Хакерские атаки на Украину (2017)

Ха́керские ата́ки на Украи́ну — целенаправленные масштабные[1][2][3] хакерские нападения на сети украинских государственных предприятий, учреждений, банков, медиа и тому подобное, которые состоялись 27 июня 2017 года. В результате этих атак была заблокирована деятельность таких предприятий, как аэропорт «Борисполь», ЧАЭС, Укртелеком, Укрпочта, Ощадбанк, Украинская железная дорога и ряда крупных коммерческих предприятий[4][5].

Хакерские атаки на Украину
Монитор компьютера, заражённого вирусом
Монитор компьютера, заражённого вирусом
Дата 27 июня 2017 года
Место сначала  Украина
позднее 
 США
 Россия
 Польша
 Франция
 Италия
 Индия
 Германия
 Великобритания
 Испания
 Эстония
 Румыния
Результат заблокирована деятельность государственных и коммерческих предприятий, сайтов, органов исполнительной власти
Подозреваемые  Россия (по заявлению Украины, США, Великобритании, Австралии)

Атакам также подверглись сайт Кабинета министров Украины[6], телеканал «Интер», медиахолдинг ТРК «Люкс», в состав которого входят «24 канал», «Радио Люкс FM», «Радио Максимум», различные интернет-издания, а также сайты Львовского городского совета, Киевской городской государственной администрации и Службы спецсвязи Украины[7].

Трансляции передач прекратили каналы «Первый автомобильный» и ТРК «Киев».

Характеристика вируса

править

Заражение вирусом началось через распространение обновления для программы M.E.Doc 27 июня 2017 года. Программа M.E.Doc широко используется для подачи бухгалтерской отчётности на Украине[8], по данным специалистов информационной безопасности, у фирмы на момент заражения было около 400 тысяч клиентов, что составляет порядка 90 % всех организаций страны[9][10]. По всей видимости, сервер обновлений был скомпрометирован и был использован для первичного распространения вредоносной программы[11]. Похожее заражение было проведено 18 мая 2017 года, когда распространяемое приложение M.E.Doc было заражено шифровальщиком-вымогателем XData[12].

Непосредственно шифровальщик был основан на коде ранее известной вредоносной программы 2016 года Petya, получив от него собственное — Petya.A. Попав в систему, шифровальщик использует известную уязвимость в протоколе SMB EternalBlue для закрепления в системе, зашифровывает содержимое жёсткого диска, безвозвратно уничтожает оригинальные файлы и принудительно перезапускает компьютер[13][14]. После перезагрузки пользователю выводится экран с требованием перечислить сумму в биткоинах, эквивалентную на тот момент времени 300 долларам[15][16]. Одновременно с этим вирус предпринимает попытки поиска уязвимых компьютеров в локальной сети и производит дальнейшее заражение через уязвимость EternalBlue.

Однако, несмотря на достаточно высокий уровень реализации самого вируса, его разработчики воспользовались крайне уязвимым и ненадёжным способом общения с жертвами, что создаёт впечатление, что вымогательство не было основным мотивом[17]: всем жертвам предлагается перечислить биткойны стоимостью 300 $ в кошелёк автора вируса и передать указанный на экране длинный код на указанный адрес электронной почты.

Почтовая служба, где был зарегистрирован почтовый ящик злоумышленников, заблокировала его уже через несколько часов после начала атаки (таким образом, сделала невозможным общение между жертвами и злоумышленниками) и сообщила, что активно работает с немецкой федеральной службой информационной безопасности в расследовании этого события[18]. То есть, уплата выкупа не имеет смысла, поскольку гарантировано не даст желаемого результата[19].

Сначала Киберполиция предположила[20], а специалисты по компьютерной безопасности компании Microsoft подтвердили, что атака началась из системы автоматического обновления программы M.E.doc 27 июня 2017 года около 10:30 GMT (13:30 по киевскому времени, киберполиция утверждает, что атака началась в 10:30 по киевскому времени)[21]. Разработчик программы M.E.Doc компания «IT Эксперт» разместила на своём сайте сообщение, которым признавала источник атаки, но вскоре его убрала. Впоследствии было размещено новое сообщение, в котором компания отвергала любую причастность к распространению вируса или о взломе своих информационных систем[22].

