Укра­и­на ста­ла плац­дар­мом для ки­бе­р­атак

Спе­ци­а­ли­сты пре­ду­пре­жда­ют о но­вых го­то­вя­щих­ся ата­ках, ко­то­рым бу­дет под­верг­нут в первую оче­редь энер­ге­ти­че­ский сек­тор стра­ны

Zerkalo Nedeli - - ТИТУЛЬНЫЙ ЛИСТ - Гер­ман БОГАПОВ

Вой­на идет не толь­ко на во­сточ­ном фрон­те в Дон­бас­се и на скла­дах бо­е­при­па­сов.

И ес­ли в дру­гих стра­нах «по­ли­ти­че­ские» ха­ке­ры вли­я­ют прежде все­го на вы­бо­ры, то в Укра­ине уда­ры при­хо­дят­ся на жиз­нен­но важ­ные объ­ек­ты ин­фра­струк­ту­ры.

Blackenergy и Greyenergy

Ор­га­ни­зо­ван­ная, но по­ка так и не об­на­ру­жен­ная, Apt-груп­па зло­умыш­лен­ни­ков Blackenergy ата­ку­ет на­шу стра­ну в те­че­ние мно­гих лет. APT рас­шиф­ро­вы­ва­ет­ся как advanced persistent threat — «раз­ви­тая устой­чи­вая угро­за» или це­ле­вая ки­бе­р­ата­ка. Это се­рьез­ный про­тив­ник, об­ла­да­ю­щий со­вре­мен­ным уров­нем спе­ци­аль­ных зна­ний и зна­чи­тель­ны­ми ре­сур­са­ми, ко­то­рые поз­во­ля­ют ему до­сти­гать це­лей по­сред­ством раз­лич­ных век­то­ров на­па­де­ния: ин­фор­ма­ци­он­ных, фи­зи­че­ских и об­ман­ных. Он стре­мит­ся уста­но­вить и рас­ши­рить свое при­сут­ствие внут­ри ин­фор­ма­ци­он­но-тех­но­ло­ги­че­ской ин­фра­струк­ту­ры це­ле­вой ор­га­ни­за­ции для из­вле­че­ния ин­фор­ма­ции, сры­ва или со­зда­ния по­мех для вы­пол­не­ния ее за­дач. Так же про­тив­ник мо­жет за­нять вы­жи­да­тель­ную по­зи­цию, что­бы осу­ще­ствить эти на­ме­ре­ния в бу­ду­щем.

В де­каб­ре 2015 г. Blackenergy вы­зва­ла пре­кра­ще­ние элек­тро­снаб­же­ния, оста­вив без элек­три­че­ства 230 тыс. чел. во вре­мя пер­во­го в ми­ре от­клю­че­ния элек­тро­энер­гии в ре­зуль­та­те ки­бе­р­ата­ки. Од­на­ко ата­ка на энер­ге­ти­че­скую ин­фра­струк­ту­ру Укра­и­ны в 2015 г. бы­ла по­след­ней из­вест­ной опе­ра­ци­ей с ис­поль­зо­ва­ни­ем на­бо­ра ин­стру­мен­тов Blackenergy. Че­рез неко­то­рое вре­мя ис­сле­до­ва­те­ли ан­ти­ви­рус­ной ком­па­нии ESET за­фик­си­ро­ва­ли но­вую Apt-под­груп­пу — Telebots. Она ста­ла из­вест­ной бла­го­да­ря гло­баль­но­му рас­про­стра­не­нию Notpetya — вре­до­нос­но­го про­грамм­но­го обес­пе­че­ния (ПО), ко­то­рое на­ру­ши­ло гло­баль­ные биз­нес-опе­ра­ции в 2017 г. и при­ве­ло к убыт­кам на мил­ли­ар­ды дол­ла­ров. Как недав­но под­твер­ди­ли ис­сле­до­ва­те­ли, Telebots та­к­же свя­за­на с Industroyer, мощ­ной со­вре­мен­ной вре­до­нос­ной про­грам­мой, на­це­лен­ной на про­мыш­лен­ные си­сте­мы управ­ле­ния, ко­то­рая вы­зва­ла вто­рое пре­кра­ще­ние элек­тро­снаб­же­ния в Укра­ине в 2016 г.

