Хакерские атаки на Украину (2017): различия между версиями

Хакерские атаки на Украину
Монитор компьютера, заражённого вирусом
Дата	27 июня 2017 года
Место	сначала  Украина позднее   США  Россия  Польша  Франция  Италия  Индия  Германия  Великобритания  Испания  Эстония  Румыния
Результат	заблокирована деятельность государственных и коммерческих предприятий, сайтов, органов исполнительной власти
Подозреваемые	Россия (по заявлению Украины, США, Великобритании, Австралии)

Ха́керские ата́ки на Украи́ну — целенаправленные масштабные^[1][2][3] хакерские нападения на сети украинских государственных предприятий, учреждений, банков, медиа и тому подобное, которые состоялись 27 июня 2017 года. В результате этих атак была заблокирована деятельность таких предприятий, как аэропорт «Борисполь», ЧАЭС, Укртелеком, Укрпочта, Ощадбанк, Украинская железная дорога и ряда крупных коммерческих предприятий^[4][5].

Атакам также подверглись сайт Кабинета министров Украины^[6], телеканал «Интер», медиахолдинг ТРК «Люкс», в состав которого входят «24 канал», «Радио Люкс FM», «Радио Максимум», различные интернет-издания, а также сайты Львовского городского совета, Киевской городской государственной администрации и Службы спецсвязи Украины^[7].

Трансляции передач прекратили каналы «Первый автомобильный» и ТРК «Киев».

Заражение вирусом началось через распространение обновления для программы M.E.Doc 27 июня 2017 года. Программа M.E.Doc широко используется для подачи бухгалтерской отчётности на Украине^[8], по данным специалистов информационной безопасности, у фирмы на момент заражения было около 400 тысяч клиентов, что составляет порядка 90 % всех организаций страны^[9][10]. По всей видимости, сервер обновлений был скомпрометирован и был использован для первичного распространения вредоносной программы^[11]. Похожее заражение было проведено 18 мая 2017 года, когда распространяемое приложение M.E.Doc было заражено шифровальщиком-вымогателем XData^[12].

Непосредственно шифровальщик был основан на коде ранее известной вредоносной программы 2016 года Petya, получив от него собственное — Petya.A. Попав в систему, шифровальщик использует известную уязвимость в протоколе SMB EternalBlue для закрепления в системе, зашифровывает содержимое жёсткого диска, безвозвратно уничтожает оригинальные файлы и принудительно перезапускает компьютер^[13][14]. После перезагрузки пользователю выводится экран с требованием перечислить сумму в биткоинах, эквивалентную на тот момент времени 300 долларам^[15][16]. Одновременно с этим вирус предпринимает попытки поиска уязвимых компьютеров в локальной сети и производит дальнейшее заражение через уязвимость EternalBlue.

Однако, несмотря на достаточно высокий уровень реализации самого вируса, его разработчики воспользовались крайне уязвимым и ненадёжным способом общения с жертвами, что создаёт впечатление, что вымогательство не было основным мотивом^[17]: всем жертвам предлагается перечислить биткойны стоимостью 300 $ в кошелёк автора вируса и передать указанный на экране длинный код на указанный адрес электронной почты.

Почтовая служба, где был зарегистрирован почтовый ящик злоумышленников, заблокировала его уже через несколько часов после начала атаки (таким образом, сделала невозможным общение между жертвами и злоумышленниками) и сообщила, что активно работает с немецкой федеральной службой информационной безопасности в расследовании этого события^[18]. То есть, уплата выкупа не имеет смысла, поскольку гарантировано не даст желаемого результата^[19].

Сначала Киберполиция предположила^[20], а специалисты по компьютерной безопасности компании Microsoft подтвердили, что атака началась из системы автоматического обновления программы M.E.doc 27 июня 2017 года около 10:30 GMT (13:30 по киевскому времени, киберполиция утверждает, что атака началась в 10:30 по киевскому времени)^[21]. Разработчик программы M.E.Doc компания «IT Эксперт» разместила на своём сайте сообщение, которым признавала источник атаки, но вскоре его убрала. Впоследствии было размещено новое сообщение, в котором компания отвергала любую причастность к распространению вируса или о взломе своих информационных систем^[22].

