fbpx
Aa Aa Aa
Aa Aa Aa
Pročytaty vgolos
Zupynyty čytannja

Petya, NotPetya ta 7 golovnyh vysnovkiv pislja najbiľšoї hakerśkoї ataky

Petya, NotPetya та 7 головних висновків після найбільшої хакерської атаки
Drugyj tyždeń v Ukraїni tryvaje skladna sytuacija iz bankivśkymy, deržavnymy ta finansovymy ustanovamy — dostup do tysjač robočyh komp'juteriv na Windows zablokuvalo virusne programne zabezpečennja, kotre cilkom šyfruje možlyvosti vidnovlennja danyh, pozbavljajučy korystuvačiv cinnoї informaciї. Predstavnyky sylovyh struktur ta eksperty z kiberbezpeky zhodjaťsja v odnomu: metoju zlovmysnykiv ne bulo osobyste zbagačennja (jak u vypadku iz WannaCryptor). Ščo vidomo na cej moment i čogo včyť nas cja sytuacija?
Другий тиждень в Україні триває складна ситуація із банківськими, державними та фінансовими установами — доступ до тисяч робочих комп'ютерів на Windows заблокувало вірусне програмне забезпечення, котре цілком шифрує можливості відновлення даних, позбавляючи користувачів цінної інформації. Представники силових структур та експерти з кібербезпеки зходяться в одному: метою зловмисників не було особисте збагачення (як у випадку із WannaCryptor). Що відомо на цей момент і чого вчить нас ця ситуація?
Читати кирилицею

