Petya, NotPetya ta 7 golovnyh vysnovkiv pislja najbiľšoї hakerśkoї ataky

Z čogo vse počalosja

U vivtorok, 27 červnja 2017 roku, komp’juterni mereži ukraїnśkogo urjadu, «Oščadbanku», «Ukrtelekomu», desjatka inšyh deržavnyh ta pryvatnyh ustanov, kiľkoh torgiveľnyh merež ta magazyniv atakuvav virus-šyfruvaľnyk. Vin blokuvav dostup do žorstkyh dyskiv i povnistju zupynjav robotu jak okremyh komp’juteriv, tak i cilyh merež. Ataka pošyrjuvalasja vyključno na prystroї z OS Windows riznyh versij. Linux, Unix-podibni systemy ta macOS / OS X vid vtorgnennja ne postraždaly.

Protjagom doby ataka pošyrylasja za meži Ukraїny, dobralasja do SŠA, kiľkoh jevropejśkyh ta azijśkyh kraїn, a takož porušyla cykl podannja podatkovoї zvitnosti, a takož rejestraciї podatkovyh nakladnyh dlja pidpryjemciv za period miž 1 ta 15 červnja. Vid opysu na ekrani blokuvannja virus-vymagač distav nazvu Petya.ATemnyj Petya: vse, ščo vam slid znaty pro novyj virus-vymagaľnyk, vtim, zgodom z’javylysja i jogo modyfikaciї.

Ščo i jak zbyrav virus

Zaražennja vidbulosja za dopomogoju buhgalterśkoї oblikovoї programy M.E.Doc, hoča predstavnyky kompaniї-rozrobnyka perši dekiľka dib vse zaperečuvaly. Golovnym čynom virus zbyrav dani pro kody JeDRPOU. Vony vykorystovujuťsja dlja obliku fizyčnyh osib-pidpryjemciv ta jurydyčnyh osib lyše v Ukraїni, ščo daje pryvid govoryty pro cilesprjamovanyj harakter zaražennja z metoju destabilizaciї sytuaciї same v Ukraїni. Takož virus zbyrav nalaštuvannja proksi-serveriv ta portiv, loginy ta paroli. Pislja ćogo šyfruvav dysk ta teoretyčno mav vidnovyty dostup do fajliv pislja splaty vykupu. Hoča dejaki žertvy pererahuvaly u bitkoїnah za kursom blyźko $10 tys, žodnyh ključiv rozšyfrovky vony tak i ne otrymaly.

Čy bulo ce atakoju zarady vykupu

Ni, biľšisť ekspertiv shodjaťsja na tomu, ščo Petya.A / Not.Petya ta jogo pidvydy, jaki pošyrylysja protjagom dvoh hvyľ ataky, ne maly na meti vykup za dešyfruvannja danyh. I hoča na Pastebin z’javyvsja zaklyk obminjaty 100 bitkoїniv na dešyfrator, fahivci iz kiberbezpeky tverdjať: tvorci virusu (abo htoś, hto vdaje, niby je tvorcem Petya.A) prosto «grajuťsja» iz žurnalistamy ta postraždalymy. Sudjačy z harakteru zaražennja, ataka gotuvalasja v dekiľka etapiv i mala na meti paralizuvaty robotu deržavnyh ta komercijnyh ustanov v mežah odnijeї kraїny ta mereži «dočirnih» abo «materynśkyh» kompanij, pov’jazanyh iz Ukraїnoju, a ne zbagatyty okremu grupu hakeriv.

Hto ž vse-taky stav džerelom zaražennja

Pislja 4 dniv zaperečennja svojeї pryčetnosti ukraїnśka kompanija M.E.Doc, jaka vypuskaje programne zabezpečennja dlja buhgalterśkogo obliku, pidtverdyla fakt pošyrennja ransomware-kodu same čerez їhnij programnyj produkt. Ščopravda, predstavnyky kompaniї nazvaly cju sytuaciju naslidkom vtručannja hakeriv (možlyvo, tyh že, hto pryčetnyj do stvorennja ta zapusku epidemiї WannaCry). Najcikaviše te, ščo v M.E.Doc ne mogly z kvitnja ne znaty pro te, ščo v їhńomu kodi je problema. Jak vy zmožete pobačyty dali, zaražennja ta vtručannja stalosja ne myttjevo, a prohodylo u dekiľka etapiv, rozdilenyh u časi.

