Petya.А: веб-терору сприяє нехтування основами кібербезпеки

 Липень 5, 2017

5507_p_05_img_0001Міністерство оборони України планує створити підрозділ,  який займатиметься кіберзагрозами

Правники-міжнародники закликають убезпечити кіберпростір від розв’язування в ньому віртуальних війн, які в реальному світі мають серйозні, аж до катастрофічних, наслідки. Приміром, завкафедри права Київського національного лінгвістичного університету, професор Олександр Мережко розробив проект міжнародної угоди «Конвенція про заборону використання кібервійни в глобальній інформаційній мережі інформаційних і обчислювальних ресурсів (Інтернеті)». Головна ідея ініціативи: Інтернет має лишитися вільним від воєнних дій, його варто розглядати як «спільну спадщину людства». І атака вірусу Petya.А, основний удар якої було спрямовано на Україну, знову підняла на поверхню питання безпеки глобальної комунікації. Засоби останньої дедалі частіше стають зброєю в руках держави-агресора, кримінальних картелів або масштабного веб-терору. Не ми починали цей гібридний конфлікт, елементом якого однозначно є веб-терор, але нам потрібно боротися з його наслідками. І боротися дуже довго й наполегливо

27 червня цього року було розпочато наступний розділ в історії кібервоєн. Саме того дня народився комп’ютерний вірус Petya.А, який застосували хакери (принаймні такий напис з’являється на «вбитому» моніторі) у масованій атаці, чомусь початій саме з України. І чомусь винятково в операційній системі Windows. Протягом кількох діб наш банківський сектор, системи платежів, управління транспортною інфраструктурою, ЗМІ, державні органи, великі й малі локальні комп’ютерні системи тощо опинилися в паралізованому або близькому до такого стані. Організатори атаки були добре обізнані зі специфікою службових розсилань в українському комерційному й державному секторах, маскуючи листи з вірусом під ділове листування. З’ясувалося, що цей напад має утилітарне завдання: операторам заражених мережевих систем та окремих машин хакери пропонували «зняти прокляття» (шифрування файлів жорсткого диска) за визначену в біткоїнах плату — 300 доларів за сеанс. Між виявленням ураження комп’ютера й цілковитим його зараженням минало не більше як три хвилини. Аналіз часу надсилання «вбивчих» фішингових листів свідчить, що атаку готували щонайменше місяць.

Отже, на перший погляд усе скидалося на шантаж і вимагання, що нібито вже бувало неодноразово. Проте фахівці розкусили справжній задум авторів Petya.А. Насправді їх не цікавили гроші як такі, оскільки ціллю кібернетичних рекетирів не були конкретні об’єкти або визначені за якоюсь очевидною ознакою групи жертв. Під простецьких хакерів, можна сказати, віртуальних гопників маскувалася якщо не технологічна агресія, то «спроба пера» — так точно, щоб діагностувати, наскільки швидко й ефективно в режимі єдиної координації поширюється е-вірус. Очевидно, розробники не опікувалися глибиною ураження, це додаткова опція, яку завжди можна активізувати. Їх цікавило відкриття всіх ресурсів, які корпорації, веб-користувачі, країни (напевно, передовсім Україна) кинули на ліквідацію наслідків такого блискавичного зараження. Це схоже, як на мене, на те, як викривають вогневі точки противника перед його нищенням. Тобто на провокацію. Не хочу нікого страхати, але є підстави стверджувати, що кіберзброю, як і будь-яку іншу, випробовують. А випробовують її зазвичай на полігонах або театрах воєнних дій, максимально наближених до параметрів, потрібних розробникові. Україна доволі чітко вписується саме в таке визначення. Варто згадати кібернапад у грудні 2015-го, коли хакери змогли вірусом Black Energy вимкнути від електромережі Прикарпаття, утрутившись у роботу обленерго. Тоді понад 700 тис. абонентів були без електрики по кілька годин. Цей же вірус Держслужба спецзв’язку України виявила й у веб-мережі аеропорту «Бориспіль». Американські кіберрозвідники із iSight Partners заявили, що це дії Sandworm — групи російських хакерів, які навіть атакували об’єкти НАТО. Торік у грудні один із різновидів трояна KillDisk зламав мережі українських Держказначейства, Мінфіну та Пенсійного фонду.

