В это же время на прошлой неделе онлайн-атака принесла хаос в банки, больницы и правительственные кабинеты Украины, прежде чем распространилась по всему миру. Данные свидетельствуют о том, что деньги не были целью кибератаки — реальное намерение оказалось замаскированным. Может быть, это признак чего-то более серьезного, пишет британское издание BBC.
Утром во вторник, 27 июня, руководитель киевской фирмы по кибербезопасности Олег Деревянко собирал вещи, прежде чем отправиться в 300-километровую поездку к своим родителям в село. Среда была Днем Конституции в Украине, национальным праздником, и он хотел использовать перерыв в середине недели, чтобы провести пару дней с детьми.
Наряду с Деревянко миллионы украинцев, а также предприятия и правительственные учреждения рассчитывали на выходной.
День начался с насилия — в 8:15 авиабомба убила полковника военной разведки Украины. А около 11:00 раздался у Деревянко звонок. Это был представитель крупной телекоммуникационной компании, которая обслуживает государственный Ощадбанк, один из крупнейших финансовых институтов Украины и один из трех системно важных банков. Банк насчитывает 3650 отделений и 2850 банкоматов по всей стране. Хотя они не были клиентом ISSP, но нуждались в срочной помощи: вся система подверглась кибернападениям.
«Я передал задание своей команде, — рассказывает Деревянко в интервью в офисе ISSP, — и продолжил свой путь в село. Нападения происходят здесь все время, поэтому я не беспокоился и не менял планы».
Деревянко и остальная часть страны понятия не имели о том, что произойдет. Кибератака будет пульсировать по регионам Украины, поражая банки, энергосистемы, почтовые службы, правительственные министерства, медиа-организации, главный международный аэропорт Киева, общенациональных мобильных провайдеров и даже Чернобыльскую электростанцию.
«К 13:00 или 14:00 было ясно на 100%, что мы находимся под постоянным и массовым нападением повсюду», — сказал министр инфраструктуры Украины Владимир Омелян. Затем вирус распространился по всему миру, и «осадки» все еще ощущаются.
Через неделю все еще не совсем понятно, почему это произошло или кто за этим стоял, почему эта атака разыгралась именно в Украине и что известно о мотиве.
Примерно в то время, когда Деревянко принимал вызов Ощадбанка, ранние признаки атаки появлялись в другом месте.
На следующий день ISSP придумал термин «Massive Coordinated Cyber Invasion», чтобы описать, что они видят. Они считали необходимым отличать хаос вторника от событий предыдущих нападений на Украину в 2015-м и 2016 году.
Причина, по которой это было по-другому, говорит Деревянко, заключается в том, что многое из того, что произошло во время атаки, были автоматизировано, чтобы обманывать и отвлекать своих жертв и тем самым препятствовать ответу.
Лесли Кархарт, исследователь безопасности с почти десятилетним опытом в области цифровой криминалистики и реагирования на подобные инциденты, добавляет, что стратегия намного перевешивает техническую сложность атаки.
Вирус смог перехватить пароли, захватить административные привилегии, удалить журналы, зашифровать, стереть и, возможно, самое главное, как считает Деревянко, он смог распознать конкретные «хэши» на машинах и сетях и, по-видимому, оставить их в покое. Короче говоря, он был более хирургическим, чем обычное вредоносное ПО.
«Первоначальные организации, которые пострадали, даже в тех сетях, где мы видели большинство компьютеров, были уничтожены… но были некоторые машины, которые выжили, — говорит он. — Этот иммунитет странный. Как они выжили, но что более важно, почему?». В настоящий момент это пока неясно.
Когда украинцы справились с первоначальным хаосом, эксперты по кибербезопасности в Европе, а затем и Америке медленно начали понимать, что атака выходит за рамки нормы и может выйти за границы Украины.
Известно, что вредоносное ПО Ransomware под названием Petya существует с 2016 года. Однако это был не Petya, а его модифицированная версия.
Размер группы, необходимой для проведения такой атаки, составит от 10 до 20 человек.
По словам бывшего американского военного специалиста в области информационных технологий Джонатана Николса, сочетание вымогательства с программным обеспечением, утвержденным правительством, предполагает, что цель не была финансовой.
«Наш анализ показывает, что основной целью атаки была не финансовая прибыль, а широкое уничтожение», — сказал представитель Касперского. Другими словами, цель заключалась в создании хаоса, нападении на украинскую цифровую инфраструктуру, что затрудняет работу предприятий и калечит оказание государственных услуг.
В более чем 25 интервью BBC Future, проведенных в течение недели после нападения, эксперты по кибербезопасности, похоже, пришли к единому мнению относительно двух вещей. Во-первых, эта атака не связана с деньгами, а во-вторых, она была направлена именно против Украины.
