Укра­ї­на ста­ла плац­дар­мом для кі­бе­ра­так

Фа­хів­ці по­пе­ре­джа­ють про під­го­тов­ку но­вих атак, яких за­знає пе­ре­д­усім енер­ге­ти­чний се­ктор кра­ї­ни

Dzerkalo Tizhnya - - ТИТУЛЬНА СТОРІНКА - Гер­ман БОГАПОВ

Вій­на йде не тіль­ки на схі­дно­му фрон­ті в Дон­ба­сі та на скла­дах боє­при­па­сів.

І якщо в ін­ших кра­ї­нах «по­лі­ти­чні» ха­ке­ри впли­ва­ють на­сам­пе­ред на ви­бо­ри, то в Укра­ї­ні уда­рів за­зна­ють жит­тє­во ва­жли­ві об’єкти ін­фра­стру­кту­ри.

Blackenergy і Greyenergy

Ор­га­ні­зо­ва­на, але по­ки що так і не ви­яв­ле­на Apt-гру­па злов­ми­сни­ків Blackenergy ата­кує на­шу кра­ї­ну впро­довж ба­га­тьох ро­ків. APT роз­ши­фро­ву­є­ться як advanced persistent threat — «роз­ви­не­на ста­ла за­гро­за», або ці­льо­ва кі­бе­ра­та­ка. Це сер­йо­зний про­тив­ник, який во­ло­діє су­ча­сним рів­нем спе­ці­аль­них знань і зна­чни­ми ре­сур­са­ми, що до­зво­ля­ють йо­му до­ся­га­ти ме­ти, ви­ко­ри­сто­ву­ю­чи рі­зні ве­кто­ри на­па­ду: ін­фор­ма­цій­ні, фі­зи­чні та обман­ні. Він пра­гне вста­но­ви­ти й роз­ши­ри­ти свою при­су­тність усе­ре­ди­ні ін­фор­ма­цій­но-те­хно­ло­гі­чної ін­фра­стру­кту­ри ці­льо­вої ор­га­ні­за­ції для ви­лу­че­н­ня ін­фор­ма­ції, зри­ву або ство­ре­н­ня пе­ре­шкод для ви­ко­на­н­ня її зав­дань. Так са­мо про­тив­ник мо­же зайня­ти ви­чі­ку­валь­ну по­зи­цію, щоб здій­сни­ти ці на­мі­ри в май­бу­тньо­му.

У гру­дні 2015 р. Blackenergy ви­кли­ка­ла при­пи­не­н­ня еле­ктро­по­ста­ча­н­ня, за­ли­шив­ши без еле­ктри­ки 230 тис. лю­дей під час пер­шо­го у сві­ті від­клю­че­н­ня еле­ктро­енер­гії вна­слі­док кі­бе­ра­та­ки. Однак ата­ка на енер­ге­ти­чну ін­фра­стру­кту­ру Укра­ї­ни у 2015 р. бу­ла остан­ньою ві­до­мою опе­ра­ці­єю з ви­ко­ри­ста­н­ням на­бо­ру ін­стру­мен­тів Blackenergy. Зго­дом до­слі­дни­ки ан­ти­ві­ру­сної ком­па­нії ESET за­фі­ксу­ва­ли но­ву Aptпі­д­гру­пу — Telebots. Во­на ста­ла ві­до­мою зав­дя­ки гло­баль­но­му по­ши­рен­ню Notpetya — шкі­дли­во­го про­грам­но­го за­без­пе­че­н­ня (ПЗ), яке по­ру­ши­ло гло­баль­ні бі­знес-опе­ра­ції 2017 р. і при­зве­ло до зби­тків на мі­льяр­ди до­ла­рів. Як не­дав­но під­твер­ди­ли до­слі­дни­ки, Telebots теж пов’яза­на з Industroyer, по­ту­жною су­ча­сною шкі­дли­вою про­гра­мою, на­ці­ле­ною на про­ми­сло­ві си­сте­ми управ­лі­н­ня, яка ви­кли­ка­ла дру­ге при­пи­не­н­ня еле­ктро­по­ста­ча­н­ня в Укра­ї­ні у 2016 р.

