С

Сага про вірус NotPetya: як навчити український інтернет кібергігієні

Минулого тижня, якраз перед Днем Конституції, користувачі тисяч комп’ютерів українських компаній побачили на екранах повідомлення про те, що їх комп’ютер зашифровано. Атака паралізувала роботу банків (у тому числі Ощадбанку), Укрзалізниці, Укрпошти, Київенерго та сотень комерційних підприємств.

Автор: Вадим Гудима, Цифролаба

За повідомленням Кіберполіції вірус вразив більше 12 500 комп’ютерів по усій Україні, а також багато міжнародних компаній, серед яких данський транспортний гігант Maersk, британська рекламна агенція WPP, російська “Роснєфть” та інші.

На перший погляд вірус належав до популярної серед кіберзлочинців групи шкідливого програмного забезпечення - криптолокерів, або вірусів-шифрувальників.

Звідки така дивна назва Petya? Це російський слід?

Вірус NotPetya більш відомий в українських ЗМІ та повідомленнях державних органах за дещо хибною назвою PetyaA.

Прийнята зараз серед дослідників та міжнародних ЗМІ назва NotPetya відсилає до його "попередника", досить небезпечного вірусу-шифрувальника Petya (точніше, його оновленої версії GoldenEye чи PetyaMisha), виявленого та детально описаного ще у березні 2016 року.

Основним призначенням тогорічного вірусу було банальне отримання злочинного прибутку - зашифрувати файли жертви спеціальним шифром Salsa20, а потім вимагати викуп за ключ, яким їх можна розшифрувати.

Стартовим майданчиком для атак стала Німеччина. Кіберзлочинці використали популярну тактику фішингу - листів із зараженими вірусами вкладеннями або з лінками на вебсайти, що завантажують на незахищені пристрої шкідливе програмне забезпечення. Лінгвістичний аналіз цих повідомлень, попри позірний російський слід, дозволив припускати німецьке походження автора чи авторів первинного вірусу - Janus Cybercrime Solutions.

Ця кримінальна група була досить активною.

Після виявлення вразливостей антивірусними програмами декрипторів вірус швидко "оновлювався". Питання ж отримання викупу було реалізовано у досить професійний спосіб - з прихованим у мережі Tor веб-сайтом та навіть з веб-формою "техпідтримки" для "жертв", які могли звернутись до авторів вірусу у разі виникнення проблем з розшифруванням після сплати викупу.

Також цей вид вірусу продавався іншим зловмисникам по моделі RaaS - Ransomware as a Service. Фактично це означає, що розробники шифрувальника продавали іншим кіберзлочинцям вже підготовлений для використання вірус з можливістю виставляти власні суми викупу та вказувати відповідні контакти для передачі ключів шифрування.

Чому Petya не Petyа?

Звідки такий конфуз з назвами?

Спосіб атаки на вже заражену машину спочатку змусив припустити, що NotPetya - це просто черговий різновид цього відомого шифрувальника Petya.

Зловмисний код має дві частини.

Перша частина шифрує частину файлів протоколом AES, водночас за допомогою різновиду інструменту mimikatz намагається витягнути з пам’яті комп’ютера паролі доступу, та сканує інші машини у мережі. Потім він намагається перезавантажити машину і переписує завантажувальний розділ диску. Якщо він отримує адміністраторські (всесильні - на мові комп'ютерників) права, то його ціллю стає MFT (Master File Table) - спеціальна частина жорсткого диску у файловій системі Windows. Без MFT файли на диску стають недоступними.

Подальший аналіз коду NotPetya показав, попри використання значної частини коду з оригінального вірусу, нова версія має принципові відмінності.

По-перше, на місці реального ключа, необхідного для розшифрування файлів, нова версія вірусу генерує лише випадковий набір знаків. Іншими словами: якщо жертва заплатить викуп за ключ, то відновити файли їй все одно не вдасться. Утім, це не означає, що метою вірусу було знищення файлів. Криптографія - це складно, і помилки у її реалізації трапляються на кожному кроці, у тому числі серед кіберзлочинців.

Наступною відмінністю NotPetya від оригіналу, а також від його RaaS версії, є досить сумнівний для кримінального бізнесу спосіб підтвердження транзакції. Йдеться про email скриньку у німецького провайдера posteo.net, яку швидко заблокували. Це, а також порівняно мала сума викупу ($300), змушують припустити, що, або зловмисники були неймовірно безпорадні у справі власного збагачення, або їх метою було щось інше.

Також своєрідним є спосіб поширення та територіальне розміщення цілей вірусу - абсолютна більшість жертв є українськими платниками податків або їх бізнес-партнерами.

Врешті, дослідники з чеської антивірусної компанії ESET прямо пов’язують цей вірус з попередніми атаками на українську інфраструктуру. Але про все по черзі.

Як відбулося первинне зараження?

Виходячи з того, що зараз відомо - первинне зараження відбулося через систему оновлень бухгалтерського софту M.E.Doc, авторизованого українською податковою програмного забезпечення для подання звітності. Ця програма встановлена практично у кожної української компанії-платника податків.

Наразі не зовсім зрозуміло, як саме відбулося втручання в систему оновлень. Найбільш ймовірним виглядає злам серверів самої компанії.

Утім, той факт, що регулярні оновлення від M.E.Doc надсилались на комп’ютери клієнтів користувачів без шифрування та цифрового підпису (сама по собі дуже погана практика), дозволяє нам припустити можливість MiTM (Man-in-The-Middle) атаки. Іншими словами: зловмисний код міг додаватись до легітимного оновлення на самому каналі передачі оновлення від серверу компанії до клієнтів.

Про вразливість системи оновлень M.E.Doc писали ще у травні у зв’язку з іншою кібер-інфекцією - шифрувальником X.Datа, від якого у більшості постраждали українські компанії. На щастя, X.Data мала гіршу систему поширення і жертвами вірусу стали сотні, а не тисячі машин.

Але ж були уражені й закордонні, неукраїнські компанії?

Дослідники компанії ESET підтверджують, що уражені закордонні компанії мали відкритий VPN (Virtual Private Network - спеціальний шифрований канал зв’язку) тунель зв'язку з їх українськими дочками чи контрагентами з встановленим програмним забезпеченням M.E.Doc.

Чому вірус такий ефективний? Його писали якісь суперхакери?

Для проникнення всередину корпоративної мережі зловмисники використали так званий supply-chain-attack - атаку, спрямовану на довірене програмне забезпечення. У нашому випадку - на вже згадану бухгалтерську M.E.Doc.

Так, потрапивши у корпоративну чи урядову мережу, NotPetya має надзвичайну швидкість розповсюдження. У одному випадку повідомлялось про зараження більше 5 тисячі машин лише за 15 хвилин.

Найсумніше у цій історії, що вірус не є якимось геніальним творінням, чи навіть геніальною компіляцією групи осіб шкідливого коду. Натомість автори вірусу просто вміло використали відомі проблеми архітектури цифрової безпеки у організаціях.

Більшість ЗМІ зосередилась на використанні у NotPetya вразливостей EternalBlue, - що атакує користувацькі Windows7 та cерверні Windows 2008 та його більш раннього варіанту EternalRomance, що ефективний проти WindowsXP та Windows Server 2003. Їх ефективність прямо залежить від того, чи оновлене програмне забез печення цілі.

Нагадаю, що обидва входять до пакету шпигунських інструментів, викрадених у NSA та викладених групою Shadows Brokers у відкритий доступ у квітні цього року. Скільки вони перебували у обігу на чорному ринку наразі невідомо.

Захист від цих дірок у програмному забезпеченні було випущено ще у травні. Очевидно, новина про це не дійшла до значної частини українських системних адміністраторів. Або рівень оплати їх праці не передбачає виконання навіть таких базових функцій комп'ютерної та мережевої гігієни, як встановлення оновлень безпеки.

Серйозні дослідники звертають увагу, що більш проблемним з точки зору захисту є використання цим вірусом легітимних механізмів віддаленого адміністрування Windows машин - WMIС та PsEXEC.

Вірус краде адміністраторські паролі з пам’яті уражених машин і використовує їх для руху внутрішньою комп’ютерною мережею. Саме через них було вражено значну частину комп‘ютерів зі встановленими оновленнями.

А використання “рідних” Windows інструментів та вкрадених адмінпаролів з пам’яті ураженої машини дозволило обійти захист більшості антивірусних програм.

Хронічні ж проблеми з безпекою внутрішніх корпоративних мереж лише додають ефективності цим методам розповсюдження.

Так, відсутність сегментації (фізичного розділення різних частин мережі), наявність у звичайних користувачів адміністраторських прав, недостатньо жорстка політика доступів, слабке поширення захисту від викрадення паролів з пам’яті машини - усе це додає масштабності атакам подібного типу.

Так хто все ж таки винен?

Коли мова доходить до пошуку винних у кіберзлочинах, медіа та політики схильні впадати у дві крайнощі. Або з порогу відкидати будь-яку можливість знайти винних (як чинний президент США Трамп щодо зламу мережі DNC - Democratic National Counsil), або, як це люблять наші служби, одразу кивати в бік потенційного супротивника.

Натомість, атрибуція - визначення, хто стоїть за тією чи іншою атакою - цілком реальна, хоч і дуже непроста справа. Але, як і будь-яке серйозне заняття, воно потребує часу, знань та даних, а не емоцій та політичних заяв.

На сьогодні найбільш вартою довіри видається гіпотеза, що пов’язує атаку з групою BlackEnergy/TeleBots.

Саме їх вважають відповідальними за кілька гучних атак на системи управління українськими електромережами у 2015-2016 роках. Про це свідчать схожі елементи коду, способи донесення вірусу та його розповсюдження, а також вибір цілей - переважно в Україні.

У 2017 році група почала застосовувати нову тактику - атаку типу supply-chain через довірених постачальників програмного забезпечення, - і саме вона, як ми писали вище, виявилася вкрай успішною. Спочатку - проти однієї IT-компанії, через VPN канали якої атакували кілька українських фінансових інституцій. Наступну атаку здійснили вже через систему оновлень іншої компанії - вже сумновідомої M.E.Doc. Йдеться про вже згадувана вище X.Data. Шифрувальник атакував українських користувачів, використовуючи для руху всередині інфікованої мережі вже знайомі нам інструменти mimikatz та PsEXEC. Атаку досить швидко вдалося зупинити.

Наразі усе вказує на те, що ціллю цього вірусу були саме українські компанії. Чи така масштабна атака була запланованою, чи це було тестування, яке вийшло з-під контролю - на що вказують досить дивні помилки в коді - поки що незрозуміло.

Що робити далі?

Окремі дослідники вказують на те, що цим вектором атаки (оновлення M.E.Doc) могли скористатись для поширення інших, менш “гучних” за віруси-шифрувальники видів шкідливого програмного забезпечення. ( Є обгрунтовані підозри, що зловмисники мали доступ до коду M.E. Doc і могли залишити ще багато неприємних сюрпризів. Детально - читайте у статті, там є рекомендації, як перевірити приховані ознаки враження вашої мережі - ред.) Тому казати, що все вже закінчилось - було б дещо передчасно.

Водночас, розумне адміністрування мереж (сегментація, контроль прав і доступів, вчасні оновлення), інвестиції у тренінг персоналу та зарплати технічних співробітників та - що важливо - вибір довіреного програмного забезпечення не лише з точки зору його привілейованого положення у податковій, а й у якості захисту коду - може суттєво ускладнити доступ зловмисників в мережі українських компаній.

Найгірше, що може статись у цій ситуації - якщо замість інвестицій у термінову зміну архітектури та правил безпеки мереж компанії та урядові служби будуть “кивати” на “всесильних російських хакерів” і продовжать робити ті самі помилки у налаштуваннях мереж та роботі з персоналом.

У цей “антихакерський” потяг намагаються вскочити і деякі наші політики та спецслужби. Замість реформувати систему захисту інформації, інвестувати в навчання та пристойні зарплати системних адміністраторів та програмістів, що працюють на державній службі та посилювати стійкість до кібератак існуючої інфраструктури - вже лунають заклики посилити регулювання Інтернету.

Яка логіка переможе - розумного захисту чи прогресуючої параної - поки що незрозуміло.

Принаймні в Україні почали робити бекапи.

інтернет аналітика технології кримінал

Знак гривні
Знак гривні