Хакерские атаки на Украину (2017)
Ха́керские ата́ки на Украи́ну — целенаправленные масштабные[1][2][3] хакерские нападения на сети украинских государственных предприятий, учреждений, банков, медиа и тому подобное, которые состоялись 27 июня 2017 года. В результате этих атак была заблокирована деятельность таких предприятий, как аэропорт «Борисполь», ЧАЭС, Укртелеком, Укрпочта, Ощадбанк, Укрзализныця и ряда крупных коммерческих предприятий[4][5].
Хакерские атаки на Украину | |
---|---|
| |
Дата | 27 июня 2017 года |
Место |
сначала Украина позднее США Россия Польша Франция Италия Индия Германия Великобритания Испания Эстония Румыния |
Результат | заблокирована деятельность государственных и коммерческих предприятий, сайтов, органов исполнительной власти |
Подозреваемый (е) | Россия (по заявлению Украины, США, Великобритании, Австралии) |
Атакам также подверглись сайт Кабинета Министров Украины[6], телеканал «Интер», медиахолдинг ТРК «Люкс», в состав которого входят «24 канал», «Радио Люкс FM», «Радио Максимум», различные интернет-издания, а также сайты Львовского городского совета, Киевской городской государственной администрации и Службы спецсвязи Украины[7].
Трансляции передач прекратили каналы «Первый автомобильный» и ТРК «Киев».
Характеристика вируса
Заражение вирусом началось через распространение обновления для программы M.E.Doc 27 июня 2017 года. Программа M.E.Doc широко используется для подачи бухгалтерской отчётности на Украине[8], по данным специалистов информационной безопасности, у фирмы на момент заражения было около 400 тысяч клиентов, что составляет порядка 90 % всех организаций страны[9][10]. По всей видимости, сервер обновлений был скомпрометирован и был использован для первичного распространения вредоносной программы[11]. Похожее заражение было проведено 18 мая 2017 года, когда распространяемое приложение M.E.Doc было заражено шифровальщиком-вымогателем XData[12].
Непосредственно шифровальщик был основан на коде ранее известной вредоносной программы 2016 года Petya, получив от него собственное — Petya.A. Попав в систему, шифровальщик использует известную уязвимость в протоколе SMB EternalBlue для закрепления в системе, зашифровывает содержимое жёсткого диска, безвозвратно уничтожает оригинальные файлы и принудительно перезапускает компьютер[13][14]. После перезагрузки пользователю выводится экран с требованием перечислить сумму в биткоинах, эквивалентную на тот момент времени 300 долларам[15][16]. Одновременно с этим вирус предпринимает попытки поиска уязвимых компьютеров в локальной сети и производит дальнейшее заражение через уязвимость EternalBlue.
Однако, несмотря на достаточно высокий уровень реализации самого вируса, его разработчики воспользовались крайне уязвимым и ненадёжным способом общения с жертвами, что создаёт впечатление, что вымогательство не было основным мотивом[17]: всем жертвам предлагается перечислить биткойны стоимостью $300 в кошелёк автора вируса и передать указанный на экране длинный код на указанный адрес электронной почты.
Почтовая служба, где был зарегистрирован почтовый ящик злоумышленников, заблокировала его уже через несколько часов после начала атаки (таким образом, сделала невозможным общение между жертвами и злоумышленниками) и сообщила, что активно работает с немецкой федеральной службой информационной безопасности в расследовании этого события[18]. То есть, уплата выкупа не имеет смысла, поскольку гарантированно не даст желаемого результата[19].
Сначала Киберполиция предположила[20], а специалисты по компьютерной безопасности компании Microsoft подтвердили, что атака началась из системы автоматического обновления программы M.E.doc 27 июня 2017 года около 10:30 GMT (13:30 по киевскому времени, киберполиция утверждает, что атака началась в 10:30 по киевскому времени)[21]. Разработчик программы M.E.Doc компания «IT Эксперт» разместила на своём сайте сообщение, которым признавала источник атаки, но вскоре его убрала. Впоследствии было размещено новое сообщение, в котором компания отвергала любую причастность к распространению вируса или о взломе своих информационных систем[22].
