар по компьютерам во всем мире, в том числе Национальной службе здравоохранения Великобритании.

"Сначала я подумал, что это постоянная угроза повышенной сложности (один из видов кибератак. - Ред.), но вскоре понял, что для этого случая нам нужен новый термин", - рассказывает Олег Деревянко.

Он уехал с придорожной стоянки уже вечером, добрался до дома родителей, поцеловал их и детей и отправился в ближайший отель, где был интернет. Оттуда он работал всю ночь.

На следующий день компания ISSP предложила термин "массовая скоординированная кибератака" (Massive Coordinated Cyber Invasion). Он был нужен, чтобы отличить хаос, который произошел в информационных системах страны во вторник, от предыдущих атак на Украину в 2015 и 2016 годах.

По мнению Деревянко, ее главное отличие заключается в том, что ее целью было обмануть и озадачить, а также то, что последовательность действий при атаке была частично автоматизирована.

Исследовательница Лесли Кархарт, которая уже более десяти лет специализируется на цифровой криминалистике и реагировании на кибератаки, добавляет, что самым сложным в этой атаке была стратегия.

"Технические средства распространения вируса, которые применили хакеры, хорошо известны, так же как методы борьбы с ними, - пояснила Лесли Кархарт в интервью BBC Future. - А вот что на самом деле было блестяще, так это определение целей нападения".

Копірайт зображення Rob Engelaar/AFP/Getty Images
Image caption Кібератаки з метою здирництва заражають комп'ютери вірусами, а потім вимагають гроші за їхнє розблокування

Вирус был способен перехватывать пароли, завладевать правами администраторов, удалять данные журнала, шифровать, а главное - находить необходимые ему программы на компьютерах и наносить удар выборочно.

Иными словами, он действовал гораздо более изящно, чем типичные вредоносные программы.

Именно это беспокоит Деревянко больше всего.

"Удивительно то, что в организациях и сетях, пострадавших от вируса больше всего, были компьютеры, которых он не коснулся, - объясняет специалист. - Это очень сложно объяснить. Как вирусу удалось их обойти, а главное - почему?"

Вирус-вымогатель или нападение на страну?

Пока украинские компании восстанавливали работу своих компьютерных сетей, специалисты по кибербезопасности в Европе и Америке начали постепенно осознавать, что это была не обычная атака, и ее последствия могут выйти за пределы украинских границ.

Копірайт зображення Rozenko Pavlo/Twitter
Image caption Во время вирусной атаки вице-премьер-министр Украины Павел Розенко опубликовал в Twitter фото с экрана своего компьютера

Между тем в Торонто специалист по вопросам стратегии глобальной безопасности компании Gigamon Кевин Мэги получил первое предостережение. Во время совещания в финансовом центре города один из его коллег посмотрел в свой телефон и раздраженно воскликнул: "Ну вот, опять вирус Petya".

Вредоносная программа-вымогатель под названием Petya известна еще с 2016 года. Однако, на этот раз речь шла о ее модифицированной версии.

Сначала никто не придал этому значения, но уже через 30 минут телефоны начали "разрываться" у всех участников совещания. Один за другим они выходили из зала и уже не возвращались.

"Я заглянул в свой телефон, в папке "Входящие" была куча писем с вопросами и обновлениями, Twitter также мигал уведомлениями. Стало очевидно, что мы имеем дело с чем-то серьезным", - сказал Мэги.

Кибератака, направленная на Украину, перебралась на другую сторону Атлантики. В офисе международной юридической компании DLA Piper в Вашингтоне появилось объявление "НЕ включайте компьютеры!".

Специалист по вопросам государственной кибербезопасности из американского аналитического центра "Атлантический совет" Бо Вудс рассказал BBC Future, что изначально предполагал несколько сценариев развития событий.

Копірайт зображення Eric Geller / Twitter
Image caption Сотрудникам DLA Piper советуют не включать компьютеры

Это могла быть та самая группа хакеров, которая распространяла предыдущие версии вируса Petya, или же кто-то другой, кто замаскировал вредоносную программу под этот вирус.

Возможно, главной мишенью была Украина, а за ее пределами просто почувствовали отголоски атаки. А может, Украина стала лишь первой среди многих стран, которые пострадают от нападения.

На следующий день картина стала более понятной.

"Вредоносная программа не была похожа на обычные вирусы-вымогатели, или по крайней мере это была какая-то очень неудачная версия такого вируса. К тому же, она атаковала преимущественно государственные институты и компании. Все это указывает на то, что ее целью были не деньги", - пояснил Джонатан Николс, бывший американский военный IT-эксперт.

В тот же день сотрудники Лаборатории Касперского и известный специалист по кибербезопасности Мэтт Суйше подтвердили на своих страницах в соцсетях, что вирус был лишь замаскирован под программу-вымогателя. То, о чем Деревянко рассказал BBC Future еще накануне.

"Наш анализ показывает, что главная цель атаки - не финансовая выгода, а массовое повреждение систем, - заявил пресс-секретарь Лаборатории Касперского. Иными словами, хакеры пытались создать хаос в цифровой инфраструктуре Украины, чтобы усложнить работу предприятий и парализовать государственные институты.

Копірайт зображення Getty Images
Image caption Сайт британской рекламной компании WPP "лег" после нападения

Мэтт Суйше позже связался с BBC Future и добавил, что атака была направлена ​​"полностью" против Украины.

Когда детали кибератак начали проясняться, Бо Вудс прислал в редакцию BBC Future сообщение: "Если мотивом были не деньги, тогда что?".

Пагубные последствия

28 июня начали поступать данные о последствиях атаки.

