У червні Україна отримала дуже «незвичайний» подарунок до Дня Конституції — найбільшу хакерську атаку за всю історію існування нашої держави. При цьому експерти різного калібру не раз говорили й продовжують говорити — подібне може повторитися. Але що зроблено для того, щоб цього не сталося? З’ясовувала наша редакція.

Чорний вівторок

Пригадаємо що сталося. 27 червня вірус Petya.A, назва якого наче натякає «так, українці, цей “подарунок” дійсно для вас», зупинив роботу десятків приватних і державних компаній. За аналогією зі своїми попередниками «Wanna Cry» та «XData», він блокував доступ до файлів. За розблокування зловмисники вимагали 300 $ в біткоінах. Підприємства та організації падали одне за одним: Національний банк України, «Нова пошта», «Укрпошта», Кабмін, Київський метрополітен, «Укренерго» та інші. Детальніше про події того дня можна прочитати тут.

Тільки увечері 27 червня Департамент кіберполіції України пояснив, як «Петі» вдалося діяти так швидко і настільки масштабно. Крім використання інших інструментів зараження (зокрема, фішингових повідомлень), хакери зламали українське програмне забезпечення «M.E.doc», яке використовується в нашій країні для подання бухгалтерської звітності.

Оновлюйте систему

«M.E.doc» має функцію автоматичного оновлення, яка спрацювала 27 червня о 10:30. Однак, перед цим хакери зламали систему та перенаправили трафік на інший сервер, де Petya.A вже чекав на свій «зоряний» час.

«Був модифікований пакет оновлення — кіберзлочинці додали до нього віддалене завантаження і «бекдор» (це дефект алгоритму, який дозволяє отримати несанкціонований доступ до даних або дистанційно керувати ОС і пристроєм у цілому, – ред.). Сам собою жоден пакет не містив шкідливого коду. По суті, ми стали першими, кого уразили злочинці», — пояснили нам розробники «M.E.Doc».

У процесі подальшого поширення вже було неважливо, чи є «M.E.Doc» на комп’ютері, чи ні. Вірус використовував уразливі місця Windows, а також перехоплював облікові дані. На руку Petya.A спрацював і людський фактор — десь адмін не оновив ОС, десь надав користувачу права адміністратора, десь не розбив мережу на підмережі.

За інформацією фахівців з Microsoft, у перший день атаки вірус «поневолив» понад 12,5 тис. комп’ютерів. Також вони відзначили, що їх безкоштовний антивірус «Windows Defender» таки зміг розпізнати загрозу. Тому головна порада, яку вони дали, — завжди вчасно оновлювати ОС, адже в нових версіях є захист від усіх сучасних загроз.

Нам не потрібні ваші гроші

Треба враховувати, що Petya.A лише маскувався під програму-шифрувальник, яка відкриє доступ до даних відразу після отримання грошей. Насправді лиходіям потрібні були не стільки біткоіни жертв, скільки їхні дані. Всього хакери заробили понад 10 тис. $ (або 4 з гаком біткоіни). Обіцяні ключі доступу ніхто так і не отримав.

Новина про те, що поштова адреса зловмисника була заблокована практично одразу після початку атаки.

Одна з версій Нацполіції — хакери хотіли дестабілізувати економічний сектор України.

«Обрали компанію M.E.Doc, бо знали, що їхньою програмою користується більшість користувачів економічного сектору. Розрахунок був на те, що всі договори укладені офіційно, ліцензії придбані та програма за замовчуванням увімкнена на автоматичне оновлення. Хотіли уразити таким чином якомога більше об’єктів», — говорив голова кіберполіції Сергій Демедюк.

Полювання на відьом

Також пан Демедюк стверджував, що розробники «M.E.Doc» знали про наявні вразливості. Нібито в Нацполіції попереджали про них ще за місяць до сумнозвісних подій. У свою чергу дослідники з ESET постфактум написали про те, що начебто перший «бекдор» у пакеті оновлень «M.E.Doc» з’явився ще 14 квітня.

Ми попросили розробників ПЗ прокоментувати цю інформацію:

«Жодних офіційних попереджень від представників антивірусів чи кіберполіції не було. Більше того, ми намагалися зв’язатися з компанією ESET, проте в коментарях чи інформації нам відмовили. Щодо дати завантаження “бекдору” — насправді ця інформація з’явилася набагато пізніше атаки. І це нескладно відстежити. Наше ПЗ використали для поширення вірусу в першу чергу через його популярність у великих державних і приватних організаціях. Аналогічних програм це не зачепило не тому, що вони мають якийсь додатковий захист. Просто вони менш поширені. Будь-яке досить поширене ПЗ може постраждати від подібних дій».

Компанія-розробник також зазнала збитків:

«Ми маємо збитки, як й інші жертви. Але зараз їх досить складно підрахувати. Проте мова йде як про матеріальні ресурси, так і про репутаційні збитки, адже в нас 400 тис. клієнтів. Конкуренти підхопили тему вірусу й всіляко нею спекулюють, перекручуючи факти».

Захист

Що ж було зроблено для того, аби Petya.A не виконав свій трюк ще раз? Розробники M.E.Doc пояснили нам, що після події дистрибутиви та пакети оновлень перенесли на захищений майданчик ДП «Українські спеціальні системи»:

«Інформаційно-телекомунікаційна система цього підприємства надійно захищена від зовнішніх атак і шкідливого коду. Під час останньої кібератаки жоден інформаційний ресурс, розміщений там, не постраждав».

Крім цього, було вимкнено функцію автоматичного оновлення. Незабаром відповідні пакети можна буде перевірити за допомогою цифрового підпису безпосередньо перед встановленням.

«Було вжито необхідних заходів, щоб не допустити повторення кібератаки через наше ПЗ. Тому зараз зловмисники не зможуть використати «M.E.Doc». Ми також постійно співпрацюємо з усіма компетентними органами — від надання безперешкодного доступу до обладнання та ПЗ до розробки оновлення з підвищеним ступенем захисту».

Антивіруси vs «M.E.Doc»

Проте, не все так просто. У мережі можна зустріти інформацію про те, що антивіруси й досі знаходять віруси у різних модулях «M.E.Doc».

«Справа у так званих евристичних алгоритмах. У певних випадках антивірус вважає будь-яку програму шкідливою або підозрілою тому, що вона має спільні риси з відомим вірусом. Наприклад, в них схожі ім’я або розмір файлу, однакові ділянки коду, схожа поведінка. В останній версії програми ніяких «бекдорів» немає, і зараз нею можна сміливо користуватися. Але у самого модуля колишня назва і на 90% він залишився без змін. Цим і пояснюються помилкові спрацьовування антивірусних продуктів», — запевняють розробники.

На випередження

Після кібератаки пролунала думка, що програми такого рівня, як «M.E.Doc» потрібно сертифікувати та перевіряти на наявність уразливостей. Ідея, безумовно, хороша, але, на жаль, в Україні поки що немає уповноважених на це органів. Найбільш близька до такої діяльності — Державна служба спеціального зв’язку та захисту інформації. Однак, експертиза ПЗ для подання електронної звітності та електронного документообігу не входить до її компетенції.

І трохи філософії наостанок. Антивірусом розробники лише латають вже пророблені вірусом дірки в захисті. Але чи можна передбачити, де вони з’являться наступного разу? Події останніх років показують, що ні. Поки що ні.

Закінчив журфак у славному місті Запоріжжя. Сім років працював за фахом у місцевих газетах. 2013 року переїхав до не менш славетного міста Лева. Але це була не єдина зміна у житті – з того часу Інтернет став мені і за редакцію, і за газетні шпальти

Коменти