Вредное действие
Вредное действие вируса зависит от прав, который имеет его процесс, и от того, какие процессы работают в операционной системе. Вирус вычисляет несложный хеш названий запущенных процессов, и если будут найдены заранее заданные коды, может либо прекратить свое распространение, либо даже отказаться от вредного действия.
Прежде всего, вирус изменяет главную загрузочную запись (MBR) кодом своего запуска, устанавливает случайный таймер (не менее 10, но не более 60 минут) на перезагрузку компьютера и уничтожает все записи в системных журналах. После загрузки, благодаря изменениям в MBR вместо операционной системы загружается вирус, который рисует на экране подделку под интерфейс программы проверки целостности жесткого диска Chkdsk. Одновременно запускается процесс шифрования данных в файлах с заранее заданного перечня типов (их более 60). После завершения шифрования экран меняется на сообщение об успешной атаке с требованием уплатить выкуп.
Для каждого компьютера вирус вычисляет новый ключ симметричного алгоритма шифрования AES-128, который шифрует 800-битным открытым ключом RSA пары ключей злоумышленников и сохраняет на жёстком диске.
В зависимости от полученных прав, вирус пытается стереть главную загрузочную запись (MBR) и Volume boot record (VBR).
Связь с терактом
Менее чем за три часа до начала хакерской атаки, 27 июня, в 8:15 утра в Соломенском районе произошёл взрыв автомобиля, за рулём которого был командир отряда специального назначения Главного управления разведки — полковник Максим Шаповал. От мощного взрыва он погиб на месте[23].
Примерно в 10:30 началась волна загрузок обновление программы M.E.Doc, которое несло в себе код вирусной программы. За несколько часов вирус поразил ряд государственных сетей.
Секретарь СНБО Украины Александр Турчинов[24] выдвинул теорию, что эти два события связаны между собой и составляли двойную российскую атаку, посвящённую Дню Конституции Украины.
Атаки за пределами Украины
Почти одновременно с Украиной в России перестали работать компьютеры Роснефти[25], Башнефти[26], что привело к остановке добычи нефти на нескольких участках.
Однако, крупные российские предприятия оказались защищёнными против распространения червя, но недостаточно защищёнными от заражения им (при том, что они вряд ли пользуются программой для составления украинской налоговой отчётности)[27].
Вслед за Украиной и Россией атаки начали осуществляться в сети в Испании, Индии[28], Ирландии, Великобритании[29] и других странах и городах ЕС и США[30]. По данным McAfee, в США было зафиксировано больше инфицированных компьютеров, чем на Украине, однако, статистика антивируса ESET утверждает, что более 80 % зафиксированных заражений произошли именно на Украине.
После этого в Эстонии прекратили свою работу строительные магазины фирмы EhituseABC[31].
Расследование
За сутки от начала атаки в Департамент киберполиции Украины поступило более 1000 сообщений о вмешательстве в работу компьютерных сетей, что привело к сбоям в их работе. Из них официально с заявлениями в полицию обратились 43 компании. По состоянию на 28 июня начаты 23 уголовных производства по фактам несанкционированного вмешательства в электронно-вычислительные системы как государственных, так и частных учреждений, организаций, предприятий (статья 361 Уголовного кодекса Украины). Ещё по 47 фактам решается вопрос о внесении сведений в Единый реестр досудебных расследований[32].
По состоянию на 29 июня 2017 года в Национальную полицию Украины обратились 1508 юридических и физических лиц с сообщениями о блокировании работы компьютерной техники с помощью вируса-шифровальщика. Из них — 178 обратились в полицию с официальными заявлениями. В частности, 152 организации частного сектора и 26 обращений от государственного сектора страны. 115 таких фактов зарегистрированы в журнале Единого учёта совершенных уголовных нарушений и других событий. Решается вопрос об их правовой квалификации. По 63 фактам сведения внесены в ЕРДР по статье 361 УК Украины[33].