Вредное действие вируса зависит от прав, который имеет его процесс, и от того, какие процессы работают в операционной системе. Вирус вычисляет несложный хеш названий запущенных процессов, и если будут найдены заранее заданные коды, может либо прекратить свое распространение, либо даже отказаться от вредного действия.

Прежде всего, вирус изменяет главную загрузочную запись (MBR) кодом своего запуска, устанавливает случайный таймер (не менее 10, но не более 60 минут) на перезагрузку компьютера и уничтожает все записи в системных журналах. После загрузки благодаря изменениям в MBR вместо операционной системы загружается вирус, который рисует на экране подделку под интерфейс программы проверки целостности жесткого диска Chkdsk. Одновременно запускается процесс шифрования данных в файлах с заранее заданного перечня типов (их более 60). После завершения шифрования экран меняется на сообщение об успешной атаке с требованием уплатить выкуп.

Для каждого компьютера вирус вычисляет новый ключ симметричного алгоритма шифрования AES-128, который шифрует 800-битным открытым ключом RSA пары ключей злоумышленников и сохраняет на жёстком диске.

В зависимости от полученных прав вирус пытается стереть главную загрузочную запись (MBR) и Volume boot record (VBR).

Менее чем за три часа до начала хакерской атаки, 27 июня в 8:15 утра в Соломенском районе произошёл взрыв автомобиля, за рулём которого был командир отряда специального назначения Главного управления разведки — полковник Максим Шаповал. От мощного взрыва он погиб на месте^[23].

Примерно в 10:30 началась волна загрузок обновления программы M.E.Doc, которое несло в себе код вирусной программы. За несколько часов вирус поразил ряд государственных сетей.

Секретарь СНБО Украины Александр Турчинов^[24] выдвинул теорию, что эти два события связаны между собой и составляли двойную российскую атаку, посвящённую Дню Конституции Украины.

Почти одновременно с Украиной в России перестали работать компьютеры Роснефти^[25], Башнефти^[26], что привело к остановке добычи нефти на нескольких участках.

Однако, крупные российские предприятия оказались защищёнными против распространения червя, но недостаточно защищёнными от заражения им (при том, что они вряд ли пользуются программой для составления украинской налоговой отчётности)^[27].

Вслед за Украиной и Россией атаки начали осуществляться в сети в Испании, Индии^[28], Ирландии, Великобритании^[29] и других странах и городах ЕС и США^[30]. По данным McAfee, в США было зафиксировано больше инфицированных компьютеров, чем на Украине, однако, статистика антивируса ESET утверждает, что более 80 % зафиксированных заражений произошли именно на Украине.

После этого в Эстонии прекратили свою работу строительные магазины фирмы EhituseABC^[31].

За сутки от начала атаки в Департамент киберполиции Украины поступило более 1000 сообщений о вмешательстве в работу компьютерных сетей, что привело к сбоям в их работе. Из них официально с заявлениями в полицию обратились 43 компании. По состоянию на 28 июня начаты 23 уголовных производства по фактам несанкционированного вмешательства в электронно-вычислительные системы как государственных, так и частных учреждений, организаций, предприятий (статья 361 Уголовного кодекса Украины). Ещё по 47 фактам решается вопрос о внесении сведений в Единый реестр досудебных расследований^[32].

По состоянию на 29 июня 2017 года в Национальную полицию Украины обратились 1508 юридических и физических лиц с сообщениями о блокировании работы компьютерной техники с помощью вируса-шифровальщика. Из них 178 обратились в полицию с официальными заявлениями. В частности, 152 организации частного сектора и 26 обращений от государственного сектора страны. 115 таких фактов зарегистрированы в журнале Единого учёта совершенных уголовных нарушений и других событий. Решается вопрос об их правовой квалификации. По 63 фактам сведения внесены в ЕРДР по статье 361 УК Украины^[33].

