- Звідки все почалося
- Чому NotPetya виявився так ефективний
- У чому особливість NotPetya
- У скільки оцінюються збитки
- Що відбувалося в день атаки в Україні
- Як постраждав Maersk
- Як відновлювали мережу
- Підсумки для Maersk
- Що відбувалося в Україні після атаки
- Чим була атака NotPetya
24 Августа, 2018, 12:00
7731
видання Wired опублікувало фрагмент з книги Енді Грінберга «Sandworm», присвячений історії вірусу NotPetya. У червні 2017 року його атакував українські комп'ютери через вразливість в програмі MEDoc і розійшовся по світу. Особливу увагу Грінберг звернув на наслідки, що торкнулися транспортного гіганта AP Møller-Maersk - датську транспортну компанію, відповідальну за п'яту частину морських вантажних перевезень. Редакція AIN.UA призводить ключові витримай з матеріалу.
Звідки все почалося
З серверної в київському офісі компанії Linkos Group. Ініціатори «самої руйнівної атаки з часів створення інтернету» - російські військові хакери з угрупування Sandworm. Колись вони атакували українські держструктури і компанії, а також провокували відключення електрики в зимовий період.
У червні 2017 року Sandworm зламали сервери Linkos, що відповідають за розсилку оновлень програмного комплексу MEDoc. Українські підприємства користувалися їм для електронного документообігу. Хакери задіяли їх, щоб «випустити своє найбільш руйнівний творіння».
Чому NotPetya виявився так ефективний
Вірус, на той момент, був одним з найшвидших. Глава центру реагування Cisco Крейг Вільямс вказує: «У ту секунду, коли ви бачите його, ваш дата-центр вже пропав».
В основі NotPetya лежать два потужних експлоїта.
Перший - EternalBlue. Це злита в 2017 році розробка Агентства національної безпеки США. Експлоїт дозволяє скористатися вразливістю в одному з протоколів Windows і запускати сторонній код на непропатченних пристроях.
Другий - Mimikatz, концептуальний інструмент, створений французом Бенджаміном Дельфі в 2011 році. Він дозволяє отримати аутентифікаційні дані залягання в системі, а також використовувати їх для злому інших доступних пристроїв. Інструмент особливо небезпечний в корпоративних мережах, оскільки здатний атакувати сотні машин, пересуваючись від однієї до іншої.
До атаки NotPetya, Microsoft вже випустила патч проти уразливості EternalBlue. Але разом з Mimikatz потенціал вірусу виявився буквально необмежений. Комбінація експлойтів дозволяла атакувати непропатченних комп'ютери і задіяти їх паролі для захоплення оновлених до останньої версії пристроїв.
У чому особливість NotPetya
На відміну від Petya, який вимагав від жертв заплатити за розблокування даних, мету NotPetya була виключно в нанесенні шкоди. Malware-софт необоротно шифрував завантажувальний сектор комп'ютера, що дозволяє пристрою «знайти» операційну систему. Будь-які виплати ні до чого не приводили, а відновити вміст було неможливо.
Випуск NotPetya був проявом кібервійни майже у всіх сенсах - причому таким, яке, ймовірно, перевершило руйнівний потенціал, закладений творцями. Протягом декількох годин після першої появи, черв'як поширився по незліченну кількості українських комп'ютерів по всьому світу, від готелю в Пенсільванії до шоколадної фабрики в Тасманії.
Він знерухомила міжнародні компанії, включаючи Maersk, фармацевтичного гіганта Merck, європейське відділення FedEx, французьку будівельну фірму Saint-Gobain, харчову компанію Mondelēz і фабрики Reckitt Benckiser. У кожному з випадків збитки обчислювалися мільйонами. NotPetya навіть повернувся в Росію, вдаривши по держкомпанії «Роснефть».
У скільки оцінюються збитки
Загальна сума, озвучена Білим Домом - $ 10 млрд. Для порівняння, WannaCry «коштував» від $ 4 млрд до $ 8 млрд. У число головних постраждалих від NotPetya входять:
- Merc (США) - $ 870 млн;
- TNT Express (європейський підрозділ FedEX) - $ 400 000 млн;
- Saint-Gobain (Франція) - $ 384 млн;
- Maersk (Данія) - $ 300 млн;
- Mondelēz (США) - $ 188 млн;
- Reckitt Benckiser (Британія) - $ 129 млн.
Що відбувалося в день атаки в Україні
Wired описує роботу компанії Information Systems Security Partners (далі - ISSP), що надає послуги кіберзахисту. Під час атаки, яка відбулася напередодні Дня Конституції, її глава Олексій Ясинський отримав дзвінок від директора, який повідомляє про атаку на «Ощадбанк».
По прибуттю в офіс банку, він виявив місцевий IT-департамент в розгубленості. 90% комп'ютерів були заражені. Слідом Ясинський почав отримувати дзвінки з усієї України - всього їх було близько 50.
NotPetya поширювався по компаніям дуже швидко - щоб розправитися з внутрішньою мережею нікого українського банку, йому треба було 45 секунд. Великий український транспортний хаб, куди обладнання ISSP встановили в якості демонстрації, «ліг» за 16 секунд.
Засновник ISSP Олег Дерев'янко в той день знаходився на відпочинку в Туреччині, але перервав поїздку до сім'ї і до вечора пропрацював в ресторані на узбіччі, приймаючи дзвінки і роздаючи доручення. Дерев'янко радив менеджерам якнайшвидше відключати мережі, навіть якщо це означало зупинку діяльності всієї компанії. Найчастіше, було вже пізно.