Speciaľni možlyvosti

Pročytaty vgolos
Zupynyty čytannja
Kontrastna versija
  З чого все почалося. У вівторок, 27 червня 2017 року, компютерні мережі українського уряду, Ощадбанку, Укртелекому, десятка інших державних та приватних установ, кількох торгівельних мереж та магазинів атакував вірус-шифрувальник. Він блокував доступ до жорстких дисків і повністю зупиняв роботу як окремих компютерів, так і цілих мереж. Атака поширювалася виключно на пристрої з ОС Windows різних версій. Linux, Unix-подібні системи та macOS / OS X від вторгнення не постраждали. Протягом доби атака поширилася за межі України, добралася до США, кількох європейських та азійських країн, а також порушила цикл подання податкової звітності, а також реєстрації податкових накладних для підприємців за період між 1 та 15 червня. Від опису на екрані блокування вірус-вимагач дістав назву Petya.A, втім, згодом зявилися і його модифікації. Що і як збирав вірус. Зараження відбулося за допомогою бухгалтерської облікової програми M.E.Doc, хоча представники компанії-розробника перші декілька діб все заперечували. Головним чином вірус збирав дані про коди ЄДРПОУ. Вони використовуються для обліку фізичних осіб-підприємців та юридичних осіб лише в Україні, що дає привід говорити про цілеспрямований характер зараження з метою дестабілізації ситуації саме в Україні. Також вірус збирав налаштування проксі-серверів та портів, логіни та паролі. Після цього шифрував диск та теоретично мав відновити доступ до файлів після сплати викупу. Хоча деякі жертви перерахували у біткоїнах за курсом близько $10 тис, жодних ключів розшифровки вони так і не отримали. Чи було це атакою заради викупу. Ні, більшість експертів сходяться на тому, що Petya.A / Not.Petya та його підвиди, які поширилися протягом двох хвиль атаки, не мали на меті викуп за дешифрування даних. І хоча на Pastebin зявився заклик обміняти 100 біткоїнів на дешифратор, фахівці із кібербезпеки твердять: творці вірусу (або хтось, хто вдає, ніби є творцем Petya.A) просто граються із журналістами та постраждалими. Судячи з характеру зараження, атака готувалася в декілька етапів і мала на меті паралізувати роботу державних та комерційних установ в межах однієї країни та мережі дочірніх або материнських компаній, повязаних із Україною, а не збагатити окрему групу хакерів. Хто ж все-таки став джерелом зараження. Після 4 днів заперечення своєї причетності українська компанія M.E.Doc, яка випускає програмне забезпечення для бухгалтерського обліку, підтвердила факт поширення ransomware-коду саме через їхній програмний продукт. Щоправда, представники компанії назвали цю ситуацію наслідком втручання хакерів (можливо, тих же, хто причетний до створення та запуску епідемії WannaCry). Найцікавіше те, що в M.E.Doc не могли з квітня не знати про те, що в їхньому коді є проблема. Як ви зможете побачити далі, зараження та втручання сталося не миттєво, а проходило у декілька етапів, розділених у часі. Як відбувалося зараження. Найбільш повну картину зараження дає WeLiveSecurity. У їхній публікації йдеться, що і Департамент кіберполіції України, і компанія ESET та низка інших підтвердили зараження скриптом DiskCoder.C саме через бухгалтерське програмне забезпечення українського розробника, в один із модулів якого було вбудовано бекдор для несанкціонованого доступу. За твердженням фахівців WeLiveSecurity, зробити це без доступу до вихідного коду програми практично неможливо. Тому не виключено, що хакера слід шукати в оточенні тих, хто повязаний із компанією-розробником. Модуль для бекдора містився у файлі ZvitPublishedObjects.dll, написаному на фреймворку .NET. Файл розміром у 5 МБ мав як легальний код від розробника, так і фальшивий від хакерів. У підсумку він весь завантажувався на компютери жертв і починав атаку. Дослідники виявили, що процес зараження відбувався у декілька етапів: версія 01.175-10.01.176 була випущена та інстальована на компютери 14 квітня 2017 року (підготовча фаза атаки); версія 01.180-10.01.181 вийшла 15 травня 2017 року (тут починаються вже перші випадки зараження); версія 01.188-10.01.189 побачила світ 22 червня 2017-го (на цій стадії за 5 днів відбувається масований запуск бекдору). Що ще варто знати про механіку зараження. Фахівці вказують на ще одну цікаву деталь.  4 оновлення програми M.E.Doc між 24 квітня та 10 травня 2017 року та 7 оновлень між 17 травня і аж до 21 червня 2017 року не містять переписаного модулю із бекдором. Хакери контролювали рівень зараженості версій і діяли поступову, вочевидь, намагаючись якомога довше перебувати в тіні та здійснити атаку саме у заключній частині звітного періоду для податкової системи. Чітке спрямування атаки на українські підприємства, як вже було зазначено раніше, випливає із використання коду ЄДРПОУ як одного із ключових параметрів для збирання даних про компанії, які використовують (або не використовують) заражені компютери. В інших країнах процедура ідентифікації підприємців та компаній відбувається за іншими параметрами. Фахівці визначають Petya-епідемію не просто як атаку хакерів чи поширення ransomware-програми, а як елемент гібридного протистояння, що включає кіберсаботаж та кібершпіонаж. Як можна визначити зараженість жорсткого диску. Основними індикаторами того, що на жорсткому диску вже побував Petya, є: ESET знаходить файли з такими шляхами / іменами: MSIL/TeleDoor.A Є підключення до такого серверу: upd.me-doc.com[.]ua Хеші SHA-1 мають значення: 7B051E7E7A82F07873FA360958ACC6492E4385DD 7F3B1C56C180369AE7891483675BEC61F3182F27 3567434E2E49358E8210674641A20B147E0BD23C Що робити далі. Представники Департаменту кіберполіції наполегливо рекомендували усім користувачам M.E.Doc поки що не використовувати програму, відключити ПК від мережі, а також змінити свої паролі та електронні цифрові підписи. Хакерський код було знайдено на одному із персональних компютерів компанії-розробника цього ПЗ — ТОВ Інтелект-Сервіс. В департаменті на час слідчих дій просять дотримуватися заходів безпеки, оскільки облікові записи користувачів могло бути скомпроментовано. У такий спосіб хакери змогли отримати повний доступ до Мережі та вивести з ладу мережеве обладнання. Як відновити доступ до чатково заражених компютерів. Найбільш повну інструкцію щодо відновлення доступу до частково заражених компютерів опублікував Департамент кіберполіції Національної поліції України, радимо скористатися нею. У випадку, якщо ваш ПК вже зашифрувало, розблокування диску поки що не є можливим. На які 7 важливих моментів варто зважити керівникам компаній. Інвестувати кошти в перехід ваших організацій, компаній та офісів на Linux / *nix / macOS як альтернативи Windows. Провести тренінги / курси із грамотності щодо кібербезпеки у вашій компанії. Не пошкодувати часу, грошей та ресурсів на те, щоби навчити працівників не встановлювати та не оновлювати додатки сумнівного походження, не розпаковувати .exe-архіви від невідомих авторів, не користуватися локальними клієнтами для перевірки та завантаження пошти. Розвести в окремі мережі звязку платіжних терміналів, банкоматів, внутрішньокорпоративні мережі та загальнодоступну мережу. Банки та торгівельні заклади, де все висіло на одній мережі і на одних і тих же серверах, автоматично упіймали вірус протягом кількох хвилин на всю мережу (про банкомати на Windows взагалі питання риторичне). Перейти на хмарні сервіси для обліку, бухгалтерської звітності, проведення банківських та інших фінансових операцій, а також управлінського обліку в компаніях. Цим ви не лише закриєте питання захисту від вірусних загроз, але й знімете ризики, повязані із економічними санкціями. Визнати той факт, що відсутність грамотної побудови кіберзахисту в компанії автоматично ставить під сумнів її конкурентноздатність та економічні перспективи — а не лише файли чи документи на окремих компютерах.  Ощадбанк 4 дні не міг відновити нормальну роботу відділень, в той час як Приватбанк продовжував працювати, бо мав мережу банкоматів та терміналів на основі інших розробок, не повязаних із Windows. Мислити глобально, а діяти локально. Наслідки бездіяльності чи недбалості на рівні локальних компаній відобразилися в кінцевому підсумку на стабільності та ефективності роботи на міжнародному рівні. Тому говорити про безпеку окремих брендів чи установ недоречно. Варто будувати IT-архітектуру таким чином, щоби питання захисту та безпеки було колективним, а не індивідуальним. В країні триває війна, і вона може мати форму не лише боїв на передовій, терактів в тилу чи інформаційного протистояння в інтернеті. Кіберзлочини та атаки — така ж складова війни, як і снаряди, танки, агітаційні матеріали чи пропаганда від супротивника. Не враховувати цей чинник у повсякденній роботі компанії означає наражати на небезпеку і свій бізнес, і своїх співробітників.
Реклама 👇 Замовити

