Atacurile hackerilor asupra Ucrainei (2017)

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 19 februarie 2022; verificările necesită 7 modificări .
Atacurile hackerilor asupra Ucrainei

Monitorul unui computer infectat cu un virus
data 27 iunie 2017
Loc mai întâi  Ucraina mai târziu  SUA Rusia Polonia Franţa Italia India Germania Marea Britanie Spania Estonia România 

 
 
 
 
 
 
 
 
 
 
 
Rezultat sunt blocate activitățile întreprinderilor de stat și comerciale, site-urilor web, autorităților executive
Suspect(i)  Rusia (conform aplicației Ucrainei, SUA, Marea Britanie, Australia)

Atacurile hackerilor asupra Ucrainei  sunt vizate pe scară largă [1] [2] [3] atacuri hackeri asupra rețelelor întreprinderilor de stat, instituțiilor, băncilor, mass-media și altele asemenea ucrainene, care au avut loc pe 27 iunie 2017 . Ca urmare a acestor atacuri, activitățile unor întreprinderi precum Aeroportul Boryspil , Centrala nucleară de la Cernobîl , Ukrtelecom , Ukrposhta , Oschadbank , Ukrzaliznytsia și o serie de mari întreprinderi comerciale [4] [5] au fost blocate .

Site-ul web al Cabinetului de Miniștri al Ucrainei [6] , canalul de televiziune Inter , holdingul media TRK Lux , care include Canalul 24, Radio Lux FM , Radio Maximum , diverse publicații online, precum și site-uri web Consiliul orașului Lviv , Administrația de stat a orașului Kiev și Serviciul de Comunicații Speciale al Ucrainei [7] .

Emisiile de programe au fost oprite de canalele „ Primul Automobile ” și TRK „Kiev” .

Caracteristicile virusului

Infecția cu virus a început prin distribuirea unei actualizări pentru programul MEDoc pe 27 iunie 2017. Programul MEDoc este utilizat pe scară largă pentru depunerea situațiilor financiare în Ucraina [8] , conform specialiștilor în securitatea informațiilor, compania avea aproximativ 400.000 de clienți la momentul infectării, ceea ce reprezintă aproximativ 90% din toate organizațiile din țară [9] [10 ] ] . Aparent, serverul de actualizare a fost compromis și a fost folosit pentru distribuția primară a malware-ului [11] . O infecție similară a avut loc pe 18 mai 2017, când o aplicație MEDoc distribuită a fost infectată cu ransomware-ul XData [12] .

Ransomware-ul în sine s-a bazat pe codul malware-ului cunoscut anterior Petya din 2016, primind de la acesta propriul său Petya.A. Odată ajuns în sistem, ransomware-ul folosește o vulnerabilitate cunoscută în protocolul EternalBlue SMB pentru a obține un punct de sprijin în sistem, criptează conținutul hard diskului, distruge definitiv fișierele originale și repornește forțat computerul [13] [14] . După repornire, utilizatorului i se prezintă un ecran care îi cere să transfere suma în bitcoini , echivalentă la acel moment cu 300 de dolari [15] [16] . În același timp, virusul încearcă să caute computere vulnerabile în rețeaua locală și infectează în continuare prin vulnerabilitatea EternalBlue.

Cu toate acestea, în ciuda nivelului destul de ridicat de implementare a virusului în sine, dezvoltatorii săi au folosit o modalitate extrem de vulnerabilă și nesigură de a comunica cu victimele, ceea ce dă impresia că extorcarea nu a fost motivul principal [17] : toate victimele sunt invitate să transfere bitcoini. în valoare de 300 USD în portofelul autorului virusului și transferați codul lung afișat pe ecran la adresa de e-mail specificată.

Serviciul poștal, unde era înregistrată căsuța poștală a atacatorilor, a blocat-o la doar câteva ore după începerea atacului (făcând astfel imposibilă comunicarea victimelor cu atacatorii) și a raportat că lucrează activ cu Serviciul Federal de Securitate a Informațiilor din Germania în investigarea acestui eveniment [18] . Adică, plata unei răscumpărare nu are sens, deoarece se garantează că nu va da rezultatul dorit [19] .