Jak vidbuvalosja zaražennja

Najbiľš povnu kartynu zaražennja daje WeLiveSecurity. U їhnij publikaciї jdeťsja, ščo i Departament kiberpoliciї Ukraїny, i kompanija ESET ta nyzka inšyh pidtverdyly zaražennja skryptom DiskCoder.C same čerez buhgalterśke programne zabezpečennja ukraїnśkogo rozrobnyka, v odyn iz moduliv jakogo bulo vbudovano bekdor dlja nesankcionovanogo dostupu. Za tverdžennjam fahivciv WeLiveSecurity, zrobyty ce bez dostupu do vyhidnogo kodu programy praktyčno nemožlyvo. Tomu ne vyključeno, ščo hakera slid šukaty v otočenni tyh, hto pov’jazanyj iz kompanijeju-rozrobnykom.

Moduľ dlja bekdora mistyvsja u fajli ZvitPublishedObjects.dll, napysanomu na frejmvorku .NET. Fajl rozmirom u 5 MB mav jak legaľnyj kod vid rozrobnyka, tak i faľšyvyj vid hakeriv. U pidsumku vin veś zavantažuvavsja na komp’jutery žertv i počynav ataku. Doslidnyky vyjavyly, ščo proces zaražennja vidbuvavsja u dekiľka etapiv:

• versija 01.175-10.01.176 bula vypuščena ta instaľovana na komp’jutery 14 kvitnja 2017 roku (pidgotovča faza ataky);
• versija 01.180-10.01.181 vyjšla 15 travnja 2017 roku (tut počynajuťsja vže perši vypadky zaražennja);
• versija 01.188-10.01.189 pobačyla svit 22 červnja 2017-go (na cij stadiї za 5 dniv vidbuvajeťsja masovanyj zapusk bekdoru).

Ščo šče varto znaty pro mehaniku zaražennja

Fahivci vkazujuť na šče odnu cikavu detaľ.  4 onovlennja programy M.E.Doc miž 24 kvitnja ta 10 travnja 2017 roku ta 7 onovleń miž 17 travnja i až do 21 červnja 2017 roku ne mistjať perepysanogo modulju iz bekdorom. Hakery kontroljuvaly riveń zaraženosti versij i dijaly postupovu, vočevyď, namagajučyś jakomoga dovše perebuvaty «v tini» ta zdijsnyty ataku same u zaključnij častyni zvitnogo periodu dlja podatkovoї systemy. Čitke sprjamuvannja ataky na ukraїnśki pidpryjemstva, jak vže bulo zaznačeno raniše, vyplyvaje iz vykorystannja kodu JeDRPOU jak odnogo iz ključovyh parametriv dlja zbyrannja danyh pro kompaniї, jaki vykorystovujuť (abo ne vykorystovujuť) zaraženi komp’jutery. V inšyh kraїnah procedura identyfikaciї pidpryjemciv ta kompanij vidbuvajeťsja za inšymy parametramy. Fahivci vyznačajuť Petya-epidemiju ne prosto jak ataku hakeriv čy pošyrennja ransomware-programy, a jak element gibrydnogo protystojannja, ščo vključaje kibersabotaž ta kiberšpionaž.

Jak možna vyznačyty zaraženisť žorstkogo dysku

Osnovnymy indykatoramy togo, ščo na žorstkomu dysku vže pobuvav Petya, je:

• ESET znahodyť fajly z takymy šljahamy / imenamy: MSIL/TeleDoor.A
• Je pidključennja do takogo serveru: upd.me-doc.com[.]ua
• Heši SHA-1 majuť značennja:
  • 7B051E7E7A82F07873FA360958ACC6492E4385DD
  • 7F3B1C56C180369AE7891483675BEC61F3182F27
  • 3567434E2E49358E8210674641A20B147E0BD23C

Ščo robyty dali

Predstavnyky Departamentu kiberpoliciї napoleglyvo rekomenduvaly usim korystuvačam M.E.Doc poky ščo ne vykorystovuvaty programu, vidključyty PK vid mereži, a takož zminyty svoї paroli ta elektronni cyfrovi pidpysy. Hakerśkyj kod bulo znajdeno na odnomu iz personaľnyh komp’juteriv kompaniї-rozrobnyka ćogo PZ — TOV «Intelekt-Servis».

V departamenti na čas slidčyh dij prosjať dotrymuvatysja zahodiv bezpeky, oskiľky oblikovi zapysy korystuvačiv moglo buty skompromentovano. U takyj sposib hakery zmogly otrymaty povnyj dostup do Mereži ta vyvesty z ladu mereževe obladnannja.

Jak vidnovyty dostup do čatkovo zaraženyh komp’juteriv

Najbiľš povnu instrukciju ščodo vidnovlennja dostupu do častkovo zaraženyh komp’juteriv opublikuvav Departament kiberpoliciї Nacionaľnoї policiї Ukraїny, radymo skorystatysja neju. U vypadku, jakščo vaš PK vže «zašyfruvalo», rozblokuvannja dysku poky ščo ne je možlyvym.

Na jaki 7 važlyvyh momentiv varto zvažyty kerivnykam kompanij

• Investuvaty košty v perehid vašyh organizacij, kompanij ta ofisiv na Linux / *nix / macOS jak aľternatyvy Windows.
• Provesty treningy / kursy iz gramotnosti ščodo kiberbezpeky u vašij kompaniї. Ne poškoduvaty času, grošej ta resursiv na te, ščoby navčyty pracivnykiv ne vstanovljuvaty ta ne onovljuvaty dodatky sumnivnogo pohodžennja, ne rozpakovuvaty .exe-arhivy vid nevidomyh avtoriv, ne korystuvatysja lokaľnymy klijentamy dlja perevirky ta zavantažennja pošty.
• Rozvesty v okremi mereži zv’jazku platižnyh terminaliv, bankomativ, vnutrišńokorporatyvni mereži ta zagaľnodostupnu merežu. Banky ta torgiveľni zaklady, de vse «vysilo» na odnij mereži i na odnyh i tyh že serverah, avtomatyčno «upijmaly» virus protjagom kiľkoh hvylyn na vsju merežu (pro «bankomaty na Windows» vzagali pytannja rytoryčne).
• Perejty na «hmarni» servisy dlja obliku, buhgalterśkoї zvitnosti10 faktiv pro UnityBase — ukraїnśkyj produkt, ščo može zaminyty «1C», provedennja bankivśkyh ta inšyh finansovyh operacij, a takož upravlinśkogo oblikuBez sankcij — čy vdasťsja Oracle Apex zaminyty «1C» v kompanijah. Cym vy ne lyše zakryjete pytannja zahystu vid virusnyh zagroz, ale j znimete ryzyky, pov’jazani iz ekonomičnymy sankcijamy.
• Vyznaty toj fakt, ščo vidsutnisť gramotnoї pobudovy kiberzahystu v kompaniї avtomatyčno stavyť pid sumniv її konkurentnozdatnisť ta ekonomični perspektyvy — a ne lyše fajly čy dokumenty na okremyh komp’juterah.  «Oščadbank» 4 dni ne mig vidnovyty normaľnu robotu viddileń, v toj čas jak «Pryvatbank» prodovžuvav pracjuvaty, bo mav merežu bankomativ ta terminaliv na osnovi inšyh rozrobok, ne pov’jazanyh iz Windows.
• Myslyty globaľno, a dijaty lokaľno. Naslidky bezdijaľnosti čy nedbalosti na rivni lokaľnyh kompanij vidobrazylysja v kincevomu pidsumku na stabiľnosti ta efektyvnosti roboty na mižnarodnomu rivni. Tomu govoryty pro bezpeku okremyh brendiv čy ustanov nedorečno. Varto buduvaty IT-arhitekturu takym čynom, ščoby pytannja zahystu ta bezpeky bulo kolektyvnym, a ne indyviduaľnym.
• V kraїni tryvaje vijna, i vona može maty formu ne lyše boїv na peredovij, teraktiv v tylu čy informacijnogo protystojannja v interneti. Kiberzločyny ta ataky — taka ž skladova vijny, jak i snarjady, tanky, agitacijni materialy čy propaganda vid suprotyvnyka. Ne vrahovuvaty cej čynnyk u povsjakdennij roboti kompaniї označaje naražaty na nebezpeku i svij biznes, i svoїh spivrobitnykiv.