Z čogo vse počalosja

U vivtorok, 27 červnja 2017 roku, komp’juterni mereži ukraїnśkogo urjadu, «Oščadbanku», «Ukrtelekomu», desjatka inšyh deržavnyh ta pryvatnyh ustanov, kiľkoh torgiveľnyh merež ta magazyniv atakuvav virus-šyfruvaľnyk. Vin blokuvav dostup do žorstkyh dyskiv i povnistju zupynjav robotu jak okremyh komp’juteriv, tak i cilyh merež. Ataka pošyrjuvalasja vyključno na prystroї z OS Windows riznyh versij. Linux, Unix-podibni systemy ta macOS / OS X vid vtorgnennja ne postraždaly.

Protjagom doby ataka pošyrylasja za meži Ukraїny, dobralasja do SŠA, kiľkoh jevropejśkyh ta azijśkyh kraїn, a takož porušyla cykl podannja podatkovoї zvitnosti, a takož rejestraciї podatkovyh nakladnyh dlja pidpryjemciv za period miž 1 ta 15 červnja. Vid opysu na ekrani blokuvannja virus-vymagač distav nazvu Petya.APetya, NotPetya ta 7 golovnyh vysnovkiv pislja najbiľšoї hakerśkoї ataky 1Temnyj Petya: vse, ščo vam slid znaty pro novyj virus-vymagaľnyk, vtim, zgodom z’javylysja i jogo modyfikaciї.