Короткий список українських жертв NotPetya:
- 6 госпіталів в Києві;
- 6 енергетичних компаній;
- 2 аеропорту;
- 22 українських банки;
- банкомати;
- термінали;
- більше 300 компаній;
- 10% всіх комп'ютерів в країні.
Під удар потрапило майже кожне міністерство. Міністр інфраструктури Володимир Омелян в коментарі Wired сказав: «Уряд був непрацездатним».
Як постраждав Maersk
Датська транспортна компанія, на рахунку якої 76 портів по всьому світу і понад 800 вантажних кораблів, стала однією з найбільших жертв NotPetya.
Точкою входу для вірусу став один з 574 офісів гіганта. Він знаходиться в Одесі. Там фінансовий директор попросив встановити на його комп'ютер MEDoc - і відкрив для NotPetya доступ до корпоративної мережі.
Незабаром після початку атаки, співробітників центрального офісу в Копенгагені попросили піти з роботи. IT-департамент два години відключав мережу Maersk, але більшість комп'ютерів вже показували текст «repairing file system on C:» і вимога виплатити близько $ 300 в біткоіни-еквіваленті.
17 з 76 вантажних терміналів Maersk по всьому світу теж зупинилися. Ворота не пропускали автомобілі, крани завмерли, а вантажівки скупчувалися в кілометрові черги біля в'їздів.
Як відновлювали мережу
Через кілька днів профільних співробітників Maersk з усього світу почали збирати в англійському містечку Майденхед, недалеко від Лондона. Там знаходиться IT-департамент конгломерату.
Місцевий офіс працював в режимі 24/7 - співробітники ночували прямо на поверхах. Вони також скупили всі ноутбуки та роутери в окрузі. Всього в будівлі перебувало до 600 чоловік - крім 400 колег з Maersk, до роботи приєдналися 200 фахівців з Deloitte.
По ходу відновлення корпоративної мережі, співробітники змогли знайти бекапи майже всіх окремих серверів, зроблені за 3-7 днів до атаки NotPetya. Але проблема була в іншому - у них не було копій головних контролерів. Ці сервера служать детальною картою мережі Maersk і встановлюють правила доступу для користувачів. Без них окремі шматочки даних були марні.
У Maersk було близько 150 контролерів і вони працювали взаємно - кожен був бекапом всіх інших. Але ця стратегія, схожа на пристрій блокчейна, не допомогла в ситуації, коли стерли всі контролери.
Порятунок прийшов з Гани. Там, через відключення електрики, зберігся єдиний екземпляр контролера, що не уражена вірусом. Але після підключення виявилося, що швидкість передачі занадто повільна - на відправку даних підуть дні.
Компанія хотіла просто відправити одного зі співробітників на літаку в Лондон. Але ганські працівники Maersk не мали британських віз. Довелося працювати через посередника: співробітник з Гани вилетів до Нігерії, передав жорсткий диск місцевим людині з Maersk, а той вже сів на літак до Хітроу.
Після завершення цієї операції, процес відновлення прискорився. Спочатку в роботу повернулися порти, потім замовлення через Maerskline.com . Але щоб компанія знову запрацювала у відносно нормальному темпі, пішло більше тижня. За цей час співробітники працювали, як могли. Вони приклеювали папірці до контейнерів, приймали замовлення через особисті акаунти в Gmail, WhatsApp і записували їх у Excel-таблиці.
Підсумки для Maersk
Через два тижні співробітникам повернули робочі ноутбуки - правда, з повністю відформатовані жорсткими дисками.
Всього компанія відновила мережу з 4000 серверів і 45 000 комп'ютерів. За словами керівництва, обсяги поставок під час атаки впали всього на 20%, а втрати оцінюють в $ 250-300 млн. Співробітники, з якими спілкувався Грінберг, називають цю суму заниженою.
Після атаки в Maersk майже без вмовлянь схвалили майже всі поліпшення, пов'язані з безпекою. Компанія перейшла на Windows 10 на комп'ютерах. Сервера, деякі з яких до NotPetya працювали на Windows 2000, теж оновили.
Що відбувалося в Україні після атаки
Через тиждень після дебюту NotPetya, український спецназ увірвався в офіс Linkos Group, направивши зброю на співробітників і поставивши їх у коридорі. Оперативники навіть вибили двері на одному з поверхів, незважаючи на пропозиції засновника фірми Олесі Лінник дати їм ключі. Потім вони знайшли сервера, упакували їх в пластикові кейси і конфіскували.
Чим була атака NotPetya
В уривку фігурують кілька думок.
У ISSP впевнені, що атака була створена як спосіб замести за собою сліди, оскільки хакери протягом місяців мали доступ до заражених комп'ютерів. Крім спровокованої паніки і хаосу, NotPetya міг знищити дані про стеження.
Крейг Вільямс з Cisco впевнений, що це був політичний меседж з Росії. Там нібито чудово знали про міжнародні наслідки і вказували: «Якщо ви ведете бізнес в Україні, чекайте біди».
В одному сходяться всі - атака на кшталт NotPetya може повторитися в набагато більших масштабах. При цьому, адекватного покарання за підривну діяльність Росія не понесла. Санкції за вірус наклали через 8 місяців і загубилися серед інших звинувачень.
NotPetya нагадує нам, що відстань - більше не захист. Варвари вже біля кожних воріт. Мережі, що огорнули і об'єднали світ протягом останніх 25 років, можуть обрушитися за кілька годин в прекрасний літній день.
Нагадаємо, раніше на AIN.UA виходив матеріал про 6 найгучніших хакерських атаках 2017 року.
Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.
Помітили помилку?