Вредное действие

править
 
Сообщение, которое показывается после завершения шифрования

Вредное действие вируса зависит от прав, который имеет его процесс, и от того, какие процессы работают в операционной системе. Вирус вычисляет несложный хеш названий запущенных процессов, и если будут найдены заранее заданные коды, может либо прекратить свое распространение, либо даже отказаться от вредного действия.

Прежде всего, вирус изменяет главную загрузочную запись (MBR) кодом своего запуска, устанавливает случайный таймер (не менее 10, но не более 60 минут) на перезагрузку компьютера и уничтожает все записи в системных журналах. После загрузки благодаря изменениям в MBR вместо операционной системы загружается вирус, который рисует на экране подделку под интерфейс программы проверки целостности жесткого диска Chkdsk. Одновременно запускается процесс шифрования данных в файлах с заранее заданного перечня типов (их более 60). После завершения шифрования экран меняется на сообщение об успешной атаке с требованием уплатить выкуп.

Для каждого компьютера вирус вычисляет новый ключ симметричного алгоритма шифрования AES-128, который шифрует 800-битным открытым ключом RSA пары ключей злоумышленников и сохраняет на жёстком диске.

В зависимости от полученных прав вирус пытается стереть главную загрузочную запись (MBR) и Volume boot record (VBR).

Связь с терактом

править

Менее чем за три часа до начала хакерской атаки, 27 июня в 8:15 утра в Соломенском районе произошёл взрыв автомобиля, за рулём которого был командир отряда специального назначения Главного управления разведки — полковник Максим Шаповал. От мощного взрыва он погиб на месте[23].

Примерно в 10:30 началась волна загрузок обновления программы M.E.Doc, которое несло в себе код вирусной программы. За несколько часов вирус поразил ряд государственных сетей.

Секретарь СНБО Украины Александр Турчинов[24] выдвинул теорию, что эти два события связаны между собой и составляли двойную российскую атаку, посвящённую Дню Конституции Украины.

Атаки за пределами Украины

править

Почти одновременно с Украиной в России перестали работать компьютеры Роснефти[25], Башнефти[26], что привело к остановке добычи нефти на нескольких участках.

Однако, крупные российские предприятия оказались защищёнными против распространения червя, но недостаточно защищёнными от заражения им (при том, что они вряд ли пользуются программой для составления украинской налоговой отчётности)[27].

Вслед за Украиной и Россией атаки начали осуществляться в сети в Испании, Индии[28], Ирландии, Великобритании[29] и других странах и городах ЕС и США[30]. По данным McAfee, в США было зафиксировано больше инфицированных компьютеров, чем на Украине, однако, статистика антивируса ESET утверждает, что более 80 % зафиксированных заражений произошли именно на Украине.

После этого в Эстонии прекратили свою работу строительные магазины фирмы EhituseABC[31].

Расследование

править

За сутки от начала атаки в Департамент киберполиции Украины поступило более 1000 сообщений о вмешательстве в работу компьютерных сетей, что привело к сбоям в их работе. Из них официально с заявлениями в полицию обратились 43 компании. По состоянию на 28 июня начаты 23 уголовных производства по фактам несанкционированного вмешательства в электронно-вычислительные системы как государственных, так и частных учреждений, организаций, предприятий (статья 361 Уголовного кодекса Украины). Ещё по 47 фактам решается вопрос о внесении сведений в Единый реестр досудебных расследований[32].

По состоянию на 29 июня 2017 года в Национальную полицию Украины обратились 1508 юридических и физических лиц с сообщениями о блокировании работы компьютерной техники с помощью вируса-шифровальщика. Из них 178 обратились в полицию с официальными заявлениями. В частности, 152 организации частного сектора и 26 обращений от государственного сектора страны. 115 таких фактов зарегистрированы в журнале Единого учёта совершенных уголовных нарушений и других событий. Решается вопрос об их правовой квалификации. По 63 фактам сведения внесены в ЕРДР по статье 361 УК Украины[33].