Ščo i jak zbyrav virus

Zaražennja vidbulosja za dopomogoju buhgalterśkoї oblikovoї programy M.E.Doc, hoča predstavnyky kompaniї-rozrobnyka perši dekiľka dib vse zaperečuvaly. Golovnym čynom virus zbyrav dani pro kody JeDRPOU. Vony vykorystovujuťsja dlja obliku fizyčnyh osib-pidpryjemciv ta jurydyčnyh osib lyše v Ukraїni, ščo daje pryvid govoryty pro cilesprjamovanyj harakter zaražennja z metoju destabilizaciї sytuaciї same v Ukraїni. Takož virus zbyrav nalaštuvannja proksi-serveriv ta portiv, loginy ta paroli. Pislja ćogo šyfruvav dysk ta teoretyčno mav vidnovyty dostup do fajliv pislja splaty vykupu. Hoča dejaki žertvy pererahuvaly u bitkoїnah za kursom blyźko $10 tys, žodnyh ključiv rozšyfrovky vony tak i ne otrymaly.

Čy bulo ce atakoju zarady vykupu

Ni, biľšisť ekspertiv shodjaťsja na tomu, ščo Petya.A / Not.Petya ta jogo pidvydy, jaki pošyrylysja protjagom dvoh hvyľ ataky, ne maly na meti vykup za dešyfruvannja danyh. I hoča na Pastebin z’javyvsja zaklyk obminjaty 100 bitkoїniv na dešyfrator, fahivci iz kiberbezpeky tverdjať: tvorci virusu (abo htoś, hto vdaje, niby je tvorcem Petya.A) prosto «grajuťsja» iz žurnalistamy ta postraždalymy. Sudjačy z harakteru zaražennja, ataka gotuvalasja v dekiľka etapiv i mala na meti paralizuvaty robotu deržavnyh ta komercijnyh ustanov v mežah odnijeї kraїny ta mereži «dočirnih» abo «materynśkyh» kompanij, pov’jazanyh iz Ukraїnoju, a ne zbagatyty okremu grupu hakeriv.

Hto ž vse-taky stav džerelom zaražennja

Pislja 4 dniv zaperečennja svojeї pryčetnosti ukraїnśka kompanija M.E.Doc, jaka vypuskaje programne zabezpečennja dlja buhgalterśkogo obliku, pidtverdyla fakt pošyrennja ransomware-kodu same čerez їhnij programnyj produkt. Ščopravda, predstavnyky kompaniї nazvaly cju sytuaciju naslidkom vtručannja hakeriv (možlyvo, tyh že, hto pryčetnyj do stvorennja ta zapusku epidemiї WannaCry). Najcikaviše te, ščo v M.E.Doc ne mogly z kvitnja ne znaty pro te, ščo v їhńomu kodi je problema. Jak vy zmožete pobačyty dali, zaražennja ta vtručannja stalosja ne myttjevo, a prohodylo u dekiľka etapiv, rozdilenyh u časi.

Jak vidbuvalosja zaražennja

Najbiľš povnu kartynu zaražennja daje WeLiveSecurity. U їhnij publikaciї jdeťsja, ščo i Departament kiberpoliciї Ukraїny, i kompanija ESET ta nyzka inšyh pidtverdyly zaražennja skryptom DiskCoder.C same čerez buhgalterśke programne zabezpečennja ukraїnśkogo rozrobnyka, v odyn iz moduliv jakogo bulo vbudovano bekdor dlja nesankcionovanogo dostupu. Za tverdžennjam fahivciv WeLiveSecurity, zrobyty ce bez dostupu do vyhidnogo kodu programy praktyčno nemožlyvo. Tomu ne vyključeno, ščo hakera slid šukaty v otočenni tyh, hto pov’jazanyj iz kompanijeju-rozrobnykom.

