З чого все почалося
У вівторок, 27 червня 2017 року, комп’ютерні мережі українського уряду, «Ощадбанку», «Укртелекому», десятка інших державних та приватних установ, кількох торгівельних мереж та магазинів атакував вірус-шифрувальник. Він блокував доступ до жорстких дисків і повністю зупиняв роботу як окремих комп’ютерів, так і цілих мереж. Атака поширювалася виключно на пристрої з ОС Windows різних версій. Linux, Unix-подібні системи та macOS / OS X від вторгнення не постраждали.
Протягом доби атака поширилася за межі України, добралася до США, кількох європейських та азійських країн, а також порушила цикл подання податкової звітності, а також реєстрації податкових накладних для підприємців за період між 1 та 15 червня. Від опису на екрані блокування вірус-вимагач дістав назву Petya.AТемний Petya: все, що вам слід знати про новий вірус-вимагальник, втім, згодом з’явилися і його модифікації.
Що і як збирав вірус
Зараження відбулося за допомогою бухгалтерської облікової програми M.E.Doc, хоча представники компанії-розробника перші декілька діб все заперечували. Головним чином вірус збирав дані про коди ЄДРПОУ. Вони використовуються для обліку фізичних осіб-підприємців та юридичних осіб лише в Україні, що дає привід говорити про цілеспрямований характер зараження з метою дестабілізації ситуації саме в Україні. Також вірус збирав налаштування проксі-серверів та портів, логіни та паролі. Після цього шифрував диск та теоретично мав відновити доступ до файлів після сплати викупу. Хоча деякі жертви перерахували у біткоїнах за курсом близько $10 тис, жодних ключів розшифровки вони так і не отримали.
Чи було це атакою заради викупу
Ні, більшість експертів сходяться на тому, що Petya.A / Not.Petya та його підвиди, які поширилися протягом двох хвиль атаки, не мали на меті викуп за дешифрування даних. І хоча на Pastebin з’явився заклик обміняти 100 біткоїнів на дешифратор, фахівці із кібербезпеки твердять: творці вірусу (або хтось, хто вдає, ніби є творцем Petya.A) просто «граються» із журналістами та постраждалими. Судячи з характеру зараження, атака готувалася в декілька етапів і мала на меті паралізувати роботу державних та комерційних установ в межах однієї країни та мережі «дочірніх» або «материнських» компаній, пов’язаних із Україною, а не збагатити окрему групу хакерів.
Хто ж все-таки став джерелом зараження
Після 4 днів заперечення своєї причетності українська компанія M.E.Doc, яка випускає програмне забезпечення для бухгалтерського обліку, підтвердила факт поширення ransomware-коду саме через їхній програмний продукт. Щоправда, представники компанії назвали цю ситуацію наслідком втручання хакерів (можливо, тих же, хто причетний до створення та запуску епідемії WannaCry). Найцікавіше те, що в M.E.Doc не могли з квітня не знати про те, що в їхньому коді є проблема. Як ви зможете побачити далі, зараження та втручання сталося не миттєво, а проходило у декілька етапів, розділених у часі.
Як відбувалося зараження
Найбільш повну картину зараження дає WeLiveSecurity. У їхній публікації йдеться, що і Департамент кіберполіції України, і компанія ESET та низка інших підтвердили зараження скриптом DiskCoder.C саме через бухгалтерське програмне забезпечення українського розробника, в один із модулів якого було вбудовано бекдор для несанкціонованого доступу. За твердженням фахівців WeLiveSecurity, зробити це без доступу до вихідного коду програми практично неможливо. Тому не виключено, що хакера слід шукати в оточенні тих, хто пов’язаний із компанією-розробником.
Модуль для бекдора містився у файлі ZvitPublishedObjects.dll, написаному на фреймворку .NET. Файл розміром у 5 МБ мав як легальний код від розробника, так і фальшивий від хакерів. У підсумку він весь завантажувався на комп’ютери жертв і починав атаку. Дослідники виявили, що процес зараження відбувався у декілька етапів:
- версія 01.175-10.01.176 була випущена та інстальована на комп’ютери 14 квітня 2017 року (підготовча фаза атаки);
- версія 01.180-10.01.181 вийшла 15 травня 2017 року (тут починаються вже перші випадки зараження);
- версія 01.188-10.01.189 побачила світ 22 червня 2017-го (на цій стадії за 5 днів відбувається масований запуск бекдору).
