Минные поля кибервойны

После атаки троянского вируса-вымогателя Petya.A (NotPetya, Nyetya) прошла неделя, и начали выясняться новые подробности.

Во вторник, 27 июня, накануне Дня Конституции, Украину захлестнула волна заражений трояном-вымогателем, который вначале назвали Petya — потому что часть кода была заимствована из известного шифровщика Petya/Misha. Потом, разобравшись, что троян ведёт себя по-другому, переименовали в NotPetya. Принцип действия подобных программ прост: попадая в ваш компьютер, они шифруют все файлы стойким шифром и затем просят вас перевести определённую сумму в биткоинах на счёт вымогателей, и тогда в обмен вы получаете ключ для расшифровки. В оригинальном трояне Petya в шифровании была допущена ошибка — и данные можно было получить назад без выкупа. В новом варианте трояна подобных ошибок нет. Для распространения использовались не только фишинговые письма, но и целый ряд уязвимостей.

Несколько месяцев назад группа хакеров ShadowBrokers заявила о том, что им удалось взломать Агентство национальной безопасности США и украсть у него уязвимости «нулевого дня». ZeroDays — один из самых мощных инструментов в хакерском арсенале. Это уязвимость, которая позволяет хакеру проникнуть в компьютер жертвы и о которой ещё не знает никто. ShadowBrokers пытались продать кибероружие АНБ, но публика встретила их заявления со скептицизмом. После этого часть материалов была опубликована в свободном доступе, в том числе уязвимости для Windows с кодовыми названиями EternalBlue и EternalRomance. Незадолго до публикации, предвидя, сколько бед могут натворить эти программы, АНБ пошло на беспрецедентный шаг и сообщило Microsoft о найденных уязвимостях, которые No Such Agency («Нет Такого Агентства» — шутливое название АНБ, само существование которого долго отрицалось) приберегала для террористов и прочих заклятых друзей Америки. Microsoft выпустил критическое обновление MS17-010, в том числе для уже неподдерживаемой Windows XP, но создание новых разрушительных вирусов, основанных на утечке, уже было не остановить.

12 мая началась атака червя-вымогателя WannaCry (троянского коня подбрасывают в осаждённый город, а червь заползает сам, перебираясь с компьютера на компьютер), который использовал для своего распространения уязвимость EternalBlue. Атака наделала много шума, и, видимо, этим и объясняется то, что злоумышленники не торопятся выводить полученные биткоины. В данный момент на кошельках WannaCry скопилось 133 тыс. долларов, которые ни в какое сравнение не идут с многомилионным ущербом от этой атаки и из которых авторами червя ещё не было потрачено ни цента. Киберпреступники не учли масштабов заражения. С начала 2000-х, когда черви были обыденностью, а уязвимости не стоили ничего, прошло много времени, и дорогостоящими эксплойтами больше никто не разбрасывается. Так что люди просто отвыкли от червей.

NotPetya использует те же уязвимости, что и WannaCry, а также пытается извлечь пользовательские пароли с помощью другого инструмента — Mimikatz, чтобы таким образом распространяться в локальной сети. Казалось бы, ещё один клон WannaCry, к которому все уже должны быть готовы после майской эпидемии. Но уже в первый день атаки начались странности. Единственным каналом связи между жертвой и злоумышленниками оказался email, который был заблокирован провайдером posteo.net в течение первых нескольких часов. Резервный канал связи авторами предусмотрен не был. Таким образом, выкуп платить бесполезно, преступники не смогут расшифровать ваши файлы, даже если бы они этого хотели.

Мне это ещё известно не было, потому что машина уже увозила его в противоположный конец страны, чтобы спасать промышленное предприятие. Крупное промышленное предприятие, у которого вся сеть (за исключением нескольких чудом выживших компьютеров) легла и не встала. И оно было не единственным. Наиболее пострадавшей страной от действий червя оказалась Украина. Начали поступать сообщения, что червь распространялся не только с фишинговыми письмами, но и через обновления бухгалтерской программы компании M.E.Doc, использующейся для отправки отчётов и документооборота. К Украине в числе пострадавших стран присоединились Россия и США, но там ущерб был значительно меньше. Сама компания M.E.Doc, несмотря на заявление киберполиции, настойчиво отрицала свою причастность к цифровому апокалипсису:

«Команда разработки M.E.Doc опровергает данную информацию и заявляет, что подобные выводы однозначно ошибочные, ведь разработчик M.E.Doc, как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода. Для этого были заключены договора с крупными антивирусными компаниями для предоставления исполняемых бинарных файлов на анализ и подтверждение их безопасности».

Код вируса был разобран экспертами по косточкам, на кошельке, зашитом в червя, скопилось около 10 тыс. долларов, что опять-таки ни в какое сравнение не идёт ни с риском для злоумышленников, ни с их собственными затратами на проведение атаки. Microsoft выпустила отчёт, в котором прямо связал атаку с программным обеспечением M.E.Doc. Это вызвало в сети шторм конспирологических теорий о том, что к атаке может быть причастен провайдер Wnet (где СБ Украины проводила обыски из-за его связей с Крымом), у которого хостится M.E.Doc. А также о том, что у вируса Petya может быть отчество «Алексеевич», и прочую невнятицу разной степени неадекватности. И всё это на фоне останавливающихся банков и остервенело работающих администраторов. Я сам пытался оплатить на заправке пачку сигарет карточкой, но выяснилось, что терминал больше не работает и пора возвращаться к старым добрым наличным. Масштаб ущерба ещё только предстоит оценить. И он значительно больше, чем 12,5 тыс. компьютеров из отчёта Microsoft.

