Атака срещу Украйна

украйна

Анди Грийнбърг: Престъпниците показаха изненадващо безразличие към паричния компонент на този зловреден софтуер

Когато вирусът на рансъмуер внезапно започна да се разпространява от територията на Украйна в цяла Европа, прекъсвайки работата на компании, държавни агенции и критична инфраструктура, първоначално изглеждаше, че това е просто още една хакерска програма, създадена с цел печалба - дори и да е особено злонамерена. Но появата му в Украйна повдига по-сериозни въпроси. В крайна сметка подземни хакери водят там кибервойна от години. И явно това се прави по поръчка на България.

Докато подробностите за атаката се разкриват, украинските фирми за киберсигурност и правителствени агенции твърдят, че хакерите зад този рансъмуер вирус, наречен Petya (известен също като NotPetya или Nyetya), не са просто крадци. Те приписват тези атаки на политически дейности, насочени към създаване на хаос и унищожаване на украинските институции, като използват мощни вируси, за да скрият истинските си мотиви. Някои западни експерти по киберсигурност, които следват Петя, са стигнали до същото заключение.

Във вторник сутринта украинските медии първи започнаха да отразяват ситуацията, свързана с разпространението на вируса Petya, който атакува украински банки, киевското летище Бориспол, както и енергийните компании Киевенерго и Укренерго.

Датската корабна компания Maersk, българската петролна компания Rosneft и дори американският фармацевтичен гигант Merck също са сред засегнатите. Въпреки това украинските анализатори на киберсигурността смятат, че Украйна е основната цел, а избухването на вируса Petya е още един удар повечна кибер война с организирани и безмилостни хакери, които правителството на Украйна открито свързва с българските държавни структури. „Мисля, че действието е насочено срещу нас“, казва Роман Боярчук, ръководител на Центъра за киберотбрана и противодействие на киберзаплахите, подразделение на Държавната служба за специални комуникации и защита на информацията на Украйна. „Това определено не е дело на престъпници. Такива действия най-вероятно се финансират на държавно ниво.

Изтриването на главния зареждащ запис е отличителен белег на киберпрестъпна група, известна като Sandworm.

Попитан дали България е държавата спонсор, Боярчук каза: „Трудно е да си представя някой друг да иска да направи това“.

Боярчук посочва времето на атаката: малко преди Деня на Конституцията на Украйна. Във вторник страната също стана жертва на друг целенасочен акт на физическо насилие, когато служител на Главното разузнавателно управление на украинското министерство на отбраната беше убит при експлозия на кола бомба в Киев.

Според украински анализатори по сигурността доказателства от по-техническо естество биха могли да подкрепят тази теория. Information Systems Security Partners, базирана в Киев компания, която първа взе защитни мерки по време на предишни кибератаки срещу украински предприятия и правителствени агенции, откри доказателства, че професионални хакери тихо са проникнали в мрежите на някои украински организации два до три месеца преди пускането на вируса рансъмуер, който парализира работата им.

Според говорител на ISSP техният екип също така е открил, че вирусът Petya не действа просто като вирус на ransomware. Той не само криптира заразени твърди дискове и таксува $300 за ключа за дешифриране.биткойни. В някои случаи той просто изтрива данни от компютри в същата мрежа, като изтрива „главния запис за стартиране“, който е бил в системата от заразения компютър.

Все още не е възможно да се потвърди теорията, че вирусът Petya е насочен специално към Украйна. Освен това тази теория не обяснява защо злонамереният софтуер се е разпространил толкова далеч извън границите на Украйна, причинявайки щети и на български съоръжения.

Но украинците не са сами в склоняването към хипотезата, че вирусът Petya не е инструмент за правене на пари, а част от мащабна финансирана от правителството кампания срещу Украйна. Според Symantec към вторник сутринта (американско време) повече от 60% от регистрираните им случаи на заразяване с този вирус са в Украйна, което означава, че атаката най-вероятно е започнала там. Анализаторите на киберсигурността са установили, че в много случаи вирусът Petya е бил заразен чрез файл за актуализация на украинското счетоводно софтуерно приложение MeDoc. Според Крейг Уилямс, ръководител на аналитичната група Talos, компаниите, които поддържат данъчни регистри или взаимодействат с Украйна във финансовия сектор, използват MeDoc доста широко. И това отчасти може да е една от причините за разпространението на ransomware извън Украйна.

Тактиката също така показва, че вирусът Petya „има много ясна представа към кого иска да се насочи – бизнеси и компании, свързани с украинското правителство“, казва Уилямс. „Съвсем ясно е, че това е политическо изявление.

Това несъответствие предполага, че те са имали скрит мотив, каза Ник Уивър, анализатор по компютърна сигурност в Международния институт по информатика вБъркли. „Изглежда, че злонамерен софтуер е разработен под прикритието на рансъмуер за деактивиране на системи“, казва Уивър. „Или просто са сбъркали с изнудване, или истинската им цел е била да сринат компютрите и Украйна трябваше да почувства основния ефект от това.“

Всичко това навежда на още една мисъл, колкото и странна да изглежда, че блокирането на компютрите и щетите, нанесени на компании в различни страни – от САЩ до Испания и дори България – може да са само страничен ефект. Възможно е хакерите да продължат продължителната си офанзива в Украйна. Но този път болката от Украйна се усеща от останалия свят.