Що ще варто знати про механіку зараження
Фахівці вказують на ще одну цікаву деталь. 4 оновлення програми M.E.Doc між 24 квітня та 10 травня 2017 року та 7 оновлень між 17 травня і аж до 21 червня 2017 року не містять переписаного модулю із бекдором. Хакери контролювали рівень зараженості версій і діяли поступову, вочевидь, намагаючись якомога довше перебувати «в тіні» та здійснити атаку саме у заключній частині звітного періоду для податкової системи. Чітке спрямування атаки на українські підприємства, як вже було зазначено раніше, випливає із використання коду ЄДРПОУ як одного із ключових параметрів для збирання даних про компанії, які використовують (або не використовують) заражені комп’ютери. В інших країнах процедура ідентифікації підприємців та компаній відбувається за іншими параметрами. Фахівці визначають Petya-епідемію не просто як атаку хакерів чи поширення ransomware-програми, а як елемент гібридного протистояння, що включає кіберсаботаж та кібершпіонаж.
Як можна визначити зараженість жорсткого диску
Основними індикаторами того, що на жорсткому диску вже побував Petya, є:
- ESET знаходить файли з такими шляхами / іменами: MSIL/TeleDoor.A
- Є підключення до такого серверу: upd.me-doc.com[.]ua
- Хеші SHA-1 мають значення:
- 7B051E7E7A82F07873FA360958ACC6492E4385DD
- 7F3B1C56C180369AE7891483675BEC61F3182F27
- 3567434E2E49358E8210674641A20B147E0BD23C
Що робити далі
Представники Департаменту кіберполіції наполегливо рекомендували усім користувачам M.E.Doc поки що не використовувати програму, відключити ПК від мережі, а також змінити свої паролі та електронні цифрові підписи. Хакерський код було знайдено на одному із персональних комп’ютерів компанії-розробника цього ПЗ — ТОВ «Інтелект-Сервіс».
В департаменті на час слідчих дій просять дотримуватися заходів безпеки, оскільки облікові записи користувачів могло бути скомпроментовано. У такий спосіб хакери змогли отримати повний доступ до Мережі та вивести з ладу мережеве обладнання.
Як відновити доступ до чатково заражених комп’ютерів
Найбільш повну інструкцію щодо відновлення доступу до частково заражених комп’ютерів опублікував Департамент кіберполіції Національної поліції України, радимо скористатися нею. У випадку, якщо ваш ПК вже «зашифрувало», розблокування диску поки що не є можливим.
На які 7 важливих моментів варто зважити керівникам компаній
- Інвестувати кошти в перехід ваших організацій, компаній та офісів на Linux / *nix / macOS як альтернативи Windows.
- Провести тренінги / курси із грамотності щодо кібербезпеки у вашій компанії. Не пошкодувати часу, грошей та ресурсів на те, щоби навчити працівників не встановлювати та не оновлювати додатки сумнівного походження, не розпаковувати .exe-архіви від невідомих авторів, не користуватися локальними клієнтами для перевірки та завантаження пошти.
- Розвести в окремі мережі зв’язку платіжних терміналів, банкоматів, внутрішньокорпоративні мережі та загальнодоступну мережу. Банки та торгівельні заклади, де все «висіло» на одній мережі і на одних і тих же серверах, автоматично «упіймали» вірус протягом кількох хвилин на всю мережу (про «банкомати на Windows» взагалі питання риторичне).
- Перейти на «хмарні» сервіси для обліку, бухгалтерської звітності10 фактів про UnityBase — український продукт, що може замінити «1C», проведення банківських та інших фінансових операцій, а також управлінського облікуБез санкцій — чи вдасться Oracle Apex замінити «1C» в компаніях. Цим ви не лише закриєте питання захисту від вірусних загроз, але й знімете ризики, пов’язані із економічними санкціями.
- Визнати той факт, що відсутність грамотної побудови кіберзахисту в компанії автоматично ставить під сумнів її конкурентноздатність та економічні перспективи — а не лише файли чи документи на окремих комп’ютерах. «Ощадбанк» 4 дні не міг відновити нормальну роботу відділень, в той час як «Приватбанк» продовжував працювати, бо мав мережу банкоматів та терміналів на основі інших розробок, не пов’язаних із Windows.
- Мислити глобально, а діяти локально. Наслідки бездіяльності чи недбалості на рівні локальних компаній відобразилися в кінцевому підсумку на стабільності та ефективності роботи на міжнародному рівні. Тому говорити про безпеку окремих брендів чи установ недоречно. Варто будувати IT-архітектуру таким чином, щоби питання захисту та безпеки було колективним, а не індивідуальним.
- В країні триває війна, і вона може мати форму не лише боїв на передовій, терактів в тилу чи інформаційного протистояння в інтернеті. Кіберзлочини та атаки — така ж складова війни, як і снаряди, танки, агітаційні матеріали чи пропаганда від супротивника. Не враховувати цей чинник у повсякденній роботі компанії означає наражати на небезпеку і свій бізнес, і своїх співробітників.