Украина стала плацдармом для кибератак

Война идет не только на восточном фронте в Донбассе и на складах боеприпасов.

И если в других странах "политические" хакеры влияют прежде всего на выборы, то в Украине удары приходятся на жизненно важные объекты инфраструктуры.

BlackEnergy и GreyEnergy

Организованная, но пока так и не обнаруженная, APT-группа злоумышленников BlackEnergy атакует нашу страну в течение многих лет. APT расшифровывается как advanced persistent threat - "развитая устойчивая угроза" или целевая кибератака. Это серьезный противник, обладающий современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему достигать целей посредством различных векторов нападения: информационных, физических и обманных. Он стремится установить и расширить свое присутствие внутри информационно-технологической инфраструктуры целевой организации для извлечения информации, срыва или создания помех для выполнения ее задач. Так же противник может занять выжидательную позицию, чтобы осуществить эти намерения в будущем.

В декабре 2015 г. BlackEnergy вызвала прекращение электроснабжения, оставив без электричества 230 тыс. чел. во время первого в мире отключения электроэнергии в результате кибератаки. Однако атака на энергетическую инфраструктуру Украины в 2015 г. была последней известной операцией с использованием набора инструментов BlackEnergy. Через некоторое время исследователи антивирусной компании ESET зафиксировали новую APT-подгруппу - TeleBots. Она стала известной благодаря глобальному распространению NotPetya - вредоносного программного обеспечения (ПО), которое нарушило глобальные бизнес-операции в 2017 г. и привело к убыткам на миллиарды долларов. Как недавно подтвердили исследователи, TeleBots также связана с Industroyer, мощной современной вредоносной программой, нацеленной на промышленные системы управления, которая вызвала второе прекращение электроснабжения в Украине в 2016 г.

Герман Богапов

После подробного анализа специалисты выяснили, что вредоносное ПО GreyEnergy тесно связано с вредоносными программами BlackEnergy и TeleBots. Оно имеет модульную структуру, поэтому его функционал зависит от конкретной комбинации модулей, которые оператор загружает в системы жертв.

Объединяет данные зловреды то, что они распространяются через электронные письма с вредоносным файлом, далее взламывают сервер, подключенный к внутренней сети предприятия.

Модули этого вредоносного ПО использовались для шпионажа и разведки. К функционалу модулей относятся бэкдор (дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером), сбор файлов, осуществление снимков экрана, чтение нажатий клавиатуры, похищение паролей и учетных данных и др.

Важно отметить, что при анализе исследователями ESET кибератак и групп киберпреступников связи проводятся на основе технических показателей, таких как сходство кода, общая инфраструктура, цепочки выполнения вредоносных программ и другие доказательства. Поскольку компания не участвует в расследовании причин и экспертизе, специалисты ESET воздерживаются от приписывания атак определенным лицам или государствам.

Однако анализируя объекты и время атак, а также то, что они осуществляются именно в нашей стране, несложно понять, что кибератаки являются еще одним оружием Кремля в войне против Украины…

Распределение антивирусов

Напомним, что масштабные санкции против российских IT-компаний ввели в Украине в мае прошлого года. Тогда в список попали 1228 физических и 468 юридических лиц, среди которых оказались социальные сети "ВКонтакте", "Одноклассники", сервисы "Яндекс", 1С и др. После этого были заблокированы и сайты антивирусных компаний "Лаборатория Касперского" и DrWeb, хотя против них санкции были введены ранее. Антивирусные продукты этих компаний запретили использовать в государственных структурах. До этого их позиции были очень сильны на рынке, но после введения санкций корпоративные пользователи и госучреждения начали массово переходить на другое ПО.

Как следствие, на сегодня чуть ли не у половины госпользователей установлены антивирусы ESET NOD32 и Internet Security, а доля корпоративных решений для безопасности постоянно расширяется. Точные доли рынка установить невозможно, поскольку исследования известной компанией IDC давно не проводятся, достоверных данных никто не предоставляет. И если, к примеру, у ESET есть представительство, то решения других разработчиков внедряются исключительно через IT-дистрибьюторов. Также на рынке много бесплатных начальных версий антивирусов, а Microsoft и вовсе встраивает собственный продукт Microsoft Security Essentials в лицензионные версии Windows.