Пі­сля до­кла­дно­го ана­лі­зу фа­хів­ці з’ясу­ва­ли, що шкі­дли­ве ПЗ Greyenergy ті­сно пов’яза­не зі шкі­дли­ви­ми про­гра­ма­ми Blackenergy і Telebots. Во­но має мо­дуль­ну стру­кту­ру, то­му йо­го фун­кціо­нал за­ле­жить від кон­кре­тної ком­бі­на­ції мо­ду­лів, які опе­ра­тор за­ван­та­жує в си­сте­ми жертв.

По­єд­нує цих злов­ми­сни­ків те, що во­ни по­ши­рю­ю­ться че­рез еле­ктрон­ні ли­сти зі шкі­дли­вим фай­лом, да­лі зла­му­ють сер­вер, під­клю­че­ний до вну­трі­шньої ме­ре­жі під­при­єм­ства.

Мо­ду­лі цьо­го шкі­дли­во­го ПЗ ви­ко­ри­сто­ву­ва­ли­ся для шпи­гун­ства й роз­від­ки. До фун­кціо­на­лу мо­ду­лів на­ле­жать бек­дор (де­фект ал­го­ри­тму, який нав­ми­сне вбу­до­ву­є­ться в ньо­го роз­ро­бни­ком і до­зво­ляє отри­ма­ти не­сан­кціо­но­ва­ний до­ступ до да­них або від­да­ле­но­го ке­ру­ва­н­ня опе­ра­цій­ною си­сте­мою й комп’юте­ром), збір фай­лів, знім­ки екра­на, чи­та­н­ня на­ти­скань кла­віа­ту­ри, ви­кра­де­н­ня па­ро­лів та облі­ко­вих да­них то­що.

Ва­жли­во за­зна­чи­ти, що при ана­лі­зі до­слі­дни­ка­ми ESET кі­бе­ра­так і груп кі­бер­зло­чин­ців зв’яз­ки про­во­дя­ться на осно­ві те­хні­чних по­ка­зни­ків, та­ких як схо­жість ко­ду, за­галь­на ін­фра­стру­кту­ра, лан­цюж­ки ви­ко­на­н­ня шкі­дли­вих про­грам та ін­ші до­ка­зи. Оскіль­ки ком­па­нія не бе­ре уча­сті в роз­слі­ду­ван­ні при­чин та екс­пер­ти­зі, фа­хів­ці ESET утри­му­ю­ться від при­пи­су­ва­н­ня атак пев­ним осо­бам або дер­жа­вам.

Однак, ана­лі­зу­ю­чи об’єкти й час атак і бе­ру­чи до ува­ги, що во­ни здій­сню­ю­ться са­ме в на­шій кра­ї­ні, не­важ­ко зро­зу­мі­ти: кі­бе­ра­та­ки є ще одні­єю збро­єю Крем­ля у вій­ні про­ти Укра­ї­ни...

Роз­по­діл ан­ти­ві­ру­сів

На­га­да­є­мо, що мас­шта­бні сан­кції про­ти ро­сій­ських It-ком­па­ній впро­ва­ди­ли в Укра­ї­ні то­рік у трав­ні. То­ді до спи­ску по­тра­пи­ли 1228 фі­зи­чних і 468 юри­ди­чних осіб, се­ред яких ви­яви­ли­ся со­ці­аль­ні ме­ре­жі «Вкон­та­кте», «Одно­клас­сни­ки», сер­ві­си «Ян­декс», 1С та ін. Пі­сля цьо­го бу­ли за­бло­ко­ва­ні й сай­ти ан­ти­ві­ру­сних ком­па­ній «Ла­бо­ра­то­рия Ка­спер­ско­го» та Drweb, хо­ча про­ти них сан­кції бу­ло впро­ва­дже­но ра­ні­ше. Ан­ти­ві­ру­сні про­ду­кти цих ком­па­ній за­бо­ро­ни­ли ви­ко­ри­сто­ву­ва­ти в дер­жав­них стру­кту­рах. До­ти їхні по­зи­ції бу­ли ду­же силь­ни­ми на рин­ку, але пі­сля впро­ва­дже­н­ня сан­кцій кор­по­ра­тив­ні ко­ри­сту­ва­чі та дер­ж­уста­но­ви по­ча­ли ма­со­во пе­ре­хо­ди­ти на ін­ше ПЗ.