Кроме того, к расследованию были привлечены специалисты Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности Службы безопасности Украины. Было организовано взаимодействие с партнёрскими правоохранительными органами, специальными службами иностранных государств и международными организациями, специализирующимися на кибернетической безопасности. Специалисты СБУ во взаимодействии со специалистами ФБР США, Национальным агентством по борьбе с преступностью (NCA) Великобритании, Европолом, а также ведущими учреждениями по кибербезопасности принимают скоординированные совместные меры по локализации распространения вредоносного программного обеспечения PetyaA, окончательного выяснения методов реализации этой акции кибертерроризма, установление источников атаки, её исполнителей, организаторов и заказчиков[34].

Глава Департамента киберполиции Сергей Демидюк заявил, что представители киберполиции выехали к предприятиям, которые заявили об атаке вируса. Он также отметил, что сотрудничество по ликвидации последствий вирусных атак может идти на международном уровне. Пресс-секретарь СБУ Елена Гитлянская предположила, что атаки организованы с территории России или из Донбасса[35].

По информации советника МВД Антона Геращенко, против государства Украина была произведена массовая хакерская атака с использованием модифицированной под Украину версии вируса WannaCry — «cryptolocker». По его мнению, такая атака готовилась по меньшей мере месяц. Конечной целью атаки является дестабилизация ситуации в экономике Украины[источник не указан 2530 дней].

4 июля 2017 года с целью немедленного прекращения распространения червя Petya принято решение о проведении обысков и изъятии программного и аппаратного обеспечения компании, с помощью которого распространялось вредоносное программное обеспечение. Обыски проведены представителями Департамента киберполиции, следователями и при участии Службы безопасности Украины. Изъяты рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение[36].

Атрибуция атаки

править

Несмотря на то, что вирус производит впечатление обычного образца вымогательского программного обеспечения, созданного ради обогащения злоумышленников, ряд исследователей высказал предположение, что, на самом деле, этот миф служит прикрытием масштабной кибератаки со стороны одного государства против другого. Таким образом, основным назначением вируса могло быть не вымогательство, а уничтожение важных данных и нарушение нормальной работы крупных государственных и частных учреждений[37][38].

Результаты

править

Благодаря тому, что все транзакции Bitcoin являются полностью публичными, статистику переводов владельцу вируса может увидеть любой. Нью-йоркский журналист и программист Кейт Коллинз создал аккаунт в Твиттере, который автоматически обновляется после каждой из операций и показывает текущее состояние счета злоумышленника.

По состоянию на 14:00 по Киевскому времени 28 июня злоумышленник получил более 10 тыс. $.

28 июня 2017 года Кабинет Министров Украины сообщил, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена[39].

30 июня секретарь СНБО Турчинов заявил о возможности использования технологий Tor и VPN злоумышленниками[40]. В первых числах июля 2017 года Служба безопасности Украины заявила о причастности спецслужб РФ к атаке с использованием вируса Petya[41].