Кроме того, к расследованию были привлечены специалисты Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности Службы безопасности Украины. Было организовано взаимодействие с партнёрскими правоохранительными органами, специальными службами иностранных государств и международными организациями, специализирующимися на кибернетической безопасности. Специалисты СБУ во взаимодействии со специалистами ФБР США, Национальным агентством по борьбе с преступностью (NCA) Великобритании, Европолом, а также ведущими учреждениями по кибербезопасности принимают скоординированные совместные меры по локализации распространения вредоносного программного обеспечения PetyaA, окончательного выяснения методов реализации этой акции кибертерроризма, установление источников атаки, её исполнителей, организаторов и заказчиков[34].
Глава Департамента киберполиции Сергей Демидюк заявил, что представители киберполиции выехали к предприятиям, которые заявили об атаке вируса. Он также отметил, что сотрудничество по ликвидации последствий вирусных атак может идти на международном уровне. Пресс-секретарь СБУ Елена Гитлянская предположила, что атаки организованы с территории России или из Донбасса[35].
По информации советника МВД Антона Геращенко против государства Украина была произведена массовая хакерская атака с использованием модифицированной под Украину версии вируса WannaCry — «cryptolocker». По его мнению такая атака готовилась по меньшей мере месяц. Конечной целью атаки является дестабилизация ситуации в экономике Украины.
4 июля 2017 года с целью немедленного прекращения распространения червя Petya принято решение о проведении обысков и изъятии программного и аппаратного обеспечения компании, с помощью которого распространялось вредоносное программное обеспечение. Обыски проведены представителями Департамента киберполиции, следователями и при участии Службы безопасности Украины. Изъяты рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение[36].
Атрибуция атаки
Несмотря на то, что вирус производит впечатление обычного образца вымогательского программного обеспечения, созданного ради обогащения злоумышленников, ряд исследователей высказали предположение, что, на самом деле, этот миф служит прикрытием масштабной кибератаки со стороны одного государства против другого. Таким образом, основным назначением вируса могло быть не вымогательство, а уничтожение важных данных и нарушение нормальной работы крупных государственных и частных учреждений[37][38].
Результаты
Благодаря тому, что все транзакции Bitcoin являются полностью публичными, статистику переводов владельцу вируса может увидеть любой. Нью-йоркский журналист и программист Кейт Коллинз создал аккаунт в Твиттере, который автоматически обновляется после каждой из операций и показывает текущее состояние счета злоумышленника.
По состоянию на 14:00 по Киевскому времени 28 июня злоумышленник получил более $10 тыс.
28 июня 2017 года Кабинет Министров Украины сообщил, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена[39].
30 июня секретарь СНБО Турчинов заявил о возможности использования технологий Tor и VPN злоумышленниками[40]. В первых числах июля 2017 года Служба безопасности Украины заявила о причастности спецслужб РФ к атаке с использованием вируса Petya[41].
Список атакованных предприятий
Банки
- Ощадбанк
- Банк Пивденный
- ОТП Банк
- Кредобанк
- Укргазбанк[42]
- Укрсоцбанк
- Проминвестбанк
- Приват24
Компании
- Укрзализныця
- Международный аэропорт «Борисполь»
- Международный аэропорт «Киев»
- сеть магазинов «Эпицентр»
- сеть магазинов «Новая Линия»
- Укрпочта
- Нова Пошта
- ДТЭК
- Укрэнерго
- Киевэнерго
- сеть автозаправок ТНК
- ПСГ «Ковальская»
- ТРК «Люкс»
- Киевводоканал
- Rozetka
- сеть автозаправок WOG
- Укргаздобыча
- Киевский метрополитен
- телеканал ATR
- телеканал ICTV[43]
- телеканал СТБ
- Авангард[44]
- UkrLandFarming[44]
- Concert.ua
- Lifecell
- Vodafone Украина
- Киевстар
- Татнефть-АЗС-Украина
- ГП «Документ»
- ГП «Антонов»
- ГП «Национальное газетно-журнальное издательство»[45]
Примечания
- An unprecedented cyber attack just took out major banks, government and airport computers in Ukraine (англ.). The Independent (27 июня 2017). Дата обращения: 15 января 2022.
- Ukrainian banks, electricity firm hit by fresh cyber attack, Reuters (27 июня 2017). Дата обращения 15 января 2022.
- Из-за масштабной вирусной атаки не работают банки, медиа, сервисы . Украинская правда. Дата обращения: 15 января 2022.
- В Україні десятки компаній та установ атакував комп’ютерний вірус | Громадське телебачення (укр.). hromadske.ua. Дата обращения: 15 января 2022.
- Вирус Petya.A. Хакеры атаковали банки, компании, "Укрэнерго" и "Киевэнерго" . ТСН.ua (27 июня 2017). Дата обращения: 15 января 2022.
- Вирус “Петя” парализовал работу Кабмина . Украинская правда. Дата обращения: 15 января 2022.
- Хакерская атака на Украину: подробности . РБК-Украина. Дата обращения: 15 января 2022.
- Kramer, Andrew Ukraine Cyberattack Was Meant to Paralyze, not Profit, Evidence Shows . The New York Times (28 июня 2017). Дата обращения: 29 июня 2017.
- Borys, Christian. Ukraine braces for further cyber-attacks (англ.), BBC News (26 July 2017).
- Satter , Raphael Ukraine says it foiled 2nd cyberattack after police raid . Associated Press (5 июля 2017). Дата обращения: 5 июля 2017. (недоступная ссылка)
- Frenkel, Sheera Global Ransomware Attack: What We Know and Don’t Know . The New York Times (27 июня 2017). Дата обращения: 28 июня 2017.
- Красномовец, Павел. Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать (рус.), AIN.UA (24 мая 2017). Дата обращения 29 июня 2017.
- Polityuk, Pavel Global cyber attack likely cover for malware installation in Ukraine: police official . Reuters (29 июня 2017). Дата обращения: 29 июня 2017.
- Petroff, Alanna Experts: Global cyberattack looks more like 'sabotage' than ransomware . CNN (30 июня 2017). Дата обращения: 30 июня 2017.
- Вірус "Петя". Як вберегтися від кібер-атаки . Українська правда (27 июня 2017). Дата обращения: 28 июня 2016.
- Скільки заробив автор вірусу Petya.A і які країни найбільше постраждали від його дій? (укр.), Tokar.ua (28 червня 2017). Дата обращения 28 июня 2017.
- Hern, Alex. Ransomware attack 'not designed to make money', researchers claim (англ.), The Guardian (28 June 2017). Дата обращения 28 июня 2017.
- Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt . Posteo (27 июня 2017).
- CERT-EU-SA2017-014: Petya-Like Malware Campaign . CERT-EU (27 июня 2017).
- Олег Дмитренко Кіберполіція: вірусна атака поширювалась через M.E.doc . Watcher (28 июня 2017).
- New ransomware, old techniques: Petya adds worm capabilities . Microsoft Malware Protection Center blog (27 червня 2017 року).
- Dave Lee 'Vaccine' created for huge cyber-attack . BBC News.
- Минобороны подтвердило: от взрыва погиб полковник ГУР (недоступная ссылка). Украинская правда (27 июня 2017). Дата обращения: 15 января 2022. Архивировано 30 июня 2017 года.
- Збіг кібератаки і вбивства полковника Шаповала не є випадковим, — Турчинов (недоступная ссылка). Дата обращения: 29 июня 2017. Архивировано 27 июня 2017 года.
- Мощная атака: в серверы «Роснефти» проник клон вируса WannaCry . НТВ (27 июня 2017). Дата обращения: 15 января 2022.
