Технології

Хакерские атаки в Украине продолжаются: как это происходит и как защититься от вируса?

Информационный ажиотаж вокруг хакерских атак в Украине понемногу утихает, но, тем не менее, они все еще продолжаются. Накануне, 5 июля, в департаменте киберполиции МВД Украины сообщили об остановке очередного этапа кибератаки. Пока зловред Petya.A продолжает наносить несправимый ущерб все новым и новым компаниям, пострадавшие на прошлой неделе все еще занимаются восстановлением.
0 коментар
:
 

Информационный ажиотаж вокруг хакерских атак в Украине понемногу утихает, но, тем не менее, они все еще продолжаются. Накануне, 5 июля, в департаменте киберполиции МВД Украины сообщили об остановке очередного этапа кибератаки. Пока зловред Petya.A продолжает наносить неисправимый ущерб все новым и новым компаниям, пострадавшие на прошлой неделе все еще занимаются восстановлением.

27 июня 2017 года в Украине началась самая крупная за всю историю кибератака – компьютеры многих отечественных бизнес-компаний, госучреждений, банков и прочих структур были поражены вирусом-шифровальщиком Petya.A. «ЭнергоЛайф.инфо» пообщался с директором аутсорсинговой компании «Ай Ти Экспертс» Романом Новожениным, чтобы окончательно выяснить, как действуют хакеры, какие особенности этой кибератаки, как защититься от вируса, и почему все-таки пострадала именно Украина?

Роман Новоженин

Роман Новоженин

Правда ли, что нынешняя кибератака стала самой существенной за всю историю Украины?

Да, правда. На моей памяти до этого времени не было ничего подобного. Только по официальным данным ущерб для Украины от кибератаки составил порядка 8 миллиардов долларов США, но я думаю, что он гораздо больше. Пострадал, прежде всего, крупный бизнес, банковский сектор, торговые сети, страховые компании. Вообще, украинские компании, которые пострадали от вируса, составляют собой около 75% от всех компаний-жертв в мире. На втором месте – Германия, на третьем – Польша.

Какие учреждения и предприятия пострадали в Полтаве?

Я вот уже неделю принимаю вызовы по восстановлению работоспособности  систем от учреждений по всему городу. Насколько могу судить, в Полтаве поражена практически вся банковская система кроме Приватбанка. Частично пострадали банкоматы Привата, потому что они работают на Windows. Сам банк работает на Линуксе (Linux), поэтому он заражению не подвергся. Все остальные используют программное обеспечение Windows, поэтому и пострадали. В первый день атаки, насколько мне известно, не работали такие крупные торговые сети как Метро, Новая почта, Эпицентр, банковские отделения.

Существует мнение, что Украина подверглась этой атаке якобы из-за низкого уровня компьютерной грамотности среди пользователей. Якобы многие открывали сомнительные письма, через которые происходило заражение вирусом. Что вы об этом думаете?

Не согласен. Вообще, суть какая – первоначально заражение произошло через программу M.Е.Dос., как бы «Интеллект-сервис» (компания-разработчик) не отрицал это (на нынешний момент компания уже признала свою вину, а СБУ изъяла сервисы компании на экспертизу – прим. Ред.). Это программа для ведения бухгалтерского учета,  ею пользуются практически везде (по данным разработчиков, она используется на 1 миллионе компьютеров - прим. ред.) Был взломан сервер обновлений M.Е.Dос, и вместо реального обновления был подложен вирусный код. Все бухгалтера, которые пользуются этой программой, знают, что если есть обновления, их нужно открыть и принять, и там будут проведены некоторые исправления. Соответственно, при нажатии на обновления M.Е.Dос. скачивался зловред. Программа исполняла чужой код и происходило заражение компьютера.

Как свидетельствует практика, первым делом шифровался M.Е.Dос. Потом он сканировался на предмет контрагентов, а у каждого контрагента автоматически предопределена электронная почта. Вообще, основной принцип работы этой программы – с помощью электронной почты происходит обмен документами, отчетность в налоговой и т. д. И потом уже по этим электронным адресам пошла массовая рассылка.

Она пришлась на вечер 27-го июня. 28-е, как известно, был официальный выходной, поэтому первая волна была сравнительно легкой. Через M.Е.Dос пострадали в основном госструктуры, некоторые банки, в частности Ощадбанк.

29-го ожидался Армагеддон. Так оно и получилось – люди пришли после праздника на работу, включили компьютеры, а на электронной почте куча зараженных писем.

Как они выглядели, эти письма? Не казались ли они сомнительными?