Moduľ dlja bekdora mistyvsja u fajli ZvitPublishedObjects.dll, napysanomu na frejmvorku .NET. Fajl rozmirom u 5 MB mav jak legaľnyj kod vid rozrobnyka, tak i faľšyvyj vid hakeriv. U pidsumku vin veś zavantažuvavsja na komp’jutery žertv i počynav ataku. Doslidnyky vyjavyly, ščo proces zaražennja vidbuvavsja u dekiľka etapiv:

  • versija 01.175-10.01.176 bula vypuščena ta instaľovana na komp’jutery 14 kvitnja 2017 roku (pidgotovča faza ataky);
  • versija 01.180-10.01.181 vyjšla 15 travnja 2017 roku (tut počynajuťsja vže perši vypadky zaražennja);
  • versija 01.188-10.01.189 pobačyla svit 22 červnja 2017-go (na cij stadiї za 5 dniv vidbuvajeťsja masovanyj zapusk bekdoru).

Ščo šče varto znaty pro mehaniku zaražennja

Fahivci vkazujuť na šče odnu cikavu detaľ.  4 onovlennja programy M.E.Doc miž 24 kvitnja ta 10 travnja 2017 roku ta 7 onovleń miž 17 travnja i až do 21 červnja 2017 roku ne mistjať perepysanogo modulju iz bekdorom. Hakery kontroljuvaly riveń zaraženosti versij i dijaly postupovu, vočevyď, namagajučyś jakomoga dovše perebuvaty «v tini» ta zdijsnyty ataku same u zaključnij častyni zvitnogo periodu dlja podatkovoї systemy. Čitke sprjamuvannja ataky na ukraїnśki pidpryjemstva, jak vže bulo zaznačeno raniše, vyplyvaje iz vykorystannja kodu JeDRPOU jak odnogo iz ključovyh parametriv dlja zbyrannja danyh pro kompaniї, jaki vykorystovujuť (abo ne vykorystovujuť) zaraženi komp’jutery. V inšyh kraїnah procedura identyfikaciї pidpryjemciv ta kompanij vidbuvajeťsja za inšymy parametramy. Fahivci vyznačajuť Petya-epidemiju ne prosto jak ataku hakeriv čy pošyrennja ransomware-programy, a jak element gibrydnogo protystojannja, ščo vključaje kibersabotaž ta kiberšpionaž.

Jak možna vyznačyty zaraženisť žorstkogo dysku

Osnovnymy indykatoramy togo, ščo na žorstkomu dysku vže pobuvav Petya, je:

  • ESET znahodyť fajly z takymy šljahamy / imenamy: MSIL/TeleDoor.A
  • Je pidključennja do takogo serveru: upd.me-doc.com[.]ua
  • Heši SHA-1 majuť značennja:

    • 7B051E7E7A82F07873FA360958ACC6492E4385DD
    • 7F3B1C56C180369AE7891483675BEC61F3182F27
    • 3567434E2E49358E8210674641A20B147E0BD23C

Ščo robyty dali

Predstavnyky Departamentu kiberpoliciї napoleglyvo rekomenduvaly usim korystuvačam M.E.Doc poky ščo ne vykorystovuvaty programu, vidključyty PK vid mereži, a takož zminyty svoї paroli ta elektronni cyfrovi pidpysy. Hakerśkyj kod bulo znajdeno na odnomu iz personaľnyh komp’juteriv kompaniї-rozrobnyka ćogo PZ — TOV «Intelekt-Servis».

V departamenti na čas slidčyh dij prosjať dotrymuvatysja zahodiv bezpeky, oskiľky oblikovi zapysy korystuvačiv moglo buty skompromentovano. U takyj sposib hakery zmogly otrymaty povnyj dostup do Mereži ta vyvesty z ladu mereževe obladnannja.

Jak vidnovyty dostup do čatkovo zaraženyh komp’juteriv

Najbiľš povnu instrukciju ščodo vidnovlennja dostupu do častkovo zaraženyh komp’juteriv opublikuvav Departament kiberpoliciї Nacionaľnoї policiї Ukraїny, radymo skorystatysja neju. U vypadku, jakščo vaš PK vže «zašyfruvalo», rozblokuvannja dysku poky ščo ne je možlyvym.