По­сле по­дроб­но­го ана­ли­за спе­ци­а­ли­сты вы­яс­ни­ли, что вре­до­нос­ное ПО Greyenergy тес­но свя­за­но с вре­до­нос­ны­ми про­грам­ма­ми Blackenergy и Telebots. Оно име­ет мо­дуль­ную струк­ту­ру, по­это­му его функ­ци­о­нал за­ви­сит от кон­крет­ной ком­би­на­ции мо­ду­лей, ко­то­рые опе­ра­тор за­гру­жа­ет в си­сте­мы жертв.

Объ­еди­ня­ет дан­ные зло­вре­ды то, что они рас­про­стра­ня­ют­ся че­рез элек­трон­ные пись­ма с вре­до­нос­ным фай­лом, да­лее взла­мы­ва­ют сер­вер, под­клю­чен­ный к внут­рен­ней се­ти пред­при­я­тия.

Мо­ду­ли это­го вре­до­нос­но­го ПО ис­поль­зо­ва­лись для шпи­о­на­жа и раз­вед­ки. К функ­ци­о­на­лу мо­ду­лей от­но­сят­ся бэк­дор (де­фект ал­го­рит­ма, ко­то­рый на­ме­рен­но встра­и­ва­ет­ся в него раз­ра­бот­чи­ком и поз­во­ля­ет по­лу­чить несанк­ци­о­ни­ро­ван­ный до­ступ к дан­ным или уда­лен­но­му управ­ле­нию опе­ра­ци­он­ной си­сте­мой и ком­пью­те­ром), сбор фай­лов, осу­ществ­ле­ние сним­ков экра­на, чте­ние на­жа­тий кла­ви­а­ту­ры, по­хи­ще­ние па­ро­лей и учет­ных дан­ных и др.

Важ­но от­ме­тить, что при ана­ли­зе ис­сле­до­ва­те­ля­ми ESET ки­бе­р­атак и групп ки­бер­пре­ступ­ни­ков свя­зи про­во­дят­ся на ос­но­ве тех­ни­че­ских по­ка­за­те­лей, та­ких как сход­ство ко­да, об­щая ин­фра­струк­ту­ра, це­поч­ки вы­пол­не­ния вре­до­нос­ных про­грамм и дру­гие до­ка­за­тель­ства. По­сколь­ку ком­па­ния не участ­ву­ет в рас­сле­до­ва­нии при­чин и экс­пер­ти­зе, спе­ци­а­ли­сты ESET воз­дер­жи­ва­ют­ся от при­пи­сы­ва­ния атак опре­де­лен­ным ли­цам или го­су­дар­ствам.

Од­на­ко ана­ли­зи­руя объ­ек­ты и вре­мя атак, а та­к­же то, что они осу­ществ­ля­ют­ся имен­но в на­шей стране, неслож­но по­нять, что ки­бе­р­ата­ки яв­ля­ют­ся еще од­ним ору­жи­ем Крем­ля в войне про­тив Укра­и­ны…

Рас­пре­де­ле­ние ан­ти­ви­ру­сов

На­пом­ним, что мас­штаб­ные санк­ции про­тив рос­сий­ских It-ком­па­ний ввели в Укра­ине в мае про­шло­го го­да. То­гда в спи­сок по­па­ли 1228 фи­зи­че­ских и 468 юри­ди­че­ских лиц, сре­ди ко­то­рых ока­за­лись со­ци­аль­ные се­ти «Вкон­так­те», «Од­но­класс­ни­ки», сер­ви­сы «Ян­декс», 1С и др. По­сле это­го бы­ли за­бло­ки­ро­ва­ны и сай­ты ан­ти­ви­рус­ных ком­па­ний «Ла­бо­ра­то­рия Кас­пер­ско­го» и Drweb, хо­тя про­тив них санк­ции бы­ли вве­де­ны ра­нее. Ан­ти­ви­рус­ные про­дук­ты этих ком­па­ний за­пре­ти­ли ис­поль­зо­вать в го­су­дар­ствен­ных струк­ту­рах. До это­го их по­зи­ции бы­ли очень силь­ны на рын­ке, но по­сле вве­де­ния санк­ций кор­по­ра­тив­ные поль­зо­ва­те­ли и гос­учре­жде­ния на­ча­ли мас­со­во пе­ре­хо­дить на дру­гое ПО.

Как след­ствие, на се­год­ня чуть ли не у по­ло­ви­ны гос­поль­зо­ва­те­лей уста­нов­ле­ны ан­ти­ви­ру­сы ESET NOD32 и Internet Security, а до­ля кор­по­ра­тив­ных ре­ше­ний для без­опас­но­сти по­сто­ян­но рас­ши­ря­ет­ся. Точ­ные до­ли рын­ка уста­но­вить невоз­мож­но, по­сколь­ку ис­сле­до­ва­ния из­вест­ной ком­па­ни­ей IDC дав­но не про­во­дят­ся, до­сто­вер­ных дан­ных ни­кто не предо­став­ля­ет. И ес­ли, к при­ме­ру, у ESET есть пред­ста­ви­тель­ство, то ре­ше­ния дру­гих раз­ра­бот­чи­ков внед­ря­ют­ся ис­клю­чи­тель­но че­рез It-дис­три­бью­то­ров. Та­к­же на рын­ке мно­го бес­плат­ных на­чаль­ных вер­сий ан­ти­ви­ру­сов, а Microsoft и во­все встра­и­ва­ет соб­ствен­ный про­дукт Microsoft Security Essentials в ли­цен­зи­он­ные вер­сии Windows.

Свое ПО пред­ла­га­ют и дру­гие меж­ду­на­род­ные раз­ра­бот­чи­ки. Так, по дан­ным IDC по ито­гам 2017 г., в Цен­траль­ной и Во­сточ­ной Ев­ро­пе (кро­ме Рос­сии) ESET ли­ди­ру­ет на рын­ке ПО для обес­пе­че­ния без­опас­но­сти ко­неч­ных поль­зо­ва­те­лей с до­лей 37,5% (на гло­баль­ном рын­ке 6-е ме­сто). Силь­ны по­зи­ции та­к­же Mcafee, AVAST, Trend Micro, Bitdefender, Kaspersky Lab и Symantec.

В Укра­ине есть и соб­ствен­ный ан­ти­ви­рус Zillya!, пер­вая вер­сия ко­то­ро­го по­яви­лась еще в 2009-м. Этот ан­ти­ви­рус в 2017 го­ду был сер­ти­фи­ци­ро­ван Го­су­дар­ствен­ной служ­бой спе­ци­аль­ной свя­зи и за­щи­ты ин­фор­ма­ции с уров­нем за­щи­ты Г-2. Как ска­за­но в до­ку­мен­те ГСССЗИ, семь уров­ней га­ран­тий (Г-1, ..., Г-7) от­ра­жа­ют «по­сте­пен­но на­рас­та­ю­щую ме­ру уве­рен­но­сти в том, что ре­а­ли­зо­ван­ные в ком­пью­тер­ной си­сте­ме услу­ги поз­во­ля­ют про­ти­во­сто­ять опре­де­лен­ным угро­зам, что ме­ха­низ­мы, ко­то­рые их ре­а­ли­зу­ют, в свою оче­редь кор­рект­но ре­а­ли­зо­ва­ны и мо­гут обес­пе­чить ожи­да­е­мый по­тре­би­те­лем уро­вень за­щи­щен­но­сти ин­фор­ма­ции при экс­плу­а­та­ции ком­пью­тер­ной си­сте­мы». Од­на­ко по­че­му-то поль­зо­ва­те­ли не спе­шат пе­ре­хо­дить на оте­че­ствен­ный про­дукт.

По­доб­ную сер­ти­фи­ка­цию долж­но про­хо­дить про­грамм­ное обес­пе­че­ние всех раз­ра­бот­чи­ков. Так, на­при­мер, про­дук­ты ESET та­к­же сер­ти­фи­ци­ро­ва­ны ГСССЗИ. Экс­перт­ные за­клю­че­ния под­твер­жда­ют со­от­вет­ствие про­дук­то­вой ли­ней­ки ESET нор­ма­тив­ным до­ку­мен­там, ре­гла­мен­ти­ру­ю­щим тре­бо­ва­ния к сред­ствам тех­ни­че­ской за­щи­ты ин­фор­ма­ции, ко­то­рые уста­нов­ле­ны за­ко­но­да­тель­ством Укра­и­ны. Та­ким об­ра­зом, ре­ше­ния ком­па­нии мо­гут быть ис­поль­зо­ва­ны во всех го­су­дар­ствен­ных, фи­нан­со­вых, меж­ду­на­род­ных и дру­гих ор­га­ни­за­ци­ях.

