Украина 27 июня стала жертвой масштабной кибератаки – вирус-вымогатель Petya.А смог вывести из строя сайты и внутренние системы десятков украинских компаний и даже Кабмина. И хотя вирус поразил еще шесть десятков других стран, самый больший урон понесла именно Украина. По данным компании Microsoft, в нашей стране пострадало более 12,5 тыс. компьютеров. Кто виноват и что делать, чтобы не допустить таких последствий в будущем, разбирался 112.ua.

Что это было?

Около 11:30 во вторник, 27 июня, началась атака – вирус поразил системы десятков компаний: от банков и заправок, до «Укрпочты», «Укрзализныци» и аэропорта «Борисполь». Под ударом оказались даже компьютеры Кабмина. При этом ПК частных пользователей практически не пострадали. Дело в том, что вирус распространялся с помощью бухгалтерского программного обеспечения M.E.Doc украинского производства, которое используется для бухгалтерской отчетности.

Киберполиция по следам масштабной атаки опубликовала анализ событий. «Это ПО имеет встроенную функцию обновления, которая периодически обращается к серверу upd.me-doc.com.ua (92.60.184.55) с помощью User Agent „medoc1001189″. Обновление имеет хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54. Большинство легитимных пингов равняется примерно 300 байт. Утром, 27 июня, в 10:30 программа обновилась, обновление составило примерно 333 КБ“, — сообщило ведомство.

В дальнейшем вирус распространялся через уязвимость в протоколе Samba (она же использовалась во время атак WannaCry).

В Киберполиции отметили, что это не является обвинениями в сторону разработчика M.E.doc, а только констатацией фактов. Заражение через M.E.doc. — это один из векторов атаки, она проходила и с помощью фишинга.

Специалисты компании Microsoft также подтвердили вину софта M.E.Doc.

Особенность вируса Petya.А в том, что он блокирует доступ к данным на жестком диске компьютера. При этом заплатить 300 долларов и получить свои файлы не выйдет – несколько компаний поспешили это сделать, но ключи доступа так и не получили. Аналогично было с вирусом WannaCry – злоумышленники получили более 100 тыс. долларов, но ключей не рассылали.

Хакерская атака 27 июня была крупнейшей в истории Украины. По количеству зараженных компьютеров она даже обошла декабрьские атаки 2016 года, когда ущерб был нанесен энергосистеме страны. Хотя следует отметить, что этот вирус все же не уничтожал данные жестких дисков, возможно, это не было его целью. Также его создатели не ставили себе цель заработать, считают в ООН (на их счета поступило около 10 тыс. долл., а потому кошелек был заблокирован). Хотя вирус „красиво“ обнажил состояние дел в сфере кибербезопасности в Украине.

Почему это стало возможным?

Вирусы, наподобие WannaCry и Petya, используют уязвимости в операционной системе Windows. Разработчики этой ОС уже признали это.

Хотя международные эксперты признают, что Petya был модифицирован специально под Украину, поэтому и канал для проникновения был выбран через программу, которую используют многие компании в нашей стране.

Основатель одной из американских антивирусных компаний Николай Белогорский в эфире телеканала „112 Украина“ допустил, что столь изящная и целенаправленная атака могла быть осуществлена только при поддержке другого государства (украинские киберэксперты Зорян Шкиряк и Антон Геращенко даже назвали эту страну).

»Вирус очень сильно отличается от предыдущих, и, похоже, что был написан специально для Украины. Предыдущие атаки были финансовые, это был вирус-вымогатель WannaCry, который распространялся по всему миру, шифровал файлы и требовал выкуп. Вирус Petya стирает данные, у него нет возможности возвращать людям данные, даже если они платят. Он распространялся через бухгалтерскую систему M.E.Doc, которая используется только в Украине и является обязательной к использованию для налоговой отчетности. Это очень технически приспособленный к Украине вирус и похоже, что это атака от государства", — отметил он.

Белогорский пояснил, что вирус Petya только «делает вид, что он вирус-вымогатель». «Он действительно просит выкуп, но мнение экспертов изменилось в последние несколько часов — его вымогательная активность для вида. На самом деле его реальная цель — портить системы и мешать инфраструктуре, ломать и уничтожать данные. Я предполагаю, что за ним стоят спецслужбы России, судя по тому, как он распространялся, что он поражает и как он отличается от других вирусов. Это достаточно сложный вирус, в нем много методов распространения. Нужно минимум 5-10 человек с разными навыками и, как минимум, около месяца работы, чтобы создать этот вирус», — сказал он.

Россия – это первое, что приходит на ум экспертам, когда заходит речь о хакерах. Впрочем, государственная «Роснефть» тоже заявила, что пострадала от глобальной атаки. А эксперт ООН Нил Уолш и вовсе допустил, что это может быть кто угодно – от парня с подвала до правительства страны. По мнению главы Интернет-ассоциации Украины Александра Федиенко, списывать все виртуальные несчастья на соседей – как минимум преждевременно. «Существует виртуальный социум хакеров, который каждый раз показывает белому обществу, белому социуму, что не стоит о них забывать. На самом деле так было всегда, всегда было противостояние хакеров и компаний, разрабатывающих антивирусы», — сказал в комментарии «Апострофу» Федиенко.

Вместо обвинений он советует оценить ситуацию в сфере кибербезопасности в Украине, где царит откровенный бардак. «Многие государственные предприятия пренебрегали и пренебрегают своей виртуальной безопасностью. На многих предприятиях вы в принципе никогда не найдете инженера по компьютерной безопасности, тем более, с тем уровнем заработных плат, которые установлены на госпредприятиях», — говорит эксперт.

Большинство компаний, в том числе больших, в том числе государственных, работают на ОС Windows. Много компаний используют пиратский софт. Такой выбор ОС легко объясним – это удобно. Однако вирусы такого рода пишутся под системы Windows, потому что в мире они наиболее распространены. Плюс ко всему у Windows часто находят «дыры», через которые хакеры и засылают вирусы. Поэтому следить за безопасностью системы, которая работает на Windows, следует еще более тщательно. «Но в Украине эти системы практически не обновляются. Грубо говоря, системному администратору рискованно делать обновления, ведь если обновление пойдет неудачно, система, например, банка может быть выведена из строя. Отсутствие обновления означает уязвимость, и через эти уязвимости вирусы и распространяются, попадая в сеть», — говорит эксперт в сфере информационно-психологической безопасности Сергей Нестеренко.

Другой путь – это использование других операционных систем. Например, во время атаки не пострадали системы «ПриватБанка», в то время как «Ощадбанк» и еще около 30 банков были поражены. Эксперты отмечают, что «Приват» использует ОС Linux, а не Windows. В «Укртелекоме» хоть и пострадали колл-центр и центры обслуживания абонентов (потому что Windows), но сервисы оказания услуг остались целы – потому что работают на Unix платформе.

Атака вируса Petya показала еще одно упущение — компании, использующие Windows, не удосуживаются вовремя обновлять патчи от разработчиков. Об антивирусах можно вообще помолчать. Специалисты Microsoft отметили, что их бесплатный антивирус Windows Defender сумел распознать угрозу. Эксперты также отмечают, что Symantec последней версии тоже «ловил» вымогателя.

Французский специалист по кибербезопасности Жером Билуа считает, что вирус распространялся по миру настолько быстро, потому что компьютеры в компаниях, даже после атаки WannaCry, были не обновлены, а в системах остались уязвимые места.

«Это станет серьезным уроком для системных администраторов», — говорит президент холдинга «Интернет-инвест» Александр Ольшанский.

Что же делать, чтобы не попасться в будущем?

«Учитывая масштаб заражения, следует сделать очевидный вывод – IT-системы Украины крайне уязвимы, а большинство специалистов по информационной безопасности имеют низкую мотивацию. Например, очевидно, что не был учтен опыт, полученный во время недавнего наступления по миру WannaCry и других похожих вирусов. Обновленные антивирусы оказались беспомощны. Не помогли также и традиционные корпоративные системы противодействия атакам — межсетевые экраны, антиспам-фильтры и прочие решения, ежегодно съедающие миллионные бюджеты на обновление и поддержку», — говорит IT-разработчик Михаил Яхимович.

Он считает, что радикально уменьшить последствия атаки могло наличие регламентов борьбы с фишингом и другими формами социальной инженерии в компаниях и организациях, вплоть до обучения пользователей. «Руководители и IT-специалисты часто пренебрегают, т.к. построение системы борьбы с фишингом дело не быстрое, не дешевое и эффект очевиден не сразу, хотя в случае атак таких шифровальщиков, как Petya.a — это банально может спасти бизнес. Наличие таких систем, регламентов и соответствующего ПО — наиболее действенный способ профилактики угроз, подобных тем, что произошли 27 июня», — говорит Яхимович.

Из элементарного — чтобы не подхватить вирус, эксперты советуют обновлять операционную систему своего компьютера до самой последней версии, делать резервную копию данных, не забывать об антивирусах, ну и, конечно же, не открывать подозрительные письма, например, от неизвестного отправителя либо с расширением вложенного файла «ехе», «scr».

Следует пользоваться почтовыми программами для открытия файлов на территории почтового сервера. Грубо говоря, не выгружать файл к себе в компьютер, а читать почту на удаленном сервере. Такие программные продукты давно существуют.

Далеко не все компании делают копии данных. А это очень действенный способ восстановить их, даже если вирус все-таки поразил вашу систему.

«Кажется, сегодня многие люди в банковской и энергетической отраслях узнали, как было бы хорошо патчится, бекапится и не щелкать каку. Берегитесь», — написал в день атаки эксперт по кибербезопасности Влад Стиран.

Несмотря на то, что активно атаковать Украину хакеры начали еще в 2015 году, украинские госорганы оказались абсолютно не готовыми к новым виткам киберугроз. Эксперты уверяют, что в связи с развитием технологий хакерские атаки будут только усиливаться, а при нынешней ситуации с устаревшим оборудованием в госорганах осуществлять атаки не составляет большого труда.

«До последнего времени государственные органы мало уделяли внимания вопросам кибербезопасности. Сейчас этот вопрос начинают поднимать на уровне государства», — считает директор компании “Криптософт” Геннадий Чепурда, добавляя, что одной из причин уязвимости госорганов также является отсутствие квалифицированных специалистов в вопросах кибербезопасности. «Важно, чтобы технические специалисты наконец объяснили чиновникам, что им недостаточно серверов для резервного копирования, что существующее оборудование слабое или устаревшее», — добавляет он.

Отметим, что спустя два часа после атаки 112.ua пытался узнать подробности атаки в CERT-UA, специализированном структурном подразделении Государственного центра киберзащиты и противодействия киберугрозам Госспецсвязи, однако в ответ нам сообщили, что не владеют информацией. А сайт Киберполиции в разгар кибератаки не работал.

После декабрьских атак на системы Минфина Кабмин выделил министерству и Госказначейству 80 млн грн на защиту от хакеров. Неизвестно, как были потрачены эти средства, но теперь, по логике, Кабмину стоит выделить и себе несколько сотен миллионов для такой защиты, ведь система правительства тоже «легла» 27 июня. А еще лучше – найти профессионалов, которые потратят эти деньги на обеспечение реальной кибербезопасности госкомпаний и правительственных учреждений.