Інформаційний ажіотаж навколо хакерських атак в Україні потроху вщухає, але, тим не менш, вони все ще тривають. Напередодні, 5 липня, в департаменті кіберполіції МВС України повідомили про зупинку чергового етапу кібератаки. Поки зловредів Petya.A продовжує завдавати несправімий збиток все новим і новим компаніям, що постраждали минулого тижня все ще займаються відновленням.
Інформаційний ажіотаж навколо хакерських атак в Україні потроху вщухає, але, тим не менш, вони все ще тривають. Напередодні, 5 липня, в департаменті кіберполіції МВС України повідомили про зупинку чергового етапу кібератаки. Поки зловредів Petya. A продовжує завдавати непоправної шкоди все новим і новим компаніям, що постраждали минулого тижня все ще займаються відновленням.
27 червня 2017 року Україні почалася найбільша за всю історію кібератака - комп'ютери багатьох вітчизняних бізнес-компаній, держустанов, банків і інших структур були вражені вірусом-шифрувальником Petya.A. «ЕнергоЛайф.інфо» поспілкувався з директором аутсорсингової компанії « Ай Ті Експертс »Романом Новоженін, щоб остаточно з'ясувати, як діють хакери, які особливості цієї кібератаки, як захиститися від вірусу, і чому все-таки постраждала саме Україна?
Роман Новоженін
Чи правда, що нинішня кібератака стала найістотнішою за всю історію України?
Так правда. На моїй пам'яті до цього часу не було нічого подібного. Тільки за офіційними даними збиток для України від кібератаки склав близько 8 мільярдів доларів США, але я думаю, що він набагато більше. Постраждав, перш за все, великий бізнес, банківський сектор, торгові мережі, страхові компанії. Взагалі, українські компанії, які постраждали від вірусу, складають собою близько 75% від усіх компаній-жертв в світі. На другому місці - Німеччина, на третьому - Польща.
Які установи та підприємства постраждали в Полтаві?
Я ось уже тиждень приймаю виклики по відновленню працездатності систем від установ по всьому місту. Наскільки можу судити, в Полтаві вражена практично вся банківська система крім Приватбанку. Частково постраждали банкомати Привату, тому що вони працюють на Windows. Сам банк працює на Лінукс (Linux), тому він зараження не піддався. Всі інші використовують програмне забезпечення Windows, тому і постраждали. У перший день атаки, наскільки мені відомо, не працювали такі великі торговельні мережі як Метро, Нова пошта, Епіцентр, банківські відділення.
Існує думка, що Україна зазнала цій атаці нібито через низький рівень комп'ютерної грамотності серед користувачів. Нібито багато відкривали сумнівні листи, через які відбувалося зараження вірусом. Що ви про це думаєте?
Не згоден. Взагалі, суть яка - спочатку зараження відбулося через програму M.Е.Dос., Як би «Інтелект-сервіс» (компанія-розробник) не заперечив це (на нинішній момент компанія вже визнала свою провину, а СБУ вилучила сервіси компанії на експертизу - прим. Ред.). Це програма для ведення бухгалтерського обліку, нею користуються практично скрізь (за даними розробників, вона використовується на 1 мільйон комп'ютерів - прим. Ред.) Був зламаний сервер оновлень M.Е.Dос, і замість реального поновлення був підкладений вірусний код. Все бухгалтера, які користуються цією програмою, знають, що якщо є поновлення, їх потрібно відкрити і прийняти, і там будуть проведені деякі виправлення. Відповідно, при натисканні на поновлення M.Е.Dос. скачували зловредів. Програма виконувала чужий код і відбувалося зараження комп'ютера.
Як свідчить практика, в першу чергу шифрувався M.Е.Dос. Потім він сканувався на предмет контрагентів, а у кожного контрагента автоматично зумовлена електронна пошта. Взагалі, основний принцип роботи цієї програми - за допомогою електронної пошти відбувається обмін документами, звітність в податкову і т. Д. І потім вже за цими електронними адресами пішла масова розсилка.
Вона припала на вечір 27-го червня. 28-е, як відомо, був офіційний вихідний, тому перша хвиля була порівняно легкою. Через M.Е.Dос постраждали в основному держструктури, деякі банки, зокрема Ощадбанк.
29-го очікувався Армагеддон. Так воно і вийшло - люди прийшли після свята на роботу, включили комп'ютери, а на електронній пошті купа заражених листів.
Як вони виглядали, ці листи? Чи не здавалися вони сумнівними?
Справа в тому, що листи маскувалися під повідомлення з ГФС, банків, страхових компаній, приходили у вигляді резюме, прайсів від партнерів. Листи були складені таким чином, щоб одержувач відкрив надіслані документи, в основному це були вордовскіе файли. Наприклад, документ називався типу «Податкова заборгованість» або щось подібне.
Приклад зараженого вірусом листи
Тобто, за допомогою електронної пошти сталася велика частина зараження. Тому що M.Е.Dос користуються в основному бухгалтера, а електронною поштою - все. Як відбувалося зараження? При відкритті листа завантажувався експлойт - програма, написана спеціально для того, щоб використовувати уразливість Windows. Вона проникає автоматично, їй не треба ні прав, ні підтверджень.
Чи могли захистити антивірусні програми?
Так, але здебільшого корпоративні, серйозні, наприклад, як в банківській сфері, де є всі ліцензії. Вони спрацьовували, визначали наявність вірусу, але зробити з ним нічого не могли. Поширення було миттєве, комп'ютери йшли в перезавантаження і все.
Всі банківські системи захисту - не спрацювало нічого. Спрацювало тільки виключення з розетки. Ті, хто встигали вимкнути комп'ютер до перезавантаження комп'ютера - у них здебільшого інформація збереглася.
Тобто, наслідки вірусу - втрата всіх баз даних?
75-80% користувачів втратили практично всі свої дані. Жодної вірусне зараження на моїй пам'яті не вносило такого деструктива.
Відома антивірусна компанія Symаntec визначила кілька модифікацій цього вірусу. Це означає, що будь-проникнення і було однаковим, деструктивна частина була різною. Прикладаючи аналітику до фактів, я і сам помітив, що були клієнти, у яких дані знищувалися все на файловому рівні, так, щоб їх не можна було вже відновити. При перезавантаженні комп'ютерів в операційній системі вантажився вірус, який показував віконце «перевірка диска» з попередженням ні в якому разі не вимикати ПК, йде перевірка відновлення диска. Насправді відбувалося шифрування даних.
Кріптовалось все дуже хитро. Бачиш файли, папки, структура правильна, розмір адекватний, копіюєш їх, намагаєшся відкрити, а вони всередині містять «сміття». Такі файли у клієнтів я намагався залишати, вони лежать окремо на флешках і жорстких дисках. Можливо, вдасться написати якийсь декріптор, щоб їх розшифрувати.
Ну і, звичайно ж, зберегли свої дані ті, хто регулярно робить копії.
Шифрування даних вірусом
А як щодо декріптаціі зашифрованих файлів за гроші?
З приводу жебрацтва - ні для кого не секрет, що сума була зібрана порівняно мізерна, всього кілька біткоіни в доларах. Біткоіни прив'язаний до електронної пошти. Ця електронна адреса, який вказував вірус для відправлення 300 доларів в біткоіни для розшифровки, був заблокований буквально в першу годину після публікації. За першу добу зараження встигли перерахувати трохи більше 6 тисяч доларів, тобто ні про що. Далі вже перераховувати було нікуди. Так що не думаю, що метою було вимагання.
Навіщо ж хакерам потрібна була ця атака?
Головною метою атаки було внесення деструктива. На мій погляд, Україна постраждала тому, що була метою. По-перше, M.Е.Dос. - це програма, яка використовується виключно в Україні. Плюс постраждали найбільше якраз банківський і торговий сектор.
Чому я говорю атака на бізнес? Тому що один їх експлойтів використовував SMB-сервер, за допомогою якого проходило зараження мережі комп'ютерів. Зрозуміло, що так в основному працюють компанії і бізнес. Поширення було практично миттєвим, ми навіть проводили експерименти.
Яка все-таки грамотний захист від подібних атак?
На мій погляд, єдина грамотна захист - це перехід на альтернативні оперативні системи. Це Linux, Mac OS. Вони не схильні до поширення автоматичного вірусу в принципі. По суті так сконструйована операційна система, що автоматично там чужий код не може здійснитися, тому що потрібні права так званого «супер-юзера». Відповідно, супер-юзер повинен мати пароль, а пароль не може бути простим. Така ось ланцюжок. Щоб поміняти параметри якоїсь програми або додати її, або видалити, потрібні права суперкористувача. Тому там нічого просто так не спрацьовує.
Найбільш оптимальний варіант - це Linux. Його не торкнулися ні Wanna Cry, ні Black Energy, який атакував енергетичну систему. У Європі багато хто перейшов на Linux, в якій айті-безпеку, на мій погляд, на рівень вище. До того ж, для компаній він буде обходитися навіть дешевше.
ЕнергоЛайф.інфо
Які установи та підприємства постраждали в Полтаві?Що ви про це думаєте?
Як вони виглядали, ці листи?
Чи не здавалися вони сумнівними?
Як відбувалося зараження?
Чи могли захистити антивірусні програми?
Тобто, наслідки вірусу - втрата всіх баз даних?
Навіщо ж хакерам потрібна була ця атака?
Чому я говорю атака на бізнес?
Яка все-таки грамотний захист від подібних атак?