Воз­вра­ща­ясь же к мас­си­ро­ван­ным ки­бе­р­ата­кам, мож­но от­ме­тить, что они про­ис­хо­ди­ли на фоне вы­дав­ли­ва­ния рос­сий­ских ан­ти­ви­рус­ных ком­па­ний с укра­ин­ско­го рын­ка. Сов­па­де­ние?

Ата­ка на M.E.DOC и даль­ше

На­ка­нуне Дня Кон­сти­ту­ции 27 июня про­шло­го го­да укра­ин­ские пред­при­я­тия и гос­учре­жде­ния под­верг­лись мас­штаб­ной ата­ке со сто­ро­ны ви­ру­са Petya (он же Petya.a, Petya.d, Trojan.ransom.petya, Petrwrap, Notpetya, Expetr, Goldeneye). В са­мом на­зва­нии тро­я­на име­ет­ся некий на­мек.

Про­грам­ма шиф­ру­ет фай­лы на жест­ком дис­ке ком­пью­те­ра-жерт­вы, а та­к­же пе­ре­за­пи­сы­ва­ет и шиф­ру­ет MBR — дан­ные, необ­хо­ди­мые для за­груз­ки опе­ра­ци­он­ной си­сте­мы. В ре­зуль­та­те все хра­ня­щи­е­ся на ком­пью­те­ре фай­лы ста­но­вят­ся недо­ступ­ны­ми. За­тем про­грам­ма тре­бу­ет де­неж­ный вы­куп в бит­кой­нах за рас­шиф­ров­ку и вос­ста­нов­ле­ние до­сту­па к фай­лам. Упла­та вы­ку­па яв­ля­ет­ся бес­по­лез­ной, так как вер­сия Petya 2017 г. (на­зван­ная Notpetya) не пред­по­ла­га­ет воз­мож­но­сти рас­шиф­ров­ки ин­фор­ма­ции на жест­ком дис­ке, а уни­что­жа­ет ее без­воз­врат­но.

Рас­про­стра­не­ние вре­до­нос­ной про­грам­мы осу­ществ­ля­лось че­рез бух­гал­тер­ское про­грамм­ное обес­пе­че­ние M.E.DOC. Дан­ная про­грам­ма на­стой­чи­во ре­ко­мен­до­ва­лась для ис­поль­зо­ва­ния все­ми юр­ли­ца­ми и пред­на­зна­че­на для по­да­чи от­чет­но­сти во все кон­тро­ли­ру­ю­щие ор­га­ны Укра­и­ны, для ре­ги­стра­ции на­ло­го­вых на­клад­ных и юри­ди­че­ски зна­чи­мо­го элек­трон­но­го до­ку­мен­то­обо­ро­та.

Ата­ке под­верг­лись энер­ге­ти­че­ские ком­па­нии, укра­ин­ские бан­ки, аэро­порт Харь­ко­ва, Чер­но­быль­ская АЭС, пра­ви­тель­ствен­ные сай­ты. На­ци­о­наль­ный банк Укра­и­ны опуб­ли­ко­вал на сво­ем сай­те офи­ци­аль­ное за­яв­ле­ние о ха­кер­ской ата­ке на бан­ки стра­ны и борь­бе с ней.

Позд­нее, прав­да, ста­ли по­яв­лять­ся со­об­ще­ния о ха­кер­ской ата­ке на рос­сий­ские бан­ки и ком­па­нии, но это бы­ло осу­ществ­ле­но ско­рее для за­мы­ли­ва­ния глаз, по­сколь­ку ни­че­го неиз­вест­но об их ре­аль­ных убыт­ках.