Гигантская международная судоходная компания Maersk подтвердила на своей странице в Twitter, что она также подверглась нападению и многие услуги компании "не функционируют должным образом".

Maersk, как и несколько других транснациональных корпораций, которые пострадали от кибератак, отказались дать интервью.

Ощадбанк, сообщивший о нападении одним из первых, на несколько дней закрыл более трех тысяч своих отделений, хотя онлайн-банкинг функционировал без сбоев.

Директор департамента информационных технологий банка ПУМБ Андрей Бегунов заявил, что за 23 года работы в банковской и ІТ-отрасли Украины это была худшая ситуация, которую он когда-либо видел. Хотя ПУМБ не пострадал от нападения, хаос в сетях конкурирующих банков шокировал Бегунова.

Копірайт зображення Getty Images
Image caption Кибератака повредила и систему мониторинга на Чернобыльской АЭС

Даже в США вирус нанес ущерб одной из сетей здравоохранения, в которой работают 3500 сотрудников и в которую входят две больницы, 60 врачебных кабинетов и 18 коммунальных объектов. Многие пациенты не получили необходимые процедуры вовремя.

Министр здравоохранения Украины Ульяна Супрун заявила BBC Future, что они работают, как 30 лет назад, ручкой на бумаге.

Среди важных задач министерства - централизованное распределение медикаментов по всем 24 регионам Украины, когда в больницах возникает потребность в тех или иных лекарствах.

"Теперь мы можем делать это только вручную и общаться только по телефону, что очень замедляет и усложняет работу", - рассказала Супрун.

"Люди не могут получить медицинскую документацию, поскольку наша компьютерная система не работает. Я не могу собрать статистику для конференции по проблемам СПИДа, на которой я должна быть на этой неделе. Я даже не могу сказать вам, какие больницы также пострадали от нападения, поскольку они просто не могут связаться с нами", - объясняла ситуацию министр.

По крайней мере в одной больнице компьютеры не работали. Это было учреждение, в которое Олег Деревянко приехал на процедуру.

Мотивы непонятны

В течение недели после нападения редакция BBC Future провела более 25 интервью с экспертами по кибербезопасности. Все они соглашались в двух вещах: целью нападения были не деньги, и оно было направлено именно против Украины.

Но эти два вывода поднимают много других вопросов.

Во-первых, свидетельствует ли на первый взгляд международно разрушительный характер атаки об использовании кибероружия?

Для специалиста из Торонто Кевина Мэги это очевидно. "Я уверен, что это было что-то вроде испытания. Кто-то строит арсенал кибероружия и, чтобы отвлечь людей, замаскировал атаку под обычный вирус-вымогатель".

Другие не согласны с этой гипотезой. "Если целое государство планирует нападение на врага, зачем посылать предупредительные выстрелы и создавать огласку", - спрашивает Брайан Гонан, независимый консультант по вопросам информационной безопасности из Ирландии.

Опытный эксперт по кибербезопасности Николас Уивер, который специализируется на "червях" (вредоносное программное обеспечение, которое распространяется на другие компьютеры, самостоятельно дублируя себя), также считает, что разрушительность этого вируса позволяет отнести его к оружию.

"Если кто-то хотел нанести удар по бизнесу в Украине, - говорит эксперт, - лучшего червя ничего и не придумать".

Копірайт зображення Sergei Supinsky/AFP/Getty Images
Image caption Ощадбанк был вынужден закрыть много своих отделений

Итак, была ли цель нападения политической, и в таком случае было ли оно спланировано, организовано и профинансировано на государственном уровне?

2 июля Служба безопасности Украины сообщила, что располагает доказательствами участия России в кибератаке. Москва отрицала любую причастность, назвав утверждения "необоснованными".

Война нового уровня

Если за нападением стоит целое государство, и если действительно речь идет об использовании кибероружия, тогда, возможно, мы вступаем в новую эпоху геополитики.

Как тогда это нападение классифицировать в общепринятых военных и шпионских терминах? И можно ли это считать актом агрессии?

А если из-за него пострадали учреждения здравоохранения и гражданские институты, можно ли назвать его военным преступлением?

"Это важные вопросы, - отмечает Бо Вудс. - Солдаты не стреляют в сотрудников Красного Креста на поле боя, потому что это - прямой путь в Гаагу. Я не юрист, но мне кажется, что этот случай был серьезным правонарушением".

"Десятилетиями, даже столетиями оказание медицинской помощи считалось неотъемлемым и неприкосновенным правом человека. Больница - это святое. И следовательно, мы не можем не отреагировать на то, что произошло", - добавил он.

Эксперты, с которыми мы пообщались, также отметили, что для осуществления такой кибератаки нужно 10-20 человек.

"Чтобы полностью провернуть такую ​​операцию, - объясняет Роберт Ли, специалист по кибербезопасности компании Dragos, - нужно руководство, вспомогательное подразделение, специалисты по охране здоровья и финансисты. Команда где-то из 10 человек. Но чтобы написать вредоносную программу, хватит и пяти программистов".

Для Олега Деревянко эта атака стала лишь очередным подтверждением того, о чем он предупреждал представителей власти еще три года назад.

"Еще в 2014 году я говорил многим высшим чиновникам, что мы должны готовить специалистов, способных реагировать на кибератаки такого уровня, - говорит Деревянко. - Я предупреждал, что если мы не начнем прямо сейчас, через три года масштабные кибератаки государственного уровня станут регулярными".

Если Олег Деревянко не ошибается, такие дни, как 27 июня, в Украине могут повторяться. А последствия от непредсказуемых кибератак будут ощущаться по всему миру.

Прочитать оригинал этой статьи на английском языке вы можете на сайте BBC Future.

Новости по теме