- Клон вируса WannaCry парализовал компьютеры «Башнефти» . Ведомости (27 мая 2017). Дата обращения: 15 января 2022.
- The Grugq. Pnyetya: Yet Another Ransomware Outbreak . Medium.com (27 июня 2017).
- Хакерская атака на Украину распространяется по всему миру, - The Independent . РБК-Украина. Дата обращения: 15 января 2022.
- Global cyber attack hits IT systems in Ireland and the UK (англ.). independent (27 мая 2017). Дата обращения: 15 января 2022.
- 'Petya' ransomware attack strikes companies across Europe and US (англ.). the Guardian (27 июня 2017). Дата обращения: 15 января 2022.
- Вирус Petya добрался до Эстонии: из-за атаки закрыты все магазины Ehituse ABC (рус.), Rus.Postimees.ee. Дата обращения 5 июля 2017.
- У ПОЛІЦІЇ ВІДКРИТО 23 КРИМІНАЛЬНИХ ПРОВАДЖЕННЯ ЗА ФАКТАМИ ВТРУЧАННЯ В РОБОТУ КОМП'ЮТЕРНИХ МЕРЕЖ . Департамент кіберполіції (28 июня 2017).
- За дві доби до поліції надійшло 1,5 тисячі повідомлень про вірусне зараження комп'ютерних мереж . Департамент кіберполіції (29 июня 2017).
- СБУ спільно з іноземними партнерами продовжує роботу з локалізації розповсюдження шкідливого програмного забезпечення PetyaA (недоступная ссылка). Служба безпеки України (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано 4 июля 2017 года.
- Масові хакерські атаки можуть бути організовані з Росії, - СБУ . Волинські новини. Дата обращения: 15 января 2022.
- Прикриттям наймасштабнішої кібератаки в історії України став вірус Diskcoder.C - кіберполіція (укр.). Департамент кіберполіції Національної поліції України (5 июля 2017).
- Russell Brandom The Petya ransomware is starting to look like a cyberattack in disguise . The Verge (28 июня 2017).
- Andy Greenberg. Ukrainians Say Petya Ransomware Hides State-Sponsored Attacks . The Wired (28 июня 2017).
- Кібератаку на корпоративні мережі та мережі органів влади зупинено (укр.) (недоступная ссылка). kmu.gov.ua (28 июня 2017). Дата обращения: 15 января 2022. Архивировано 1 июля 2017 года.
- Турчинов: вірус Petya провів через VPN український провайдер (укр.). ФАКТИ ICTV (30 июня 2017). Дата обращения: 15 января 2022.
- СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya. (недоступная ссылка). СБУ (1 июля 2017). Дата обращения: 14 июля 2017. Архивировано 5 июля 2017 года.
- Пострадавшие от кибератаки банки и компании: перечень
- Телеканал ICTV подвергся хакерской атаке
- "Укрлендфарминг" и "Авангард" Бахматюка подверглись хакерской атаке
- Євген Букет. Вітання Петру О. від “Пєті А.” до Дня Конституції (недоступная ссылка)
- Вирус Petya распространился по всей Европе — The Guardian
- Наталья Селиверстова. Информационная система Evraz подверглась хакерской атаке, РИА Новости (27 июня 2017). Дата обращения 17 июля 2017.
Ссылки
- Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010 . CERT-UA (27 июня 2017). Дата обращения: 28 июня 2017.
- CERT-EU-SA2017-014: Petya-Like Malware Campaign . CERT-EU (27 июня 2017).
- Как победить вирус Petya . Хабрахабр. Positive Technologies (28 июня 2017). Дата обращения: 29 июня 2017. (рус.)
- Украина подверглась самой крупной в истории кибератаке вирусом Petya . Хабрахабр (27 июня 2017). Дата обращения: 29 июня 2017. (рус.)
- Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача (оновлено) (недоступная ссылка). СБУ (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано 3 июля 2017 года.
- Самые яркие события в истории кибербезопасности в Украине. Datami.