Na jaki 7 važlyvyh momentiv varto zvažyty kerivnykam kompanij

  • Investuvaty košty v perehid vašyh organizacij, kompanij ta ofisiv na Linux / *nix / macOS jak aľternatyvy Windows.
  • Provesty treningy / kursy iz gramotnosti ščodo kiberbezpeky u vašij kompaniї. Ne poškoduvaty času, grošej ta resursiv na te, ščoby navčyty pracivnykiv ne vstanovljuvaty ta ne onovljuvaty dodatky sumnivnogo pohodžennja, ne rozpakovuvaty .exe-arhivy vid nevidomyh avtoriv, ne korystuvatysja lokaľnymy klijentamy dlja perevirky ta zavantažennja pošty.
  • Rozvesty v okremi mereži zv’jazku platižnyh terminaliv, bankomativ, vnutrišńokorporatyvni mereži ta zagaľnodostupnu merežu. Banky ta torgiveľni zaklady, de vse «vysilo» na odnij mereži i na odnyh i tyh že serverah, avtomatyčno «upijmaly» virus protjagom kiľkoh hvylyn na vsju merežu (pro «bankomaty na Windows» vzagali pytannja rytoryčne).
  • Perejty na «hmarni» servisy dlja obliku, buhgalterśkoї zvitnostiPetya, NotPetya ta 7 golovnyh vysnovkiv pislja najbiľšoї hakerśkoї ataky 210 faktiv pro UnityBase — ukraїnśkyj produkt, ščo može zaminyty «1C», provedennja bankivśkyh ta inšyh finansovyh operacij, a takož upravlinśkogo oblikuPetya, NotPetya ta 7 golovnyh vysnovkiv pislja najbiľšoї hakerśkoї ataky 3Bez sankcij — čy vdasťsja Oracle Apex zaminyty «1C» v kompanijah. Cym vy ne lyše zakryjete pytannja zahystu vid virusnyh zagroz, ale j znimete ryzyky, pov’jazani iz ekonomičnymy sankcijamy.
  • Vyznaty toj fakt, ščo vidsutnisť gramotnoї pobudovy kiberzahystu v kompaniї avtomatyčno stavyť pid sumniv її konkurentnozdatnisť ta ekonomični perspektyvy — a ne lyše fajly čy dokumenty na okremyh komp’juterah.  «Oščadbank» 4 dni ne mig vidnovyty normaľnu robotu viddileń, v toj čas jak «Pryvatbank» prodovžuvav pracjuvaty, bo mav merežu bankomativ ta terminaliv na osnovi inšyh rozrobok, ne pov’jazanyh iz Windows.
  • Myslyty globaľno, a dijaty lokaľno. Naslidky bezdijaľnosti čy nedbalosti na rivni lokaľnyh kompanij vidobrazylysja v kincevomu pidsumku na stabiľnosti ta efektyvnosti roboty na mižnarodnomu rivni. Tomu govoryty pro bezpeku okremyh brendiv čy ustanov nedorečno. Varto buduvaty IT-arhitekturu takym čynom, ščoby pytannja zahystu ta bezpeky bulo kolektyvnym, a ne indyviduaľnym.
  • V kraїni tryvaje vijna, i vona može maty formu ne lyše boїv na peredovij, teraktiv v tylu čy informacijnogo protystojannja v interneti. Kiberzločyny ta ataky — taka ž skladova vijny, jak i snarjady, tanky, agitacijni materialy čy propaganda vid suprotyvnyka. Ne vrahovuvaty cej čynnyk u povsjakdennij roboti kompaniї označaje naražaty na nebezpeku i svij biznes, i svoїh spivrobitnykiv.

Jakščo vy znajšly pomylku, buď laska, vydiliť fragment tekstu ta natysniť Ctrl Enter.

Dodaty komentar

Takyj e-mail vže zarejestrovano. Skorystujtesja Formoju vhodu abo vvediť inšyj.

Vy vkazaly nekorektni login abo paroľ

Vybačte, dlja komentuvannja neobhidno uvijty.
Šče
Vy čytajete sajt ukraїnśkoju latynkoju. Podrobyci v Manifesti
Hello. Add your message here.

Povidomyty pro pomylku

Tekst, jakyj bude nadislano našym redaktoram: