Історія вірусу NotPetya: чи варто остерігатися подібних кібератак в майбутньому?

Видання Wired опублікувало фрагмент книги «Sandworm» Енді Грінберга (Andy Greenberg), яка розповідає про вірус під назвою NotPetya. Нагадаємо, що в червні минулого року цей вірус вразив українську бухгалтерську програму M.E.Doc та розійшовся по всьому світу. Грінберг зокрема виділив велику датську транспортну компанію A.P. Møller-Maersk, яку теж вразив небезпечний вірус.

Як все розпочиналося

Ініціаторами вірусної атаки NotPetya стали росіяни з хакерського угруповання Sandworm. Все почалося із серверної київської компанії Linkos Group. Перед цим у хакерів із Sandworm вже був досвід атак на державні структури України, також вони були замішані у відключенні електроенергії по всій Україні в зимовий період.

В червні 2017 року Sandworm атакували сервера офісу Linkos, який займається розсилкою обновлень для українського програмного комплексу M.E.Doc. Українські підприємства використовують дану програму для електронного документообігу. Саме це ПО хакери використали в якості «масової комп’ютерної зброї».

Чому NotPetya став таким потужним

На той момент вірус NotPetya діяв на упередження. Голова центру «Cisco»  Крейг Уїльямс (Craig Williams) про вірус, який вразив українські компанії сказав так: «В ту секунду, коли ви бачите цей вірус, ваш дата-центр вже пропав»

В основі NotPetya лежать два потужних експлойта

Перший з них – це EternalBlue. Ця технологія Агентства національної безпеки США була злита в 2017 році. Вона дозволяє користуватися вразливістю одного з протоколів Windows та запускати сторонній код на непропатчених пристроях.

Другий концептуальний інструмент під назвою Mimikatz був створений французом Бенджаміном Дельфі (Benjamin Delfi) у 2011 році. Він дозволяє витягти всі авторизовані дані зареєстрованих користувачів та використовувати їх для злому доступних гаджетів. Такий інструмент дуже небезпечний в корпоративному середовищі, оскільки він атакує одразу сотні комп’ютерів, що з’єднані між собою.

До атаки вірусу NotPetya, комп’ютерний гігант Microsoft випустив патч безпеки EternalBlue. Але в комплексі з Mimikatz вірус став ще потужнішим та практично непереможним. Комбінація експлойтів дозволяла атакувати комп’ютери, які ще не були пропатчені та залучала розшифровані паролі для того, щоб захопити обновлення для останніх версій пристроїв.

Особливість NotPetya

На відміну від Petya, який вимагав від користувачів плату за розблокування системи,  NotPetya  створювався для того, щоб якомога більше зруйнувати систем. Софт типу Malware шифрував завантажувальний сектор ПК, що дозволяв пристрою знайти операційну систему. Будь-які транзакції не розв’язували проблему, а відновити втрачені дані було неможливо.

NotPetya  став інструментом кібервійни у всіх сенсах цього слова.  Його потенціал перевершив усі очікування розробників.  Тільки протягом декількох годин після появи, вірус став поширюватися на практично всі комп’ютери українських користувачів та по всьому світові від готелів в Пенсильванії до шоколадної фабрики в Тасманії.

Він паралізував роботу  багатьох міжнародних компаній, включаючи Maersk, фармацевтичного гіганта Merck, французьку будівельну компанію Saint-Gobain, харчову компанію Mondelēz, фабрику Reckitt Benckiser та навіть європейське відділення почтового перевізника FedEx. Кожній з компаній він завдав мільйонних збитків. Вірус російського походження вдарив навіть по своїм: від нього постраждала російська компанія «Роснефть».

Оцінимо збитки від NotPetya

Загальна сума збитків по підрахунку Білого Дому сягнула $10 млрд. Одна лише компанія, така як WannaCry  коштує від $4 млрд до $8 млрд. Найбільше за всіх постраждали наступні компанії:

  • Merc (США) — $870 млн;
  • TNT Express (європейський відділ FedEX) — $400 000 млн;
  • Saint-Gobain (Франція) — $384 млн;
  • Maersk (Данія) — $300 млн;
  • Mondelēz (США) — $188 млн;
  • Reckitt Benckiser (Британія) — $129 млн.

А що було з українськими підприємствами

Видання Wired дослідило роботу компанії Information Systems Security Partners (ISSP), що займалася кіберзахистом в Україні. Під час атаки небезпечного вірусу голова компанії Олексій Ясинський отримав дзвінок, в якому повідомляли про кібератаку на державний банк «Ощадбанк».

Коли він прибув в офіс банку, то помітив, що робітники місцевого IT відділу не мали чіткого плану дій для боротьби з NotPetya. 90% машин були паралізовані вірусом. Далі на телефон Ясинського обрушилась лава дзвінків зі всієї України. Всі повідомляли про атаку злісного комп’ютерного вірусу.

NotPetya встановив рекорд, обійшовши всі антивірусні бар’єри захисту протягом 45 секунд. Великий транспортний хаб «поляг» протягом 16 секунд.

Олегу Деревянко, засновнику ISSP довелось виходити з відпустки, повертатися з Турції до України, при цьому відповідати на шквал дзвінків та командувати персоналом на відстані. Дерев’янко радив менеджерам відмикати всі мережі, навіть якщо це грозило тимчасовою втратою працездатності великої компанії. Але було вже пізно.

Короткий перелік установ, які постраждали через  NotPetya:

  • 6 госпіталів у Києві;
  • 6 енергетичних компаній;
  • 2 аеропорти;
  • 22 українських банка;
  • банкомати;
  • термінали;
  • понад 300 компаній приватних підприємців;
  • 10% ПК по всій країні.

Вірус вразив усі комп’ютери кожного міністерства України. Міністр інфраструктури Володимир Омелян в інтерв’ю виданню Wired відповів: «Уряд був на той момент непрацездатним».

Як постраждав Maersk

Транспортна компанія Данії, яка має 76 портів по всьому світові та понад 800 вантажних судів стала одна з наймасштабніших жертв російського вірусу NotPetya.

Проник вірус в український офіс компанії, що знаходиться в Одесі. Фінансовий директор дав вказівку встановити на свій корпоративний комп’ютер M.E.Doс, тим самим відкривши шлях вірусу NotPetya до цілої мережі.

Після початку атаки, співробітників центрального офісу Копенгагену відпустили з роботи. IT-відділ протягом двох годин намагався відімкнути мережу транспортної компанії, але більшість комп’ютерів показували повідомлення «repairing file system on C:» та вимагало заплатити за розблокування $300 в біткоїнах.

17 з 76 вантажних терміналів Maersk зупинилися по всьому світові.  Ворота не пропускали автомобілі, вантажні крани теж завмерли, а біля в’їздів утворився затор із вантажівок.

Як відновлювали мережу

Через кілька днів після атаки, усіх профільних співробітників Maersk запросили до англійського містечка Майденхед (Maidenhead), що недалеко від Лондона. Там знаходиться IT-відділ компанії. Тоді офіс працював цілодобово без вихідних, співробітники ночували прямо там. Кожен придбав собі новий ноутбук та роутер. Всього в будівлі центрального офісу знаходилось біля 600 співробітників. Серед них було 200 спеціалістів із Deloitte.

По мірі відновлення корпоративної мережі, співробітники знаходили «бекапи» майже всіх  територіальних серверів, що були зроблені за 7 днів до появи NotPetya. Проте, їм все-таки не вистачало копій головних контролерів. Такі сервери — це своєрідна карта мережі транспортної компанії, що встановлює правила доступу для користувачів. Без контролерів окремі бекапи не представляли ніякої цінності

У арсеналі Maersk на той час було біля 150 контроллерів, вони працювали як один механізм — кожен з них був точкою відновлення усіх інших. Але така стратегія, подібно блокчейну, не допомогла, коли були стерті усі контролери.

Гана усіх врятувала. Там зберігалася єдиний екземпляр «здорового» контролеру, до якого вірус ще не добрався. Але швидкість передачі даних була дуже малою, на відправку могли б піти дні.

Maersk хотіла відправити одного зі співробітників до Лондону, але ганські робітники транспортної компанії не мали британських віз. Тому було прийнято рішення залучити посередника. Ганський робітник компанії вилетів до Нігерії, передав жорсткий диск людині із компанії, а той вже з Нігерії добирався літаком до Хітроу.

Після цього процес відновлення даних помітно пришвидшився. Спочатку розморозилась робота портів, потім відновились замовлення через сервіс Maerskline.com. Але для повного відновлення роботи знадобилося трохи більше, ніж тиждень. Співробітники компанії працювали як могли.  Вони робили замітки на папері та приклеювали до контейнерів, приймали замовлення по почті Gmail та WhatsApp і все це фіксували в Excel-таблицях.

Висновки для Maersk

Через два тижні співробітникам повернули ноутбуки, щоправда, всі вони були з пустими жорсткими дисками. Компанії вдалося врятувати 4000 серверів та 45000 комп’ютерів. За словами керівництва Maersk, вони зазнали фінансових втрат у розмірі $250-300 млн. Під час атаки вірусу на 20% зменшилися об’єми постачання. Хоча, кажуть, що ці цифри були свідомо занижені керівництвом.

Після всього що сталося, Maersk одразу ж погодило програму покращеного захисту усіх мереж. Компанія перейшла на Windows 10. Сервера, які працювали на Windows 2000 обновили до останньої версії.

Що відбувалося в Українї

Через тиждень після атаки NotPetya українські спецпризначенці провели операцію в офісі Linkos Group взявши усіх співробітників «під дуло автомату».  Оперативники навіть вибили двері на одному з поверхів будівлі, попри те, що у директора фірми були ключі. Був проведений ретельний обшук будівлі та конфісковано усі сервера компанії Linkos Group.

Для чого задумувалась атака NotPetya

В книзі було вказано лише декілька експертних думок.

Information Systems Security Partners виразили думку про те, що таким чином хакери «замітали сліди» після себе, аби ніхто не зміг зафіксувати, що вони мають доступ до українських серверів. В хаосі та паніці, яка зчинилася навкруги NotPetya, він міг ефективно стерти всі відомості про стороннє втручання в системи.

Крейг Уїльямс впевнений, що таким чином Росія зробила політичний хід проти України. Хакери хотіли скомпрометувати державу в цілому перед міжнародною спільнотою. Вони ніби казали: «Якщо ви ведете бізнес в Україні, це може бути небезпечно».

Але всі експерти як один остерігаються того, що в майбутньому  хакерська атака може повторитися та вірус може виявитися в рази потужнішим, а наслідки ще масштабнішими. При цьому, Росія не була покарана за таку нахабну поведінку.  Санкції були незначними та були введені надто пізно.

NotPetya довів нам, що відстань – це вже не захист. Злочинці чатують біля воріт. Мережі, які об’єднали увесь світ протягом останніх 25 років можуть впасти за декілька годин, перетворивши технологічний прогрес людства в пил.

БІЛЬШЕ ЦІКАВОГО: