Эксперты усомнились в российском происхождении вируса Petya
Контакты: mediavektor.org@yandex.com
 |   |  Обратная связь

Опрос

Loading...



Календарь
«    Ноябрь 2017    »
ПнВтСрЧтПтСбВс
 12345
6789101112
13141516171819
20212223242526
27282930 


 
 

Эксперты усомнились в российском происхождении вируса Petya

7-07-2017, 02:29 | Технологии
Petya

Служба безопасности Украины и американская компания FireEye полагают, что за вирусом NotPetya стоят российские спецслужбы. В НАТО также видят следы государства в этой атаке, больше всего ударившей по Украине.

Бахмут (бывший Артемовск) - небольшой город на севере Донбасса, контролируемый украинскими властями. Городской сайт "Вечерний Бахмут" 27 июня сообщал о пойманном с поличным "дуэте гаражных воров-рецидивистов", а также о нехватке вагонов для перевозки соли с местных рудников.

Однако главной новостью дня предстояло стать самому "Вечернему Бахмуту". Хакеры использовали этот сайт для распространения вируса NotPetya - главного инструмента крупнейшей в истории Украины кибератаки, также поразившей десятки организаций в других странах.

Хакеры взломами систему управления сайта и вплоть до 29 июля показывали посетителям всплывающее окно с призывом обновить Windows.

Ссылка в окне активировала вредоносный файл, расположенный на одном из четырех сомнительных сайтов. Так, сайт под номером один рекламировал французскую кухонную утварь, - файл мог оказаться там в результате еще одного взлома.

Файл блокировал компьютер жертвы, шифровал данные, распространялся по корпоративной сети, используя ранее опубликованный хакерами инструмент Агентства национальной безопасности США, и, наконец, требовал "выкуп" - 300 долларов в биткойнах.

Связаться со злоумышленниками можно было лишь в первые часы, пока почтовая служба Posteo не отключила их адрес.

Еще одним спусковым крючком для распространения NotPetya стали фишинговые письма, сообщавшие, что у адресата могут снять с карточки 2,3 тыс. долларов. Ссылка на "спасительный" файл также, скорее всего, вела на сайт с французскими кастрюлями и активировала вирус.

Цель - Украина

Главным же источником распространения вируса оказалось обновление одной из трех самых популярных в Украине программ для документооборота M.E. Doc. Обновление подменили все тем же вредоносным файлом. После заражения через M.E. Doc хакеры получали уникальный налоговый номер компании или учреждения.

Пресс-секретарь группы "Украинский киберальянс" под псевдонимом Шон Тауншенд (Sean Townsend) отмечает, что, имея код предприятия, хакеры могли выбирать, что делать с конкретной жертвой. "Где-то украсть файлы, где-то пароли, где-то деньги. Достаточно открыть реестр и посмотреть, кто именно попался на удочку", - пишет Тауншенд.

В первый же день вирус поразил 2000 организаций, 75% жертв пришлось на Украину. Пострадали украинские министерства, полиция, банки, аэропорт "Борисполь", киевский метрополитен, СМИ, мобильные операторы, медицинские компании.

Ущерб от кибератаки еще предстоит подсчитать. Известно лишь, что зашифрованные вирусом файлы можно вернуть в прежнее состояние: за "лекарство" хакеры требуют 100 биткойнов (260 тыс. долларов). В качестве эксперимента издание Motherboard отправило хакерам "больной" текстовый файл и получило его назад расшифрованным.

Снова виновата Россия?

Первым о проблемах "Вечернего Бахмута" сообщил румынский антихакер, сотрудник "Лаборатории Касперского" Костин Райю. Он предположил, что окно со ссылкой на вредоносный сайт злоумышленники показывали только посетителям из Украины.

В своем отчете "Лаборатория Касперского" отмечает сходство NotPetya c кибератакой Black Energy, поразившей украинскую энергетическую, финансовую и транспортную системы в 2016 году. При этом исследователи отмечают, что уровень уверенности в сходстве кибератак пока низкий.

На основании сходства Black Energy и NotPetya Служба безопасности Украины заявила, что к созданию последнего причастны российские спецслужбы. Ту же мысль высказал представитель американской компании FireEye Джон Уоттерс в комментарии Financial Times.

"Это убийца, маскирующийся под вирус-вымогатель. И мы вполне уверены, что это дело рук России", - заявил Уотерс.

Ранее украинские власти обвиняли в кибератаках на свою инфраструктуру 16-й и 18-й центры ФСБ РФ, отвечающие за информационную безопасность, криптографию и шифрование каналов передачи данных.

Агентство по кибербезопасноссти НАТО (CCDOE) заявило, что за созданием NotPetya стоит "государственный актор", не уточняя, что именно имеется в виду. "Российская компания "Роснефть" тоже была заражена, - говорится в заявлении. - Но заражение было имело очевидно ограниченный эффект и нанесло мало ущерба".

Миссия слишком выполнима

C гипотезой о российском следе согласны не все. Достоверно установить авторство вируса можно, только поймав хакера с поличным.

Некоторые злоумышленники специально внедряют в свой код иностранные символы, чтобы сбить экспертов со следа. Так поступили участники Lazarus (с высокой степенью вероятности, эта северокорейская группа стоит за созданием вымогателя WannaCry): по данным Group-IB, они среди прочего вставили в код одного из своих инструментов слово poluchit, перепутав его смысл с "отправить".

К слову, при обновлении M.E. Doc на компьютеры жертв загружался не только NotPetya, но и другой вирус, который в "Лаборатории Касперского" назвали FakeCry. Этот вирус претворяется китайским и даже содержит в коде фразу Made in China.

По мнению независимого исследователя Джонатана Николса, NotPetya - слишком простая кибератака для государства. "Ничего из публично доступных данных не противоречит тому, что эту кибератаку мог осуществить 200-килограмовый хакер с небольшими деньгами и копией [бесплатной операционный системы для защиты данных] Kali Linux", - пишет эксперт.

По его мнению, 10 тыс. долларов, которые в итоге собрали хакеры, - вполне приемлемая плата за риск на рынке киберпреступлений.

При этом Николс оговаривается: "Неспособность найти данные, подтверждающие, что нападение совершено государством, не исключает возможность того, что нападение совершено государством".





Другие новости по теме:
Вирус WannaCry атаковал крупнейшие азиатские экономики Вирус WannaCry атаковал крупнейшие азиатские экономики
Создатели вируса-вымогателя WCry обошли бессмысленный домен и готовят новую ... Создатели вируса-вымогателя WCry обошли бессмысленный домен и готовят новую ...
Пользователи Apple впервые стали жертвой вируса-вымогателя Пользователи Apple впервые стали жертвой вируса-вымогателя
 
| |
 
 



Новости





Free counters!