Дело в том, что письма маскировались под сообщения из ГФС, банков, страховых компаний, приходили в виде резюме, прайсов от партнеров. Письма были  составлены таким образом, чтобы получатель открыл присланные документы, в основном это были вордовские файлы. Например, документ назывался типа «Податкова заборгованість» или что-то подобное.

Пример зараженного вирусом письма

Пример зараженного вирусом письма

То есть, с помощью электронной почты произошла большая часть заражения. Потому что M.Е.Dос пользуются в основном бухгалтера, а электронной почтой – все. Как происходило заражение? При открытии письма загружался эксплойт – программа, написанная специально для того, чтобы использовать уязвимость Windows. Она проникает автоматически, ей не надо ни прав, ни подтверждений.

Могли ли защитить антивирусные программы?

Да, но большей частью корпоративные, серьезные, например, как в банковской сфере, где есть все лицензии. Они срабатывали, определяли наличие вируса, но сделать с ним ничего не могли. Распространение было мгновенное, компьютеры уходили в перезагрузку и все.

Все банковские системы защиты – не сработало ничего. Сработало только выключение из розетки. Те, кто успевали выключить компьютер до перезагрузки компьютера – у них большей частью информация сохранилась.

То есть, последствия вируса – потеря всех баз данных?

75-80% пользователей потеряли практически все свои данные. Ни одной вирусное заражение на моей памяти не вносило такого деструктива.

Известная антивирусная компания Symаntec определила несколько модификаций этого вируса. Это значит, что хоть проникновение и было одинаковым, деструктивная часть была разной. Прикладывая аналитику к фактам, я и сам заметил, что были клиенты, у которых данные уничтожались все на файловом уровне, так, чтобы их нельзя было уже восстановить. При перезагрузке компьютеров в операционной системе грузился вирус, который показывал окошко «проверка диска» с предупреждением ни в коем случае не выключать ПК, идет проверка восстановление диска. На самом деле происходило шифрование данных.

Криптовалось все очень хитро. Видишь файлы, папки, структура правильная, размер адекватный, копируешь их, пытаешься открыть, а они внутри содержат «мусор». Такие файлы у клиентов я старался оставлять, они лежат отдельно на флешках и жестких дисках. Возможно, удастся написать какой-то декриптор, чтобы их расшифровать.

Ну и, конечно же, сохранили свои данные те, кто регулярно делает копии.

Шифрование данных вирусом

Шифрование данных вирусом

А как насчет декриптации зашифрованных файлов за деньги?

По поводу попрошайничества – ни для кого не секрет, что сумма была собрана сравнительно мизерная, всего несколько биткоинов в долларах. Биткоин привязан к электронной почте. Этот адрес, который указывал вирус для отправления 300 долларов в биткоинах для расшифровки, был заблокирован буквально в первый час после публикации. За первые сутки заражения успели перечислить чуть больше 6 тысяч долларов, то есть ни о чем. Дальше уже перечислять было некуда. Так что не думаю, что целью было вымогательство.

Зачем же хакерам нужна была эта атака?

Главной целью атаки было внесение деструктива. На мой взгляд, Украина пострадала потому, что была целью.  Во-первых, M.Е.Dос. - это программа, которая используется исключительно в Украине. Плюс пострадали больше всего как раз банковский и торговый сектор.

Почему я говорю атака на бизнес? Потому что один их эксплойтов использовал SMB-сервер, с помощью которого проходило заражение сети компьютеров. Разумеется, что так в основном работают компании и бизнес. Распространение было практически мгновенным, мы даже проводили эксперименты.

Какая все-таки грамотная защита от подобных атак?

На мой взгляд, единственная грамотная защита – это переход на альтернативные оперативные системы. Это Linux, Mac OS. Они не подвержены распространению автоматического вируса в принципе. По сути так сконструирована операционная система, что автоматически там чужой код не может исполниться, потому что нужны права так называемого «супер-юзера». Соответственно, супер-юзер должен иметь пароль, а пароль не может быть простым. Такая вот цепочка. Чтобы поменять параметры какой-то программы или добавить ее, или удалить, нужны права суперпользователя. Поэтому там ничего просто так не срабатывает.

Наиболее оптимальный вариант – это Linux. Его не затронули ни Wanna Cry, ни Black Energy, который атаковал энергетическую систему. В Европе многие перешли на Linux, в которой айти-безопасность, на мой взгляд, на уровень выше. К тому же, для компаний он будет обходиться даже дешевле.

ЭнергоЛайф.инфо

Article Rating

Vote Data