Два года прошло с тех пор как Украина пережила самую массовую кибератаку в истории, известную под названием NotPetya.

27 июня 2017 года было выведено из строя около 10% компьютеров в Украине. После NotPetya громких атак не наблюдается, и у многих возникают вопросы: что это значит? Украина перестала быть полигоном? Мы научились эффективно защищаться? Чем теперь заняты те, кто атаковал Украину? Об этом пишет Роман Сологуб специально для НВ Бизнес.

Украина – полигон для кибервойны? В 2016-2017 годах Украину называли полигоном для испытания современных средств ведения кибервойны. Киберпреступники в течение нескольких лет атаковали электростанции, объекты транспортной инфраструктуры, государственные финансовые учреждения. Поэтому сейчас важно понимать, что если Украину и использовали в качестве полигона, то это не могло продолжаться вечно. Полигон не будет постоянно целью атак. Технологии, которые тестировались в Украине, будут применяться во всем мире.

Читайте также: Крупнейшая утечка в истории: хакеры взломали сервер ФСБ

Когда злоумышленники действовали в Украине, им нужно было испытать работоспособность методов и инструментов, которые они тестировали. И когда в 2016 году злоумышленники среди ночи остановили работу электростанции в Киеве, это не слишком повлияло на сотни тысяч украинцев, у которых погас свет. Но тот факт, что со времен NotPetya в Украине не было ни одной громкого атаки, не свидетельствует о том, что злоумышленники прекратили свою активность. Наоборот, это должно вызвать обеспокоенность, ведь может свидетельствовать об активной работе на скрытых стадиях атаки. 

Как работают кибератаки. Важно понимать, направленная атака может длиться 6−12 месяцев, и ее начальные этапы – проникновение, изучение и захват инфраструктуры – чаще всего невидимы. Жертвы видят только конечные фазы, например, уничтожение инфраструктуры или шифрование данных, требование выкупа. Но даже конечные фазы могут оставаться невидимыми, когда, например, злоумышленнику нужно проникнуть в организацию, похитить определенные данные и незаметно исчезнуть. Поэтому в настоящее время тоже продолжаются испытания новых технологий, новые проникновения и захваты инфраструктур, мы это знаем наверняка. После атаки NotPetya многие считают, что если нет громкого коллапса, как это было в июне 2017 года, то и атак нет. На самом деле, злонамеренная активность в киберпространстве не останавливается ни на минуту.

NotPetya. Скрытые последствия. Суть и цель атаки, известной под названием NotPetya, не все понимают. Произошел тотальный коллапс, и большинство считает, что остановить работу компьютеров и было целью злоумышленников. А на самом деле события 27 июня 2017 года, вызванные вирусом NotPetya, были лишь последним этапом значительно большей кибер операции. По сути, это было просто зачисткой следов своей работы и испытания массовой скоординированной атаки.

Киберпространство в Украине понесло столь масштабные потери, что все это выглядит как дымовая завеса. И страшно не то, что злоумышленники фактически остановили работу многих организаций. Наибольшую угрозу представляет период в несколько месяцев перед этой зачисткой. Потому что через бэкдор в обновлении программного обеспечения MeDoc злоумышленники получили доступ к огромному количеству инфраструктур, и что именно они там делали, какие инструменты запускали, каких спящих агентов оставляли, чтобы вернуться в организацию, остается вопросом. Потому что благодаря NotPetya они убрали следы своего присутствия, усложнили проведение расследования истинных причин и целей атаки. Интересным нюансом в этой истории является то, что в некоторых организациях около 10% инфраструктуры уцелело благодаря вакцине (которая находилась в файле perfc. dat), которую сознательно оставили злоумышленники до начала запуска NotPetya.

Важно отметить также, что когда в Украине происходила атака через программное обеспечение MeDoc, в это же время проходила аналогичная атака через CCleaner. Это программное обеспечение стоит на миллионах компьютеров во всем мире, включая высшие государственные органы в США и других странах. Это была подобная атака, и проходила она в аналогичный период. Злоумышленники проникли в сотни тысяч организаций, и только в 11 из них было обнаружено, что атака перешла на следующий уровень, злоумышленники, в частности, включили Keyloger, который собирал все нажатия клавиш.

Тактика кибератак изменилась. То есть тактика борьбы в киберпространстве изменилась. Сегодня не нужно захватывать каждую отдельную организацию. достаточно "захватить" поставщика программного продукта или сервиса для тысяч других организаций, встроить бэкдор, и тогда каждый компьютер, на котором используется эта программа, будет инфицирован через ее обновления.

Читайте также: Daily Mail: Американский сенатор призывает провести расследование в отношении созданного в России приложения FaceApp

Атака NotPetya научила нас, что поставщики ИТ-услуг могут служить методом проникновения во многие организации, и часть крупных компаний начала применять инструменты и технологии, чтобы изолировать своих поставщиков или лучше их контролировать. Такие аудиты кибербезопасности также важно проводить, например, при выборе новых подрядчиков.

Атаку NotPetya совершили группировки, действовавшие по заказу другого государства, но нужно помнить, что кроме этих есть еще такие категории злоумышленников, как уголовные преступники и хактивисты. Они продолжают действовать. Поэтому эта активность в киберпространстве Украина остается очень высокой и требует серьезной работы по защите информационных сетей и систем.

Підписуйся на сторінки UAINFO у Facebook, Twitter і Telegram