Список атакованных предприятий

править

Компании

править

Российские и иностранные компании

править

См. также

править

Примечания

править
  1. An unprecedented cyber attack just took out major banks, government and airport computers in Ukraine (англ.). The Independent (27 июня 2017). Дата обращения: 15 января 2022. Архивировано 30 августа 2019 года.
  2. "Ukrainian banks, electricity firm hit by fresh cyber attack". Reuters. 2017-06-27. Архивировано 16 июля 2019. Дата обращения: 15 января 2022.
  3. Из-за масштабной вирусной атаки не работают банки, медиа, сервисы. Украинская правда. Дата обращения: 15 января 2022. Архивировано 22 января 2021 года.
  4. В Україні десятки компаній та установ атакував комп’ютерний вірус | Громадське телебачення (укр.). hromadske.ua. Дата обращения: 15 января 2022. Архивировано 27 июня 2017 года.
  5. Вирус Petya.A. Хакеры атаковали банки, компании, "Укрэнерго" и "Киевэнерго". ТСН.ua (27 июня 2017). Дата обращения: 15 января 2022. Архивировано 15 января 2022 года.
  6. Вирус “Петя” парализовал работу Кабмина. Украинская правда. Дата обращения: 15 января 2022. Архивировано 15 января 2022 года.
  7. Хакерская атака на Украину: подробности. РБК-Украина. Дата обращения: 15 января 2022. Архивировано 23 января 2022 года.
  8. Kramer, Andrew Ukraine Cyberattack Was Meant to Paralyze, not Profit, Evidence Shows. The New York Times (28 июня 2017). Дата обращения: 29 июня 2017. Архивировано 29 июня 2017 года.
  9. Borys, Christian (2017-07-26). "Ukraine braces for further cyber-attacks". BBC News (англ.). Архивировано 26 июля 2017. Дата обращения: 26 июля 2017. {{cite news}}: Указан более чем один параметр |accessdate= and |access-date= (справка)
  10. Satter , Raphael Ukraine says it foiled 2nd cyberattack after police raid. Associated Press (5 июля 2017). Дата обращения: 5 июля 2017. (недоступная ссылка)
  11. Frenkel, Sheera Global Ransomware Attack: What We Know and Don’t Know. The New York Times (27 июня 2017). Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
  12. Красномовец, Павел (2017-05-24). "Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать". AIN.UA. Архивировано 28 июня 2017. Дата обращения: 29 июня 2017.
  13. Polityuk, Pavel Global cyber attack likely cover for malware installation in Ukraine: police official. Reuters (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано 29 июня 2017 года.
  14. Petroff, Alanna Experts: Global cyberattack looks more like 'sabotage' than ransomware. CNN (30 июня 2017). Дата обращения: 30 июня 2017. Архивировано 1 июля 2017 года.
  15. Вірус "Петя". Як вберегтися від кібер-атаки. Українська правда (27 июня 2017). Дата обращения: 28 июня 2016. Архивировано 1 октября 2020 года.
  16. "Скільки заробив автор вірусу Petya.A і які країни найбільше постраждали від його дій?". Tokar.ua (укр.). 2017-06-28. Дата обращения: 28 июня 2017.{{cite news}}: Википедия:Обслуживание CS1 (url-status) (ссылка)
  17. Hern, Alex (2017-06-28). "Ransomware attack 'not designed to make money', researchers claim". The Guardian (англ.). Архивировано 28 июня 2017. Дата обращения: 28 июня 2017.
  18. Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt. Posteo (27 июня 2017). Дата обращения: 29 июня 2017. Архивировано 27 июня 2017 года.
  19. CERT-EU-SA2017-014: Petya-Like Malware Campaign. CERT-EU (27 июня 2017). Дата обращения: 29 июня 2017. Архивировано 3 февраля 2019 года.
  20. Олег Дмитренко Кіберполіція: вірусна атака поширювалась через M.E.doc. Watcher (28 июня 2017). Дата обращения: 29 июня 2017. Архивировано 28 июня 2017 года.
  21. New ransomware, old techniques: Petya adds worm capabilities. Microsoft Malware Protection Center blog (27 июня 2017). Дата обращения: 29 июня 2017. Архивировано 28 июня 2017 года.
  22. Dave Lee 'Vaccine' created for huge cyber-attack. BBC News. Дата обращения: 29 июня 2017. Архивировано 17 августа 2019 года.
  23. Минобороны подтвердило: от взрыва погиб полковник ГУР. Украинская правда (27 июня 2017). Дата обращения: 15 января 2022. Архивировано из оригинала 30 июня 2017 года.
  24. Збіг кібератаки і вбивства полковника Шаповала не є випадковим, — Турчинов. Дата обращения: 29 июня 2017. Архивировано из оригинала 27 июня 2017 года.
  25. Мощная атака: в серверы «Роснефти» проник клон вируса WannaCry. НТВ (27 июня 2017). Дата обращения: 15 января 2022. Архивировано 15 января 2022 года.
  26. Клон вируса WannaCry парализовал компьютеры «Башнефти». Ведомости (27 мая 2017). Дата обращения: 15 января 2022. Архивировано 1 апреля 2022 года.
  27. The Grugq. Pnyetya: Yet Another Ransomware Outbreak. Medium.com (27 июня 2017). Дата обращения: 29 июня 2017. Архивировано 28 июня 2017 года.
  28. Хакерская атака на Украину распространяется по всему миру, - The Independent. РБК-Украина. Дата обращения: 15 января 2022. Архивировано 21 октября 2018 года.
  29. Global cyber attack hits IT systems in Ireland and the UK (англ.). independent (27 мая 2017). Дата обращения: 15 января 2022. Архивировано 15 января 2022 года.
  30. 'Petya' ransomware attack strikes companies across Europe and US (англ.). the Guardian (27 июня 2017). Дата обращения: 15 января 2022. Архивировано 27 января 2022 года.
  31. "Вирус Petya добрался до Эстонии: из-за атаки закрыты все магазины Ehituse ABC". Rus.Postimees.ee. Архивировано 1 июля 2017. Дата обращения: 5 июля 2017.
  32. У ПОЛІЦІЇ ВІДКРИТО 23 КРИМІНАЛЬНИХ ПРОВАДЖЕННЯ ЗА ФАКТАМИ ВТРУЧАННЯ В РОБОТУ КОМП'ЮТЕРНИХ МЕРЕЖ. Департамент кіберполіції (28 июня 2017). Дата обращения: 29 июня 2017. Архивировано 22 декабря 2017 года.
  33. За дві доби до поліції надійшло 1,5 тисячі повідомлень про вірусне зараження комп'ютерних мереж. Департамент кіберполіції (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано 3 октября 2017 года.
  34. СБУ спільно з іноземними партнерами продовжує роботу з локалізації розповсюдження шкідливого програмного забезпечення PetyaA. Служба безпеки України (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано из оригинала 4 июля 2017 года.
  35. Масові хакерські атаки можуть бути організовані з Росії, - СБУ. Волинські новини. Дата обращения: 15 января 2022. Архивировано 27 июня 2017 года.
  36. Прикриттям наймасштабнішої кібератаки в історії України став вірус Diskcoder.C - кіберполіція (укр.). Департамент кіберполіції Національної поліції України (5 июля 2017). Дата обращения: 20 декабря 2017. Архивировано 5 июля 2017 года.
  37. Russell Brandom The Petya ransomware is starting to look like a cyberattack in disguise. The Verge (28 июня 2017). Дата обращения: 29 июня 2017. Архивировано 29 июня 2017 года.
  38. Andy Greenberg. Ukrainians Say Petya Ransomware Hides State-Sponsored Attacks. The Wired (28 июня 2017). Дата обращения: 29 июня 2017. Архивировано 29 июня 2017 года.
  39. Кібератаку на корпоративні мережі та мережі органів влади зупинено (укр.). kmu.gov.ua (28 июня 2017). Дата обращения: 15 января 2022. Архивировано из оригинала 1 июля 2017 года.
  40. Турчинов: вірус Petya провів через VPN український провайдер (укр.). ФАКТИ ICTV (30 июня 2017). Дата обращения: 15 января 2022. Архивировано 15 января 2022 года.
  41. СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya. СБУ (1 июля 2017). Дата обращения: 14 июля 2017. Архивировано из оригинала 5 июля 2017 года.
  42. Пострадавшие от кибератаки банки и компании: перечень. Дата обращения: 29 июня 2017. Архивировано 25 февраля 2022 года.
  43. Телеканал ICTV подвергся хакерской атаке. Дата обращения: 16 января 2018. Архивировано 17 января 2018 года.
  44. 1 2 "Укрлендфарминг" и "Авангард" Бахматюка подверглись хакерской атаке. Дата обращения: 16 января 2018. Архивировано 17 января 2018 года.
  45. Євген Букет. Вітання Петру О. від “Пєті А.” до Дня Конституції (недоступная ссылка)
  46. Вирус Petya распространился по всей Европе — The Guardian. Дата обращения: 29 июня 2017. Архивировано 18 февраля 2022 года.
  47. Наталья Селиверстова (2017-06-27). "Информационная система Evraz подверглась хакерской атаке". РИА Новости. Архивировано 1 августа 2017. Дата обращения: 17 июля 2017.

Ссылки

править