La început, poliția cibernetică a speculat [20] , iar specialiștii în securitate informatică Microsoft au confirmat că atacul a început din sistemul de actualizare automată a programului MEdoc pe 27 iunie 2017, în jurul orei 10:30 GMT (13:30 ora Kiev, cibernetica). poliția susține că atacul a început la 10:30 ora Kiev) [21] . Dezvoltatorul programului MEDoc, IT Expert, a postat pe site-ul său un mesaj în care a recunoscut sursa atacului, dar a eliminat-o curând. Ulterior, a fost postat un nou mesaj în care compania a negat orice implicare în răspândirea virusului sau piratarea sistemelor sale informatice [22] .

Acțiune dăunătoare

Efectul dăunător al unui virus depinde de drepturile pe care le are procesul său și de ce procese rulează în sistemul de operare . Virusul calculează un simplu hash al numelor proceselor care rulează și, dacă se găsesc coduri predefinite, se poate opri răspândirea sau chiar abandona acțiunea dăunătoare.

În primul rând, virusul modifică Master Boot Record (MBR) cu codul său de lansare, setează un cronometru aleatoriu (cel puțin 10, dar nu mai mult de 60 de minute) pentru a reporni computerul și distruge toate intrările din jurnalele de sistem. După încărcare, datorită modificărilor MBR, în locul sistemului de operare este încărcat un virus, care atrage un fals pe ecran sub interfața programului de verificare a integrității hard diskului Chkdsk . În același timp, începe procesul de criptare a datelor în fișiere dintr-o listă predefinită de tipuri (există mai mult de 60). După finalizarea criptării, ecranul se transformă într-un mesaj de atac de succes care solicită o plată de răscumpărare.

Pentru fiecare computer, virusul calculează o nouă cheie a algoritmului de criptare simetrică AES-128 , care criptează perechile de chei ale atacatorilor cu o cheie publică RSA de 800 de biți și o salvează pe hard disk.

În funcție de drepturile obținute, virusul încearcă să ștergă Master Boot Record (MBR) și Volume Boot Record (VBR).

Link către atac

Cu mai puțin de trei ore înainte de începerea atacului hackerilor, pe 27 iunie , la ora 8:15 dimineața, o mașină a explodat în districtul Solomensky, condusă de comandantul unui detașament al forțelor speciale din Direcția Principală de Informații, colonelul Maxim Shapoval. . Dintr-o explozie puternică, a murit pe loc [23] .

La aproximativ 10:30 a.m., un val de descărcări a început pentru a actualiza programul MEDoc, care purta codul programului virus. În câteva ore, virusul a lovit o serie de rețele guvernamentale.

Secretarul Consiliului de Securitate și Apărare Națională al Ucrainei, Oleksandr Turchynov [24] a prezentat teoria că aceste două evenimente sunt legate și au constituit un dublu atac rusesc dedicat Zilei Constituției Ucrainei.

Atacuri în afara Ucrainei

Aproape simultan cu Ucraina, calculatoarele lui Rosneft [25] , Bashneft [26] au încetat să mai funcționeze în Rusia , ceea ce a dus la oprirea producției de petrol la mai multe locații.

Cu toate acestea, marile întreprinderi rusești s-au dovedit a fi protejate împotriva răspândirii viermelui, dar nu suficient de protejate de infecția cu acesta (în ciuda faptului că este puțin probabil să folosească programul pentru compilarea rapoartelor fiscale ucrainene) [27] .

În urma Ucrainei și Rusiei, atacurile au început să fie efectuate online în Spania, India [28] , Irlanda, Marea Britanie [29] și alte țări și orașe din UE și SUA [30] . Potrivit McAfee , în SUA au fost înregistrate mai multe computere infectate decât în ​​Ucraina, cu toate acestea, statisticile ESET antivirus susțin că mai mult de 80% dintre infecțiile înregistrate au avut loc în Ucraina.

După aceea, atelierele de construcții ale companiei EhituseABC [31] și-au oprit activitatea în Estonia .

Ancheta

În cursul zilei de la începutul atacului, Departamentul de poliție cibernetică al Ucrainei a primit peste 1.000 de mesaje despre interferența în funcționarea rețelelor de calculatoare, ceea ce a dus la eșecuri în activitatea lor. Dintre acestea, 43 de companii au depus oficial plângeri la poliție. La data de 28 iunie au fost inițiate 23 de procese penale pe faptele de imixtiune neautorizată în sistemele electronice de calcul atât ale instituțiilor, organizațiilor, întreprinderilor publice, cât și private (articolul 361 din Codul penal al Ucrainei ). Pentru alte 47 de fapte este în curs de soluționare problema introducerii informațiilor în Registrul Unificat de Investigații Prealabile [32] .

Începând cu 29 iunie 2017, 1.508 de persoane juridice și persoane fizice au depus la Poliția Națională a Ucrainei cu sesizări de blocare a funcționării echipamentelor informatice cu ajutorul unui virus de criptare. Dintre aceștia, 178 au apelat la poliție cu declarații oficiale. În special, 152 de organizații din sectorul privat și 26 de apeluri din sectorul public al țării. 115 astfel de fapte sunt înregistrate în jurnalul Registrului unificat al încălcărilor penale comise și al altor evenimente. Problema calificării lor juridice este în curs de rezolvare. Pentru 63 de fapte, informații au fost incluse în ERDR în temeiul articolului 361 din Codul penal al Ucrainei [33] .

În plus, în anchetă au fost implicați specialiști de la Departamentul de Contrainformații Protecția Intereselor Statului în Sfera Securității Informaționale al Serviciului de Securitate al Ucrainei . Interacțiunea a fost organizată cu agenții de aplicare a legii partenere, servicii speciale ale statelor străine și organizații internaționale specializate în securitate cibernetică. Specialiștii SBU, în cooperare cu specialiști de la FBI al SUA , Agenția Națională a Crimei din Marea Britanie (NCA), Europol , precum și instituții de top de securitate cibernetică, iau măsuri comune coordonate pentru a localiza răspândirea malware Petya A , pentru a determina în cele din urmă metodele de implementarea acestei acțiuni de terorism cibernetic, pentru a stabili sursele de atac, autorii acesteia, organizatorii și clienții [34] .

Șeful Departamentului de poliție cibernetică, Serghei Demidyuk, a spus că reprezentanții poliției cibernetice au mers la întreprinderile care au anunțat atacul virusului. El a menționat, de asemenea, că cooperarea pentru eliminarea consecințelor atacurilor virale poate continua la nivel internațional. Secretarul de presă al SBU , Elena Gitlyanskaya, a sugerat că atacurile au fost organizate de pe teritoriul Rusiei sau din Donbass [35] .

Potrivit consilierului Ministerului Afacerilor Interne Anton Gerashchenko , un atac masiv al hackerilor a fost efectuat împotriva statului Ucrainei folosind o versiune a virusului WannaCry modificată pentru Ucraina  - „criptolocker”. În opinia sa, un astfel de atac se pregătea de cel puțin o lună. Scopul final al atacului este destabilizarea situației din economia ucraineană .

Pe 4 iulie 2017, pentru a opri imediat răspândirea viermelui Petya, a fost luată decizia de a efectua căutări și de a sechestra software-ul și hardware-ul companiei, care a fost folosit pentru distribuirea de software rău intenționat. Perchezițiile au fost efectuate de reprezentanți ai Departamentului de Poliție Cibernetică, anchetatori și cu participarea Serviciului de Securitate al Ucrainei. Au fost confiscate calculatoarele de lucru ale personalului și echipamentele server prin care era distribuit software-ul [36] .

Atribuirea atacului

În ciuda faptului că virusul pare a fi un exemplu comun de ransomware creat pentru a îmbogăți atacatorii, o serie de cercetători au sugerat că, de fapt, acest mit servește drept acoperire pentru un atac cibernetic la scară largă din partea unui stat împotriva altuia. Astfel, scopul principal al virusului nu putea fi extorcarea, ci distrugerea datelor importante și perturbarea funcționării normale a marilor instituții publice și private [37] [38] .