Як на­слі­док, на сьо­го­дні ледь не в по­ло­ви­ни держ­ко­ри­сту­ва­чів уста­нов­ле­но ан­ти­ві­ру­си ESET NOD32 та Internet Security, а час­тка кор­по­ра­тив­них рі­шень для без­пе­ки по­стій­но роз­ши­рю­є­ться. То­чні час­тки рин­ку вста­но­ви­ти не­мо­жли­во, оскіль­ки до­слі­дже­н­ня ві­до­мою ком­па­ні­єю IDC дав­но не про­во­дя­ться, до­сто­вір­них да­них ні­хто не на­дає. І якщо, при­мі­ром, в ESET є пред­став­ни­цтво, то рі­ше­н­ня ін­ших роз­ро­бни­ків впро­ва­джу­ю­ться ви­клю­чно че­рез Itдистриб’юто­рів. Крім то­го, на рин­ку ба­га­то без­пла­тних по­ча­тко­вих вер­сій ан­ти­ві­ру­сів, а Microsoft вза­га­лі вбу­до­вує вла­сний про­дукт Microsoft Security Essentials у лі­цен­зій­ні вер­сії Windows.

Своє ПЗ про­по­ну­ють й ін­ші між­на­ро­дні роз­ро­бни­ки. Так, за да­ни­ми IDC за під­сум­ка­ми 2017 р., у Цен­траль­ній та Схі­дній Єв­ро­пі (крім Ро­сії) ESET лі­ди­рує на рин­ку ПЗ для за­без­пе­че­н­ня без­пе­ки кін­це­вих ко­ри­сту­ва­чів із час­ткою 37,5% (на гло­баль­но­му рин­ку 6-те мі­сце). Силь­ні по­зи­ції та­кож Mcafee, AVAST, Trend Micro, Bitdefender, Kaspersky Lab і Symantec.

В Укра­ї­ні є і вла­сний ан­ти­ві­рус — Zillya!, пер­ша вер­сія яко­го з’яви­ла­ся ще 2009 р. Цей ан­ти­ві­рус 2017 р. був сер­ти­фі­ко­ва­ний Дер­жав­ною слу­жбою спе­ці­аль­но­го зв’яз­ку та за­хи­сту ін­фор­ма­ції з рів­нем за­хи­сту Г-2. Як на­пи­са­но в до­ку­мен­ті ДССЗЗІ, сім рів­нів га­ран­тій (Г-1, .., Г-7) від­обра­жа­ють «по­сту­по­ве зро­ста­н­ня мі­ри впев­не­но­сті в то­му, що ре­а­лі­зо­ва­ні в комп’ютер­ній си­сте­мі по­слу­ги до­зво­ля­ють про­ти­сто­я­ти пев­ним за­гро­зам, що ме­ха­ні­зми, які їх ре­а­лі­зу­ють, сво­єю чер­гою, ко­ре­ктно ре­а­лі­зо­ва­ні й мо­жуть за­без­пе­чи­ти очі­ку­ва­ний спо­жи­ва­чем рі­вень за­хи­ще­но­сті ін­фор­ма­ції при екс­плу­а­та­ції комп’ютер­ної си­сте­ми». Однак чо­мусь ко­ри­сту­ва­чі не по­спі­ша­ють пе­ре­хо­ди­ти на ві­тчи­зня­ний про­дукт.

Та­ку сер­ти­фі­ка­цію має про­хо­ди­ти про­грам­не за­без­пе­че­н­ня всіх роз­ро­бни­ків. На­при­клад, про­ду­кти ESET та­кож сер­ти­фі­ко­ва­ні ДССЗЗІ. Екс­пер­тні ви­снов­ки під­твер­джу­ють від­по­від­ність про­ду­кто­вої лі­ній­ки ESET нор­ма­тив­ним до­ку­мен­там, які ре­гла­мен­ту­ють ви­мо­ги до за­со­бів те­хні­чно­го за­хи­сту ін­фор­ма­ції, що вста­нов­ле­ні за­ко­но­дав­ством Укра­ї­ни. Та­ким чи­ном, рі­ше­н­ня ком­па­нії мо­жуть бу­ти ви­ко­ри­ста­ні в усіх дер­жав­них, фі­нан­со­вих, між­на­ро­дних та ін­ших ор­га­ні­за­ці­ях.

По­вер­та­ю­чись же до ма­со­ва­них кі­бе­ра­так, мо­жна від­зна­чи­ти, що во­ни від­бу­ва­ли­ся на тлі ви­ті­сне­н­ня ро­сій­ських ан­ти­ві­ру­сних ком­па­ній з укра­їн­сько­го рин­ку. Збіг?

Ата­ка на M.E.DOC і да­лі

На­пе­ре­до­дні Дня Кон­сти­ту­ції 27 черв­ня ми­ну­ло­го ро­ку укра­їн­ські під­при­єм­ства й дер­ж­уста­но­ви за­зна­ли мас­шта­бної ата­ки з бо­ку ві­ру­су Petya (він же Petya.a, Petya.d, Trojan.ransom.petya, Petrwrap, Notpetya, Expetr, Goldeneye). У са­мій на­зві тро­я­на є пев­ний на­тяк.

Про­гра­ма ши­фрує фай­ли на жорс­тко­му ди­ску комп’юте­ра-жер­тви, а та­кож пе­ре­за­пи­сує та ши­фрує MBR — да­ні, не­об­хі­дні для за­ван­та­же­н­ня опе­ра­цій­ної си­сте­ми. У ре­зуль­та­ті, всі фай­ли, що збе­рі­га­ю­ться на комп’юте­рі, ста­ють не­до­сту­пни­ми. По­тім про­гра­ма ви­ма­гає гро­шо­во­го ви­ку­пу в бі­тко­ї­нах за роз­ши­фров­ку та від­нов­ле­н­ня до­сту­пу до фай­лів. Спла­та ви­ку­пу мар­на, оскіль­ки вер­сія Petya 2017 р. (на­зва­на Notpetya) не пе­ред­ба­чає мо­жли­во­сті роз­ши­фров­ки ін­фор­ма­ції на жорс­тко­му ди­ску, а зни­щує її без­по­во­ро­тно.

По­ши­ре­н­ня шкі­дли­вої про­гра­ми від­бу­ва­ло­ся че­рез бух­гал­тер­ське про­грам­не за­без­пе­че­н­ня M.E.DOC. Цю про­гра­му на­по­ле­гли­во ре­ко­мен­ду­ва­ли для ви­ко­ри­ста­н­ня всі­ма юр­осо­ба­ми, во­на при­зна­ча­ла­ся для по­да­чі зві­тно­сті в усі кон­троль­ні ор­га­ни Укра­ї­ни, для ре­є­стра­ції по­да­тко­вих на­кла­дних та юри­ди­чно зна­чи­мо­го еле­ктрон­но­го до­ку­мен­то­обі­гу.

Ата­ки за­зна­ли енер­ге­ти­чні ком­па­нії, укра­їн­ські бан­ки, ае­ро­порт Хар­ко­ва, Чор­но­биль­ська АЕС, уря­до­ві сай­ти. На­ціо­наль­ний банк Укра­ї­ни опу­блі­ку­вав на сво­є­му сай­ті офі­цій­ну за­яву про ха­кер­ську ата­ку на бан­ки кра­ї­ни та бо­роть­бу з нею.

Пі­зні­ше, прав­да, ста­ли з’яв­ля­ти­ся по­ві­дом­ле­н­ня про ха­кер­ську ата­ку на ро­сій­ські бан­ки та ком­па­нії, але це бу­ло здій­сне­но, швид­ше, для за­ми­лю­ва­н­ня очей, оскіль­ки ні­чо­го не­ві­до­мо про їхні ре­аль­ні зби­тки.

Са­ма ком­па­нія «Ін­те­лект-сер­віс», во­на ж Linkos Group, роз­ро­бник M.E.DOC, спро­сто­ву­ва­ла факт, що по­ши­ре­н­ня ві­ру­су мо­же бу­ти пов’яза­не з її фай­ла­ми онов­ле­н­ня. Однак фа­хів­ці Microsoft під­твер­джу­ють: пер­ші ви­пад­ки за­ра­же­н­ня роз­по­ча­ли­ся са­ме зі вста­нов­ле­н­ня онов­ле­н­ня M.E.DOC. Про це ж за­яви­ла й кі­бер­по­лі­ція Укра­ї­ни. На їхню дум­ку, ата­ка роз­по­ча­ла­ся че­рез ме­ха­нізм онов­ле­н­ня бух­гал­тер­сько­го про­грам­но­го за­без­пе­че­н­ня M.E.DOC.

Про це ж за­яви­ли й спе­ці­а­лі­сти ро­сій­ських «До­ктор Веб» і «Ла­бо­ра­то­рии Ка­спер­ско­го».

«Ана­ліз жур­на­лу ан­ти­ві­ру­су Dr.web, отри­ма­но­го з комп’юте­ра одно­го з на­ших клі­єн­тів, по­ка­зав, що ен­ко­дер Trojan. Encoder.12703 був за­пу­ще­ний на ін­фі­ко­ва­ній ма­ши­ні до­да­тком Programdata\medoc\ Medoc\ezvit.exe, що є ком­по­нен­том про­гра­ми M.E.DOC, — йде­ться у зві­ті. — За­пи­та­ний із за­ра­же­ної ма­ши­ни файл Zvitpublishedobjects.dll мав той са­мий хеш, що й до­слі­дже­ний у ві­ру­сній ла­бо­ра­то­рії «До­ктор Веб» зра­зок. Та­ким чи­ном, на­ші ана­лі­ти­ки ді­йшли ви­снов­ку, що мо­дуль онов­ле­н­ня про­гра­ми M.E.DOC, ре­а­лі­зо­ва­ний у ви­гля­ді ди­на­мі­чної бі­бліо­те­ки Zvitpublishedobjects.dll, мі­стить бек­дор. Даль­ше до­слі­дже­н­ня по­ка­за­ло, що цей бек­дор мо­же ви­ко­ну­ва­ти в ін­фі­ко­ва­ній си­сте­мі та­кі фун­кції:

— збір да­них для до­сту­пу до по­што­вих сер­ве­рів;

— ви­ко­на­н­ня до­віль­них ко­манд в ін­фі­ко­ва­ній си­сте­мі;

— за­ван­та­же­н­ня на за­ра­же­ний комп’ютер до­віль­них фай­лів;

— за­ван­та­же­н­ня, збе­ре­же­н­ня і за­пуск будь-яких ви­ко­ну­ва­них фай­лів;

— ви­ван­та­же­н­ня до­віль­них фай­лів на від­да­ле­ний сер­вер».

І, як ви­яв­ля­є­ться, ата­ки на M.E.DOC по­ча­ли­ся мі­ся­цем ра­ні­ше. «Notpetya бу­ла не пер­шою вер­сі­єю ши­фру­валь­ни­ка, який по­ши­рю­вав­ся че­рез M.E.DOC. Ще в трав­ні 2017 р. ми за­фі­ксу­ва­ли ши­фру­валь­ни­ка Xdata, що по­ши­рю­вав­ся че­рез це ПЗ», — за­явив у роз­мо­ві з ко­ре­спон­ден­том DT.UA Ан­тон Че­ре­па­нов, стар­ший до­слі­дник шкі­дли­во­го ПЗ ком­па­нії ESET.

За йо­го сло­ва­ми, це шкі­дли­ве ПЗ тар­ге­тує кон­кре­тно під­при­єм­ства Укра­ї­ни. Отож во­ни ма­ють бу­ти го­то­ви­ми до но­вих атак, для чо­го не­об­хі­дно вста­нов­лю­ва­ти від­по­від­не ПЗ і впро­ва­джу­ва­ти до­да­тко­ві за­хо­ди з кі­бер­без­пе­ки.

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.