Відповідно до даних корпорації Microsoft, загалом Petya.А окреслив свою присутність майже в сімдесяти країнах. Власне в Україні було інфіковано приблизно 13 тис. комп’ютерів. Те саме каже й національна кіберполіція. Microsoft підтверджує, що вірус-здирник є таким собі досконалішим ремейком свого старшого «брата» Ransom. А поширювався він за допомогою однієї з бухгалтерських програм, щоправда, розробники останньої одразу заявили про її непричетність. Корпорація Microsoft також дала зрозуміти: постраждали ті комп’ютери, які не мали оновлень антивірусного програмного забезпечення або користувалися неліцензійними (піратськими) копіями операційних систем. Принаймні Windows Defender зміг розгледіти загрозу. Користувачам цієї ОС достатньо вчасно обновляти Windows, бо нові версії містять захист від вірусів. Але навряд чи Petya.А — це рекламний промотрюк відомої компанії…

Натомість американська The New York Times днями заявила: цей «мікроб» украли в Агентства нацбезпеки (АНБ) США. Правильніше, це модернізована версія спецрозробки АНБ, яку санкціоновано застосовували для втручання в комп’ютерні системи, якщо того вимагали інтереси держави. Видання порівнює цей вірус із його можливим попередником WannaCry і доходить висновку: молодший є досконалішим. Але WannaCry теж активно застосовували в кібератаках у світі, дебютно — на заклади охорони здоров’я Великобританії. Нашкодив він і в Україні. Загалом WannaCry завдав збитків на понад 1 млрд доларів, а хакери змогли заробити лише 120 тис. доларів.

Варто зауважити, що Petya.А. не заподіяв Україні якоїсь катастрофічної шкоди. Уряд згодом зазначив: жодне зі 150 стратегічних для економіки підприємств, мережі яких контролює Держспецзв’язок, зокрема, АЕС, установи оборонки, сектору безпеки, не постраждали.

 

Відповідь України

Після атаки Petya.А за протоколом швидкого реагування запрацював створений торік під егідою РНБОУ Національний координаційний центр кібербезпеки. Олександр Турчинов заявив про необхідність усім держустановам увійти в захищений контур Інтернету й виконувати вимоги фахівців із кібербезпеки. Секретар РНБОУ вважає Росію, після первинного аналізу веб-агресії, причетною до кібератаки в Україні. Із ним погоджується практично все вітчизняне експертне середовище, у якому панує думка, що левова частка комп’ютерних користувачів, попри очевидні гібридні загрози, нехтує навіть елементарними засадами кібербезпеки.

Нині розглядають питання про збільшення трастового фонду НАТО (він має обсяг 1 млн євро) та одержання обладнання від Альянсу (з Румунії) на посилення кіберзахисту України. Під час візиту в офіс НАТО Міністр оборони генерал армії України Степан Полторак заявив, що відомство створить підрозділ, який займатиметься кіберзагрозами, з урахуванням позитивного досвіду Литви та з допомогою Альянсу. Водночас він зауважив: Міноборони успішно відбило атаку вірусу Petya.A, який не вплинув на управління військами та виконання завдань у районі АТО.

 

Географія атаки

Відповідно до даних компанії ESET, розробника антивірусного програмного забезпечення, сформовано аналіз розподілу «вірусного навантаження» на певні країни, де гастролював Petya.А. Отже, Україна прийняла основний удар: 75,2% від усіх випадків зараження комп’ютерів вірусом-шифрувальником у світі сталися в нашій державі, Польща зазнала 5,8% таких атак, Росія, попри масштаби атаки й не меншу уразливість комп’ютерних мереж, аніж в Україні, відбулася легким переляком: усього 0,8% від масиву кібератак.

 

Реакція світу

Міністр національної оборони Польщі Антоній Мацеревич заявив: не варто виключати причетність Росії до останньої глобальної кібератаки. І така версія є провідною в оцінці згаданого процесу. До того ж посадовець зауважує, що раніше такі агресії не концентрувалися так точково, як це зробив Petya.А., який здебільшого зачепив Україну. Ця кібератака може вплинути на кібербезпеку Польщі та її обороноздатність.

Європол після перших повідомлень про Petya.А створив координаційний центр для контролю над поширенням вірусу. Виконавчий директор Європолу Роб Вейнрайт сказав, що це чергова серйозна атака з глобальним впливом і демонстрація того, як масштабно розвивається кіберзлочинність, а також нагадування про важливість заходів кібербезпеки. Тим часом за розслідування кібератаки взялося ФБР США, а тамтешній сенат хоче заборонити Пентагонові застосовувати продукти російської ІТ-компанії «Лабораторія Касперського», проти деяких працівників якої ФБР уже здійснює слідство.

Геннадій КАРПЮК

Схожi записи: