Наша взаимовыгодная связь https://banwar.org/
Адміністрація президента США Дональда Трампа виступила з офіційною заявою про те, що кібератака, що відбулася в червні 2017 року і яка зачепила велике число країн Європи, Азії, Північної та Латинської Америки, була пов'язана з російським військовим відомством. Згідно із заявою Білого дому, використаний для проведення даної кібератаки вірус-шифрувальник NotPetya був пов'язаний з «російськими військовими» і був нібито створений для «дестабілізації обстановки на Україні».
Варто відзначити, що спекуляції на тему «росіян хакерів» стали мейнстрімом в американській політиці, проте в даному випадку Білий дім аж надто відверто приносить здоровий глузд на догоду сьогочасної політичної доцільності.
«Це не Petya!»
«У червні 2017 року російські військові запустили саму руйнівну і збиткову кібератаку в історії. Атака, що отримала назву NotPetya, швидко поширилася по всьому світу і привела до втрати мільярдів доларів по всій Європі, Азії та в американських державах », - стверджується в повідомленні прес-служби Білого дому.
У прес-релізі також сказано, що атака з використанням NotPetya була «частиною триваючих спроб Кремля дестабілізувати Україну» і «ясно демонструє причетність Росії до триваючого конфлікту на Україні».
Атака на українські компанії, банки, ЗМІ та державні установи стартував 27 червня 2017 року, за день до офіційного свята країни - Дня української конституції. Масованій атаці піддалися відразу близько десятка великих українських банків, багато центральних ЗМІ та різні інтернет-видання, ключові підприємства транспорту і зв'язку.
Так, в число атакованих підприємств потрапили київський аеропорт «Бориспіль», українська пошта і телефонний монополіст «Укртелеком», найбільший ощадний банк «Ощадбанк», дирекція залізниць «Укрзалізниця» і навіть Чорнобильська АЕС, де система моніторингу радіаційної безпеки була вимушено переведена в ручний режим.
Майже одночасно з Україною жертвою вірусної атаки стала і Росія - в той же день були зареєстровані зупинки комп'ютерів компаній «Роснефть» і «Башнефть», що призвело до перебоїв в роботі нафтових промислів і навіть до зупинки видобутку нафти на деяких ділянках. Слідом за Україною і Росією вірус атакував комп'ютери в Іспанії, Індії, Ірландії, Франції, Великобританії та ряді інших країн. Крім того, атака торкнулася і США; більш того, за даними відомого антивірусного сервісу McAfee, кількість заражень в Штатах перевищило таке на Україні.
Перше враження від вірусу говорило про те, що він є лише клоном відомого в середині 2016 року вірусу-шифрувальника Petya, який був, в свою чергу, розвитком перших вірусів-шифрувальників типу CryptoWall. Звичайною практикою такого роду вірусів є використання вразливостей операційних систем користувачів - так званих «задніх дверей» (англ. Back door, «бекдор»), які використовуються для установки на комп'ютер-жертву шкідливого коду через Мережу.
Додатковою здатністю вірусів-шифрувальників є стійке криптографічне перекодування унікальних файлів користувача (зазвичай - малюнків, відео, текстів і електронних таблиць), які в цьому випадку стають недоступними для читання стандартними способами. Як вихід із тупикової ситуації в цьому випадку пропонується покупка у зловмисників ключа для розшифровки. Остання, втім, реалізована досить незграбно практично у всіх віруси-здирників і зазвичай не рятує жертву від втрати критичних файлів.
Крім того, як виявилося, в деяких віруси-шифрувальник, наприклад у вірусі WannaCry, з помилками реалізований і сам алгоритм шифрування, що призводить до втрати файлів ще на етапі їх перезапису вірусом і робить їх відновлення неможливим.
Однак, як з'ясувалося ще в кінці червня 2017 року, після аналізу коду шкідливої програми, вірус, який атакував спочатку Україну, а потім і весь світ, незважаючи на удавану подібність з вірусом Petya 2016 року і навіть пряме запозичення частини його шкідливого коду, їм не був .
Вже 28 червня російський виробник антивірусів Kaspersky Lab запропонував класифікувати дану шкідливу програму як «Не Петя» (NotPetya), підкреслюючи як його спадкоємність з процедурами вірусу весни 2016 року, так і суттєві відмінності від оригіналу. Ця назва шкідливої програми стало загальновживаним, хоча для опису даної вірусної загрози використовуються b інші імена - Petya.D, PetrWrap, ExPetr і навіть GoldenEye.
бухгалтерське оновлення
Цікаво, що джерело «зарази» в разі вірусу NotPetya був відомий практично відразу. Як виявилося, формальним розповсюджувачем перших копій вірусу виступила українська компанія-виробник бухгалтерських програм MEDoc. 27 червня 2017 року біля 10:30 ранку за київським часом на Україні почалася хвиля автоматичних завантажень поновлення програми MEDoc, яке, як виявилося, вже несло в собі код вірусної програми NotPetya.
Саме за рахунок такого роду масованого «посіву» і було забезпечено зараження більшості корпоративних і державних клієнтів на Україні. Програмні комплекси компанії MEDoc були встановлені у великій кількості таких організацій, де-факто будучи національним стандартом програм для «незалежної». Буквально за кілька годин вірус зміг вразив цілий ряд державних і корпоративних українських мереж зсередини, потрапивши в них в комфортному «експресі» регулярного поновлення бухгалтерських програм.
При цьому мимовільна або навмисна причетність компанії MEDoc до початкового поширенню шкідливого коду вірусу NotPetya ніколи не заперечувалася і не ставилася під сумнів - саме про це говорить повідомлення компанії Microsoft, в якому була описана атака вірусу з використанням «бекдор» системи Windows.
Крім того, продовжуються атаки з боку «зомбованих» NotPetya серверів MEDoc змусили Службу безпеки України і національну поліцію провести примусове відключення і виїмку серверів компанії, про що дані силові структури навіть випустили прес-реліз .
Читайте також: І мільярдери з баксами стоять: Роман Носиков про повернення капіталів до Росії
Втім, як завжди, реакція українських силовиків запізнилася. Незважаючи на те, що Microsoft, Kaspersky Lab і ряд інших експертів з кібербезпеки визначили джерело початкового зараження по гарячих слідах, припинення діяльності серверів MEDoc відбулося тільки через тиждень, 5 липня 2017 року, коли більша частина первинних заражень вже була проведена. Таким чином, для СБУ і національної поліції України варіант педалювання «російської загрози» став питанням порятунку честі мундира.
Втім, версію про «російською сліді» NotPetya українські політики озвучили ще 27 червня 2017 року, в день атаки. Навіть не маючи на руках фактичних даних про вірус (а тим більше - не знаючи про те, що за початкове поширення його коду відповідає український виробник бухгалтерських програм), секретар РНБО України Олександр Турчинов заявив: вірусна атака NotPetya є «терористичним актом», частиною російської «гібридної агресії» проти України.
Хто стоїть за «зомбі» -Сервер?
З великим ступенем ймовірності, початкова атака кодом вірусу NotPetya, здійснена з серверів компанії MEDoc, була проведена без відома компанії. Швидше за все, зловмисники використовували якусь вразливість в безпеці самого MEDoc, щоб отримати доступ або до коду їх програмних продуктів, або до файлових систем їх серверів - після чого вбудувати код вірусу-шифрувальника в потрібне місце їх регулярної розсилки.
До теперішнього моменту кіберполіції України та СБУ так і не надали результатів свого розслідування щодо компанії MEDoc, а сам виробник бухгалтерських та податкових програм, після низки потрясінь літа 2017 року, продовжує робити на ринку українських програмних продуктів. Хоча, немає сумнівів, що в журналах його серверів цілком буденно повинні були зберегтися всі докази того, хто, коли і, головне, звідки здійснювався несанкціонований доступ до коду бухгалтерського поновлення.
Читайте також: Трамп пробив стелю боргу: «Великому Дональду» видано карт-бланш від Конгресу
Крім того, слід враховувати і той факт, що розвідувальні відомства США вже давно практикують здійснення так званих «атак під чужим прапором», для яких ЦРУ збирає і зберігає велику бібліотеку наступальних технологій, скопійованих з шкідливих програм, запущених в мережу хакерами з інших країн. Так, компанія WikiLeaks за 2017 рік було надруковано великий масив документів ЦРУ і АНБ, який сайт Джуліана Ассанжа назвав Vault 7 ( «Сейф №7»).
У цьому збірнику документів, справжність якого досі так ніхто і не зміг поставити під сумнів, йдеться про програму Umbrage, в рамках якої ЦРУ зібрало велику колекцію методів здійснення кібератак і шкідливого програмного забезпечення, розробленого в інших країнах, особливо в Росії. За опублікованими документами простежується, що дані методи і програми потім використовуються ЦРУ, щоб заплутати те чи інше міжнародне розслідування і замаскувати джерела кібератак, видаючи свої кібератаки за чужі.
Звідси випливає і очікувана реакція Москви на чергові звинувачення в питанні міфічних «російських хакерів». Прес-секретар президента РФ Дмитро Пєсков вже назвав твердження про причетність Росії до кібератак «бездоказовими і безпідставними». За його словами, «це не що інше, як продовжується не грунтується на яких би то ні було доказах русофобської кампанії».
І з цим твердженням важко не погодитися.
Хто стоїть за «зомбі» -Сервер?