Rezultate

Datorită faptului că toate tranzacțiile Bitcoin sunt complet publice, oricine poate vedea statisticile transferurilor către proprietarul virusului. Jurnalistul și programatorul din New York Keith Collins a creat un cont de Twitter care se actualizează automat după fiecare tranzacție și arată starea curentă a contului atacatorului.

Începând cu ora 14:00, ora Kievului, pe 28 iunie, atacatorul a primit mai mult de 10.000 de dolari.

Pe 28 iunie 2017, Cabinetul de Miniștri al Ucrainei a anunțat că un atac pe scară largă a hackerilor asupra rețelelor corporative și guvernamentale a fost oprit [39] .

Pe 30 iunie, secretarul Consiliului Național de Securitate și Apărare Turchynov a anunțat posibilitatea ca infractorii cibernetici să utilizeze tehnologiile Tor și VPN [40] . La începutul lunii iulie 2017, Serviciul de Securitate al Ucrainei a anunțat implicarea serviciilor speciale ruse în atacul cu virusul Petya [41] .

Lista întreprinderilor atacate

Bănci

Companii

Companii ruse și străine

Vezi și

Note

  1. Un atac cibernetic fără precedent tocmai a distrus bănci importante, computere guvernamentale și aeroporturi din Ucraina  . The Independent (27 iunie 2017). Preluat la 15 ianuarie 2022. Arhivat din original la 30 august 2019.
  2. Bănci ucrainene, firmă de energie electrică lovită de un nou atac cibernetic , Reuters  (27 iunie 2017). Arhivat din original pe 16 iulie 2019. Preluat la 15 ianuarie 2022.
  3. Din cauza unui atac de virus pe scară largă, băncile, mass-media, serviciile nu funcționează . Adevărul ucrainean . Preluat la 15 ianuarie 2022. Arhivat din original la 22 ianuarie 2021.
  4. În Ucraina, zeci de companii au instalat și atacat un virus informatic | Postul de televiziune Hromadske  (ucraineană) . hromadske.ua . Preluat la 15 ianuarie 2022. Arhivat din original la 27 iunie 2017.
  5. Petya.A virus. Hackerii au atacat bănci, companii, Ukrenergo și Kievenergo . TSN.ua (27 iunie 2017). Preluat la 15 ianuarie 2022. Arhivat din original la 15 ianuarie 2022.
  6. Virusul „Petya” a paralizat activitatea Cabinetului de Miniștri . Adevărul ucrainean . Preluat la 15 ianuarie 2022. Arhivat din original la 15 ianuarie 2022.
  7. Atacul hackerilor asupra Ucrainei: detalii . RBC-Ucraina . Preluat la 15 ianuarie 2022. Arhivat din original la 23 ianuarie 2022.
  8. Kramer, Andrew Ukraine Cyberatack a fost menit să paralizeze, nu să profite, dovezile arată . The New York Times (28 iunie 2017). Consultat la 29 iunie 2017. Arhivat din original pe 29 iunie 2017.
  9. Borys, Christian . Ucraina se pregătește pentru noi atacuri cibernetice  , BBC News (  26 iulie 2017). Arhivat din original pe 26 iulie 2017. Preluat la 11 mai 2021.
  10. Satter, Raphael Ucraina spune că a dejucat al doilea atac cibernetic după raidul poliției . Associated Press (5 iulie 2017). Preluat: 5 iulie 2017.  (link inaccesibil)
  11. Frenkel, Sheera Global Ransomware Attack: Ce știm și ce nu știm . The New York Times (27 iunie 2017). Consultat la 28 iunie 2017. Arhivat din original pe 27 iunie 2017.
  12. Krasnomovets, Pavel . Tot ce știm despre ransomware-ul XData: cine este în pericol și ce trebuie să faceți  (rusă) , AIN.UA  (24 mai 2017). Arhivat din original pe 28 iunie 2017. Preluat la 29 iunie 2017.