Кроме того, к расследованию были привлечены специалисты Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности Службы безопасности Украины. Было организовано взаимодействие с партнёрскими правоохранительными органами, специальными службами иностранных государств и международными организациями, специализирующимися на кибернетической безопасности. Специалисты СБУ во взаимодействии со специалистами ФБР США, Национальным агентством по борьбе с преступностью (NCA) Великобритании, Европолом, а также ведущими учреждениями по кибербезопасности принимают скоординированные совместные меры по локализации распространения вредоносного программного обеспечения PetyaA, окончательного выяснения методов реализации этой акции кибертерроризма, установление источников атаки, её исполнителей, организаторов и заказчиков^[34].

Глава Департамента киберполиции Сергей Демидюк заявил, что представители киберполиции выехали к предприятиям, которые заявили об атаке вируса. Он также отметил, что сотрудничество по ликвидации последствий вирусных атак может идти на международном уровне. Пресс-секретарь СБУ Елена Гитлянская предположила, что атаки организованы с территории России или из Донбасса^[35].

По информации советника МВД Антона Геращенко, против государства Украина была произведена массовая хакерская атака с использованием модифицированной под Украину версии вируса WannaCry — «cryptolocker». По его мнению, такая атака готовилась по меньшей мере месяц. Конечной целью атаки является дестабилизация ситуации в экономике Украины^{[источник не указан 2579 дней]}.

4 июля 2017 года с целью немедленного прекращения распространения червя Petya принято решение о проведении обысков и изъятии программного и аппаратного обеспечения компании, с помощью которого распространялось вредоносное программное обеспечение. Обыски проведены представителями Департамента киберполиции, следователями и при участии Службы безопасности Украины. Изъяты рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение^[36].

Несмотря на то, что вирус производит впечатление обычного образца вымогательского программного обеспечения, созданного ради обогащения злоумышленников, ряд исследователей высказал предположение, что, на самом деле, этот миф служит прикрытием масштабной кибератаки со стороны одного государства против другого. Таким образом, основным назначением вируса могло быть не вымогательство, а уничтожение важных данных и нарушение нормальной работы крупных государственных и частных учреждений^[37][38].

Благодаря тому, что все транзакции Bitcoin являются полностью публичными, статистику переводов владельцу вируса может увидеть любой. Нью-йоркский журналист и программист Кейт Коллинз создал аккаунт в Твиттере, который автоматически обновляется после каждой из операций и показывает текущее состояние счета злоумышленника.

По состоянию на 14:00 по Киевскому времени 28 июня злоумышленник получил более 10 тыс. $.

28 июня 2017 года Кабинет Министров Украины сообщил, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена^[39].

30 июня секретарь СНБО Турчинов заявил о возможности использования технологий Tor и VPN злоумышленниками^[40]. В первых числах июля 2017 года Служба безопасности Украины заявила о причастности спецслужб РФ к атаке с использованием вируса Petya^[41].

• Ощадбанк
• Банк Пивденный
• ОТП Банк
• Кредобанк
• Укргазбанк^[42]
• Укрсоцбанк
• Проминвестбанк
• Приват24

• Maersk^[46]
• Сен-Гобен
• WPP
• Евраз^[47]
• Роснефть
• Башнефть

• Кибератака на государственные сайты Украины (2022)
• Хакерская атака на «Киевстар» (декабрь 2023)

• Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010  (неопр.). CERT-UA (27 июня 2017). Дата обращения: 28 июня 2017.
• CERT-EU-SA2017-014: Petya-Like Malware Campaign  (неопр.). CERT-EU (27 июня 2017).
• Как победить вирус Petya  (неопр.). Хабрахабр. Positive Technologies (28 июня 2017). Дата обращения: 29 июня 2017. (рус.)
• Украина подверглась самой крупной в истории кибератаке вирусом Petya  (неопр.). Хабрахабр (27 июня 2017). Дата обращения: 29 июня 2017. (рус.)
• Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача (оновлено)  (неопр.). СБУ (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано из оригинала 3 июля 2017 года.
• Самые яркие события в истории кибербезопасности в Украине. Datami.