Тогда же стало известно, что часть кода, заимствованная из старого Petya, была намеренно изменена таким образом, что новый код не шифрует диск, а безвозвратно уничтожает часть содержимого. Janus, автор оригинального Petya/Misha, даже предложил помощь, хотя, наверное, он это сделал, чтобы показать, что не имеет отношения к новой версии. На изменение в коде обратил внимание исследователь Matt Suiche в своём блоге. Целью вымогателей являются деньги. Для этого им нужно убедить пользователя, что его данные целы и невредимы, но находятся «в заложниках», пока он не заплатит. От ситуации, когда деньги авторов червя не интересуют, и того, что наиболее пострадавшей является страна, ведущая войну с агрессивным соседом (это, наверное, как пошутил Нойнец, Тувалу?), всё отчётливее запахло кибервойной. Тем более, что пострадали государственные учреждения, включая Кабинет Министров Украины. К какому месту зараженного компьютера прикладывать доктрину кибербезопасности — мне выяснить так и не удалось, а киберполиция продемонстрировала блестящий пример кризисных коммуникаций в стиле «спасайся кто может!», отключив на всякий случай свой веб-сайт.

Антон Швец, бывший главный редактор «Петра и Мазепы», выдвинул несколько версий, которые я постараюсь разобрать подробнее. Первый вариант: мы столкнулись с киберпреступниками-новичками, которые взяли старого Petya, немного его переделали и запустили, использовав взломанный сервер M.E.Doc. Действительно, причина и следствия могут идти в обратном порядке. Сначала взломали M.E.Doc, потом, имея такой мощный ресурс, запустили вирус, потом испугались поднятой шумихи и залегли на дно. Проверка серверов M.E.Doc показала, что они не обновлялись 3–4 года, и на двух серверах компании (www и upd), и на сервере 1c-sed.com.ua (совместно с компанией 1С) имеется как минимум три различных уязвимости, которые позволяют получить доступ к файлам обновлений. Для меня до сих пор является загадкой, как сервер в подобном состоянии мог дожить до наших дней и почему сервера не были взломаны повторно после того, как в сети появились сообщения об уязвимостях. Сейчас киберполиция наконец-то изъяла технику, и я надеюсь, что цифровые улики не были повреждены авторами червя, сотрудниками M.E.Doc или другими хакерами. И тут вышел отчёт компании ESET, который позволил взглянуть на атаку по-новому.

Команда ESET проанализировала обновления M.E.Doc, которые до сегодняшнего дня были доступны онлайн, и обнаружила в них ещё одну вредоносную программу TeleBot. В трёх последних обновлениях (первое из которых датируется 14 апреля) имеется библиотека ZvitPublishedObjects.dll, содержащая «чёрный ход», позволяющий злоумышленнику в любой момент получить доступ к зараженному компьютеру, собрать с него информацию о системе, скачать любые файлы и запустить любую программу. Я очень сомневаюсь в том, что кто-либо из «чёрных хакеров» стал бы ждать 3 месяца, чтобы потом запустить червя, не приносящего никакого дохода. Тем более они не стали бы копаться в чудовищном бухгалтерском софте, чтобы внести туда нужные исправления, а просто положили бы фальшивое обновление, состоящее из одного червя. Чёрный рынок аполитичен и направлен исключительно на извлечение прибыли. У денег нет родины. Более того, backdoor отсылал на сервер логины и пароли из M.E.Doc, и самое главное — код ЄДРПОУ (уникальный номер предприятия в реестре). Обычно злоумышленники используют для управления вредоносным ПО специально арендованные сервера, но TeleBot отправлял данные на сервер обновлений M.E.Doc.

Из этого можно сделать единственный вывод. Сервера M.E.Doc были полностью скомпрометированы и превращены злоумышленниками в вирусную инфраструктуру. Имея код предприятия, они могли выборочно загружать вирусы пользователям в зависимости от предприятия: где-то украсть файлы, где-то пароли, где-то деньги. Достаточно открыть реестр и посмотреть, кто именно попался на удочку.

Таким образом, мы приходим ко второй версии: уничтожение файлов под видом вымогательства — это операция прикрытия, чтобы скрыть следы масштабной шпионской операции. Не исключено, что была контролируемая утечка от шпионов к преступникам. Не факт, что NotPetya загружался именно через Telebot, который обнаружили только сейчас, а не отдельным обновлением.

Третья версия: tour de force, демонстрация силы для того, чтобы опробовать новые инструменты и возможности. Кому может быть выгодно следить за украинским правительством и бизнесом и проводить разрушительные кибертеррористические акты? Через модифицированное обновление загружался не только NotPetya, но и другие вредоносные программы, и в одной из них стоял копирайт «Made in China», но на заборе и не такое пишут. Хоть прямых доказательств нет, я почти уверен, что за атакой червя-вайпера-бэкдора-шпиона (неплохой швейцарский ножик?) стоит никто иной, как Российская Федерация. Надеюсь, что после выемки серверов будут получены новые доказательства.

Я не припомню ни одного случая настолько сильной и географически локализованной атаки, которая сценарием напоминает четвёртую часть фильма «Крепкий орешек». От разрозненных шпионских операций и диверсий страна-агрессор перешла к полномасштабным действиям. В этот раз паники и фатальных разрушений удалось избежать, но атаки будут повторяться. Те же The Shadow Brokers выставили на продажу очередную партию эксплойтов и их уже сейчас может купить любой желающий. И как мы знаем из предыдущих российских операций (таких, как взлом Демократического комитета США), на хакерские инструменты Россия денег не жалеет. Украина оказалась на передовой Первой мировой кибервойны. Нам пора переходить от визионерских доктрин к постоянной обороне нашей страны и в реальном, и в виртуальном мире, который сейчас очень тесно переплетается с миром вещей.

Sean Townsend / Ukrainian Cyber Alliance

Добавить комментарий