Са­ма ком­па­ния «Ин­тел­лект-сер­вис», она же Linkos Group, раз­ра­бот­чик M.E.DOC, опро­вер­га­ла факт, что рас­про­стра­не­ние ви­ру­са мо­жет быть свя­за­но с ее фай­ла­ми об­нов­ле­ния. Од­на­ко спе­ци­а­ли­сты Microsoft под­твер­жда­ют, что пер­вые слу­чаи за­ра­же­ния на­ча­лись имен­но с уста­нов­ки об­нов­ле­ния M.E.DOC. Об этом же за­яви­ла и ки­бер­по­ли­ция Укра­и­ны, по их мне­нию, ата­ка на­ча­лась че­рез ме­ха­низм об­нов­ле­ния бух­гал­тер­ско­го про­грамм­но­го обес­пе­че­ния M.E.DOC.

Об этом же за­яви­ли и спе­ци­а­ли­сты рос­сий­ских «Док­тор Веб» и «Ла­бо­ра­то­рии Кас­пер­ско­го».

«Ана­лиз жур­на­ла ан­ти­ви­ру­са Dr.web, по­лу­чен­но­го с ком­пью­те­ра од­но­го из на­ших кли­ен­тов, по­ка­зал, что эн­ко­дер Trojan. Encoder.12703 был за­пу­щен на ин­фи­ци­ро­ван­ной ма­шине при­ло­же­ни­ем Programdata\ Medoc\medoc\ezvit.exe, ко­то­рое яв­ля­ет­ся ком­по­нен­том про­грам­мы M.E.DOC, — го­во­рит­ся в от­че­те. — За­про­шен­ный с за­ра­жен­ной ма­ши­ны файл Zvitpublishedobjects.dll имел тот же хэш, что и ис­сле­до­ван­ный в ви­рус­ной ла­бо­ра­то­рии «Док­тор Веб» об­ра­зец. Та­ким об­ра­зом, на­ши ана­ли­ти­ки при­шли к вы­во­ду, что мо­дуль об­нов­ле­ния про­грам­мы M.E.DOC, ре­а­ли­зо­ван­ный в ви­де ди­на­ми­че­ской биб­лио­те­ки Zvitpublishedobjects.dll, со­дер­жит бэк­дор. Даль­ней­шее ис­сле­до­ва­ние по­ка­за­ло, что этот бэк­дор мо­жет вы­пол­нять в ин­фи­ци­ро­ван­ной си­сте­ме сле­ду­ю­щие функ­ции:

— сбор дан­ных для до­сту­па к поч­то­вым сер­ве­рам;

— вы­пол­не­ние про­из­воль­ных ко­манд в ин­фи­ци­ро­ван­ной си­сте­ме;

— за­груз­ка на за­ра­жен­ный ком­пью­тер про­из­воль­ных фай­лов;

— за­груз­ка, со­хра­не­ние и за­пуск лю­бых ис­пол­ня­е­мых фай­лов;

— вы­груз­ка про­из­воль­ных фай­лов на уда­лен­ный сер­вер».

И, как ока­зы­ва­ет­ся, ата­ки на M.E.DOC на­ча­лись на ме­сяц ра­нее. «Notpetya бы­ла не пер­вой вер­си­ей шиф­ро­валь­щи­ка, ко­то­рый рас­про­стра­нял­ся че­рез M.E.DOC. Еще в мае 2017 г. на­ми был за­фик­си­ро­ван шиф­ро­валь­щик Xdata, ко­то­рый рас­про­стра­нял­ся че­рез это ПО», — за­явил в бе­се­де с кор­ре­спон­ден­том ZN.UA Ан­тон Че­ре­па­нов, стар­ший ис­сле­до­ва­тель вре­до­нос­но­го ПО ком­па­нии ESET.

По его сло­вам, дан­ное вре­до­нос­ное ПО тар­ге­ти­ру­ет конкретно пред­при­я­тия Укра­и­ны. Так что они долж­ны быть го­то­вы к но­вым ата­кам, для че­го необ­хо­ди­мо уста­нав­ли­вать со­от­вет­ству­ю­щее ПО и вво­дить до­пол­ни­тель­ные ме­ры по ки­бер­без­опас­но­сти.

Newspapers in Russian

Newspapers from Ukraine

© PressReader. All rights reserved.