  13. Polityuk, Pavel Atacul cibernetic global acoperă probabil instalarea de malware în Ucraina: oficial de poliție . Reuters (29 iunie 2017). Consultat la 29 iunie 2017. Arhivat din original pe 29 iunie 2017.
  14. Petroff, Alanna Experts: Atacul cibernetic global seamănă mai mult cu „sabotaj” decât ransomware . CNN (30 iunie 2017). Data accesului: 30 iunie 2017. Arhivat din original la 1 iulie 2017.
  15. Virusul „Petya”. Cum să te protejezi de un atac cibernetic . Adevărul ucrainean (27 iunie 2017). Preluat la 28 iunie 2016. Arhivat din original la 1 octombrie 2020.
  16. Cât de mult a câștigat autorul virusul Petya.A și țările au suferit cel mai mult din cauza yoga?  (ucraineană) , Tokar.ua  (a 28-a zi din 2017). Preluat la 28 iunie 2017.
  17. Hern, Alex . Atacul ransomware „nu este conceput pentru a face bani”, susțin cercetătorii  , The Guardian (  28 iunie 2017). Arhivat din original pe 28 iunie 2017. Preluat la 28 iunie 2017.
  18. Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt . Posteo (27 iunie 2017). Consultat la 29 iunie 2017. Arhivat din original pe 27 iunie 2017.
  19. CERT-EU-SA2017-014: Petya-Like Malware Campaign . CERT-EU (27 iunie 2017). Preluat la 29 iunie 2017. Arhivat din original la 3 februarie 2019.
  20. Oleg Dmitrenko Cyberpolice: atacul de virus extins prin MEdoc . Watcher (28 iunie 2017). Consultat la 29 iunie 2017. Arhivat din original pe 28 iunie 2017.
  21. Nou ransomware, tehnici vechi: Petya adaugă capabilități de viermi . Blogul Microsoft Malware Protection Center (27 mai 2017). Consultat la 29 iunie 2017. Arhivat din original pe 28 iunie 2017.
  22. „Vaccinul” creat de Dave Lee pentru un uriaș atac cibernetic . Stirile BBC. Preluat la 29 iunie 2017. Arhivat din original la 17 august 2019.
  23. Ministerul Apărării a confirmat: Colonelul GUR a murit în urma exploziei (link inaccesibil) . Adevărul ucrainean (27 iunie 2017). Consultat la 15 ianuarie 2022. Arhivat din original la 30 iunie 2017. 
  24. Atacurile cibernetice Zbіg și ciocănirea colonelului Shapoval nu sunt vipadkovim, - Turchinov (link inaccesibil) . Consultat la 29 iunie 2017. Arhivat din original pe 27 iunie 2017. 
  25. Atac puternic: o clonă a virusului WannaCry a pătruns în serverele lui Rosneft . NTV (27 iunie 2017). Preluat la 15 ianuarie 2022. Arhivat din original la 15 ianuarie 2022.
  26. Clona virusului WannaCry a paralizat computerele Bashneft . Vedomosti (27 mai 2017). Preluat la 15 ianuarie 2022. Arhivat din original la 1 aprilie 2022.
  27. Grugq. Pnyetya: Un alt focar de ransomware . Medium.com (27 iunie 2017). Consultat la 29 iunie 2017. Arhivat din original pe 28 iunie 2017.
  28. Atacul hackerilor asupra Ucrainei se răspândește în întreaga lume, - The Independent . RBC-Ucraina . Consultat la 15 ianuarie 2022. Arhivat din original la 21 octombrie 2018.
  29. Atacul cibernetic global lovește sistemele IT din Irlanda și  Marea Britanie . independent (27 mai 2017). Preluat la 15 ianuarie 2022. Arhivat din original la 15 ianuarie 2022.
  30. Atacul ransomware „Petya” lovește companii din Europa și  SUA . The Guardian (27 iunie 2017). Preluat la 15 ianuarie 2022. Arhivat din original la 27 ianuarie 2022.
