14 серпня, 2019

Два роки після NotPetya. Кібератаки не припиняються ні на мить

Два роки минуло, відколи Україна пережила найбільшу масову кібератаку в історії, відому під назвою NotPetya. 27 червня 2017 року в результаті шифрування даних було виведено з ладу близько 10% персональних комп'ютерів в Україні. Після NotPetya гучних атак не спостерігається, і в багатьох виникають запитання: що це означає? Україна перестала бути полігоном? Ми навчилися ефективно захищатися? Чим тепер зайняті ті, хто атакував Україну?

У 2016-2017 роках Україну називали полігоном для випробування сучасних засобів ведення кібервійни. Кіберзлочинці протягом кількох років атакували електростанції, об’єкти транспортної інфраструктури, державні фінансові установи. Тому зараз важливо розуміти, що якщо Україну і використовували в якості полігону, то це не могло тривати вічно. Полігон не буде постійно ціллю атак. Технології, що тестувалися в Україні, будуть застосовуватися у всьому світі.

Коли зловмисники діяли в Україні, їм потрібно було випробувати працездатність зброї, яку вони тестували. І коли в 2016 році хакери посеред ночі зупинили роботу електростанції в Києві, це не надто вплинуло на сотень тисяч українців, у яких зникло світло. Але той факт, що з часів NotPetya в Україні не було жодної гучної атаки, не свідчить про те, що зловмисники припинили свою активність. Навпаки, це повинно викликати стурбованість, адже може свідчити про активну роботу на прихованих стадіях атаки.

Важливо розуміти, що спрямована атака може тривати 6-12 місяців, і її початкові етапи - проникнення, вивчення і захоплення інфраструктури - найчастіше невидимі. Жертви бачать лише кінцеві фази – знищення чи шифрування даних, вимогу викупу. Але навіть кінцеві фази можуть залишатися невидимими, коли, наприклад, зловмиснику потрібно проникнути в організацію, викрасти певні дані та непомітно зникнути. Тому в даний час теж тривають випробовування нових технологій, нові проникнення і захоплення інфраструктур, ми це знаємо напевно. Після атаки NotPetya багато хто вважає, що якщо немає гучного колапсу, як це було в червні 2017 року, то і атак немає. І всі чекають подібної кульмінації, щоб тоді лише сказати: ну от, знову почалося. Насправді, зловмисна активність у кіберпросторі не спиняється ні на мить.

Суть і ціль атаки, відомої під назвою NotPetya, мало хто розуміє. Відбувся тотальний колапс, і більшість вважає, що знищити ці всі комп’ютери і було ціллю зловмисників. А насправді події 27 червня 2017 року, викликані вірусом NotPetya, були лише останнім етапом значно більшої кібер операції. По суті, це було просто зачищенням слідів своєї роботи та випробування масової координованої атаки. Кіберпростір в Україні зазнав настільки масштабних втрат, що все це виглядає як димова завіса. І страшно не те, що зловмисники фактично знищили всю інформацію на комп’ютерах організацій. Найбільшу загрозу становить період у кілька місяців перед цим зачищенням. Тому що через бекдор в оновленні програмного забезпечення MeDoc зловмисники отримали доступ до величезної кількості інфраструктур, і що саме вони там робили, які інструменти запускали, яких сплячих агентів залишали, щоб повернутися в організацію,  залишається питанням. Тому що завдяки NotPetya вони прибрали сліди своєї присутності, ускладнили проведення розслідування істинних причин та цілей атаки. Цікавим нюансом у цій історії є те, що в кожній організації близько 10% інфраструктури вціліло завдяки вакцині (яка знаходилась у файлі perfc.dat), яку свідомо залишили зловмисники.

Давайте подумаємо: Україна може бути не лише полігоном для зловмисників, а й постачальником для проникнення в інші країни. Через зв’язок із українськими підприємствами постраждали представництва іноземних організацій, великі й малі міжнародні компанії, зловмисники проникли у багато структур у світі.

Важливо відзначити також, що коли в Україні відбувалася атака через програмне забезпечення MeDoc, у цей же час проходила аналогічна атака через CCleaner. Це програмне забезпечення стоїть на мільйонах комп’ютерів у всьому світі, включаючи найвищі державні органи у США та інших країнах. Це була подібна атака, і проходила вона в аналогічний період. Зловмисники проникли у сотні тисяч організацій, і лише в 11 із них було виявлено, що атака перейшла на наступний рівень, зловмисники, зокрема, включили Keyloger, який збирав усі натиснення клавіш.

Тобто тактика боротьби у кіберпросторі змінилася. Сьогодні не потрібно захоплювати кожен окремий комп’ютер, який має вихід в інтернет. Достатньо «захопити» постачальника продукту для тисяч інших організацій, вбудувати бекдор, і тоді кожен комп’ютер, на якому використовується ця програма, буде інфіковано через її оновлення.

Атака NotPetya навчила нас, що постачальники ІТ послуг можуть слугувати інструментом проникнення в багато організацій, і частина великих компаній почала застосовувати інструменти і технології, щоб ізолювати своїх постачальників або краще їх контролювати. Такі аудити кібербезпеки також важливо проводити, наприклад, під час вибору нових підрядників.

Атаку NotPetya здійснили угрупування, що діяли на замовлення іншої держави, але потрібно пам’ятати, що окрім state actors є ще такі категорії зловмисників, як кримінальні злочинці та хактивісти. Вони теж продовжують діяти, одні з метою збагачення, інші – на підтримку певних ідей чи задля відточення навичок. Тому ця активність у кіберпросторі України залишається дуже високою і потребує серйозної роботи з захисту інформаційних  мереж і систем.

 

Роман Сологуб

arrow&v

ვაშინგტონი
1300 I Street NW
400E, ვაშინგტონი
კოლუმბიის რაიონი,
20005
+1 202 749 8432

კიევი
10/14 რედისჩევის ქ., კიევი
უკრაინა,
03124
+380 44 594 8018

თბილისი
33 ბ, ილია ჭავჭავაძის გამზირი, 0179, თბილისი,
საქართველო

+995 32 224 0366

ვროცლავი
გრაბარსკის ქ.
1, 50-079 ვროცლავი,
პოლონეთი

+48 71 747 8705

ალმაატი
808V, შევჩენკოს ქ. 165B, 050009 ალმაატი,
ყაზახეთი

+7 727 341 0024

i n f o @ i s s p . c o m

© 2020 by ISSP - Information Systems Security Partners