  31. Virusul Petya a ajuns în Estonia: toate magazinele Ehituse ABC s-au închis din cauza atacului  (rusă) , Rus.Postimees.ee . Arhivat din original la 1 iulie 2017. Preluat la 5 iulie 2017.
  32. POLIȚIA VIDKRITO 23 PRODUSE PENALE PENTRU FAPTELE IMPLICATE ÎN ROBOTUL CALCULATORULUI MEREG . Departamentul de poliție cibernetică (28 iunie 2017). Preluat la 29 iunie 2017. Arhivat din original la 22 decembrie 2017.
  33. Pentru două dobi către poliție, au fost 1,5 mii notificări despre infectarea cu virusuri a rețelelor de calculatoare . Departamentul de poliție cibernetică (29 iunie 2017). Consultat la 29 iunie 2017. Arhivat din original la 3 octombrie 2017.
  34. SBU, în colaborare cu parteneri străini, continuă să lucreze la localizarea software-ului de roaming al PetyaA (link inaccesibil) . Serviciul de Securitate al Ucrainei (29 iunie 2017). Consultat la 29 iunie 2017. Arhivat din original la 4 iulie 2017. 
  35. Pot fi organizate atacuri masive de hackeri în Rusia, - SBU . știri Volinsky . Preluat la 15 ianuarie 2022. Arhivat din original la 27 iunie 2017.
  36. Despre cel mai mare atac cibernetic din istoria Ucrainei devenind un virus Diskcoder.C - cyberpolice  (ukr.) . Departamentul de poliție cibernetică al Poliției Naționale a Ucrainei (5 iulie 2017). Data accesului: 20 decembrie 2017. Arhivat din original pe 5 iulie 2017.
  37. Russell Brandom Ransomware -ul Petya începe să arate ca un atac cibernetic deghizat . The Verge (28 iunie 2017). Consultat la 29 iunie 2017. Arhivat din original pe 29 iunie 2017.
  38. Andy Greenberg. Ucrainenii spun că Petya Ransomware ascunde atacurile sponsorizate de stat . The Wired (28 iunie 2017). Consultat la 29 iunie 2017. Arhivat din original pe 29 iunie 2017.
  39. Atacul cibernetic asupra rețelelor corporative și organizațiilor guvernamentale  (ukr.)  (link inaccesibil) . kmu.gov.ua (28 iunie 2017). Preluat la 15 ianuarie 2022. Arhivat din original la 1 iulie 2017.
  40. Turchinov: Virusul Petya testat prin furnizorul VPN ucrainean  (ukr.) . FACTS ICTV (30 iunie 2017). Preluat la 15 ianuarie 2022. Arhivat din original la 15 ianuarie 2022.
  41. SBU a stabilit responsabilitatea serviciilor speciale ruse înainte de atacul asupra virusului-vimagach Petya. (link indisponibil) . SBU (1 iulie 2017). Consultat la 14 iulie 2017. Arhivat din original la 5 iulie 2017. 
  42. Bănci și companii afectate de atacuri cibernetice: listă . Preluat la 29 iunie 2017. Arhivat din original la 25 februarie 2022.
  43. Canalul ICTV a fost piratat . Data accesului: 16 ianuarie 2018. Arhivat din original pe 17 ianuarie 2018.
  44. 1 2 „Ukrlandfarming” și „Vanguard” Bakhmatyuk au fost sparte . Data accesului: 16 ianuarie 2018. Arhivat din original pe 17 ianuarie 2018.
  45. Buchetul Evgen. Vitannia Petru O. din „Peti A.” înainte de Ziua Constituției  (link inaccesibil)
  46. Virusul Petya s-a răspândit în toată Europa - The Guardian . Preluat la 29 iunie 2017. Arhivat din original la 18 februarie 2022.
  47. Natalia Seliverstova . Sistemul informatic Evraz a fost piratat , RIA Novosti  (27 iunie 2017). Arhivat din original la 1 august 2017. Preluat la 17 iulie 2017.

Link -uri