Свое ПО предлагают и другие международные разработчики. Так, по данным IDC по итогам 2017 г., в Центральной и Восточной Европе (кроме России) ESET лидирует на рынке ПО для обеспечения безопасности конечных пользователей с долей 37,5% (на глобальном рынке 6-е место). Сильны позиции также McAfee, AVAST, Trend Micro, Bitdefender, Kaspersky Lab и Symantec.

В Украине есть и собственный антивирус Zillya!, первая версия которого появилась еще в 2009-м. Этот антивирус в 2017 году был сертифицирован Государственной службой специальной связи и защиты информации с уровнем защиты Г-2. Как сказано в документе ГСССЗИ, семь уровней гарантий (Г-1, ..., Г-7) отражают "постепенно нарастающую меру уверенности в том, что реализованные в компьютерной системе услуги позволяют противостоять определенным угрозам, что механизмы, которые их реализуют, в свою очередь корректно реализованы и могут обеспечить ожидаемый потребителем уровень защищенности информации при эксплуатации компьютерной системы". Однако почему-то пользователи не спешат переходить на отечественный продукт.

Подобную сертификацию должно проходить программное обеспечение всех разработчиков. Так, например, продукты ESET также сертифицированы ГСССЗИ. Экспертные заключения подтверждают соответствие продуктовой линейки ESET нормативным документам, регламентирующим требования к средствам технической защиты информации, которые установлены законодательством Украины. Таким образом, решения компании могут быть использованы во всех государственных, финансовых, международных и других организациях.

Возвращаясь же к массированным кибератакам, можно отметить, что они происходили на фоне выдавливания российских антивирусных компаний с украинского рынка. Совпадение?

Атака на M.E.Doc и дальше

Накануне Дня Конституции 27 июня прошлого года украинские предприятия и госучреждения подверглись масштабной атаке со стороны вируса Petya (он же Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye). В самом названии трояна имеется некий намек.

Программа шифрует файлы на жестком диске компьютера-жертвы, а также перезаписывает и шифрует MBR - данные, необходимые для загрузки операционной системы. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. Уплата выкупа является бесполезной, так как версия Petya 2017 г. (названная NotPetya) не предполагает возможности расшифровки информации на жестком диске, а уничтожает ее безвозвратно.

Распространение вредоносной программы осуществлялось через бухгалтерское программное обеспечение M.E.Doc. Данная программа настойчиво рекомендовалась для использования всеми юрлицами и предназначена для подачи отчетности во все контролирующие органы Украины, для регистрации налоговых накладных и юридически значимого электронного документооборота.

Атаке подверглись энергетические компании, украинские банки, аэропорт Харькова, Чернобыльская АЭС, правительственные сайты. Национальный банк Украины опубликовал на своем сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней.

Позднее, правда, стали появляться сообщения о хакерской атаке на российские банки и компании, но это было осуществлено скорее для замыливания глаз, поскольку ничего неизвестно об их реальных убытках.

Сама компания "Интеллект-Сервис", она же Linkos Group, разработчик M.E.Doc, опровергала факт, что распространение вируса может быть связано с ее файлами обновления. Однако специалисты Microsoft подтверждают, что первые случаи заражения начались именно с установки обновления M.E.Doc. Об этом же заявила и киберполиция Украины, по их мнению, атака началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc.

Об этом же заявили и специалисты российских "Доктор Веб" и "Лаборатории Касперского".

"Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramDataMedocMedocezvit.exe, которое является компонентом программы M.E.Doc, - говорится в отчете. - Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории "Доктор Веб" образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:

- сбор данных для доступа к почтовым серверам;

- выполнение произвольных команд в инфицированной системе;

- загрузка на зараженный компьютер произвольных файлов;

- загрузка, сохранение и запуск любых исполняемых файлов;

- выгрузка произвольных файлов на удаленный сервер".

И, как оказывается, атаки на M.E.Doc начались на месяц ранее. "NotPetya была не первой версией шифровальщика, который распространялся через M.E.Doc. Еще в мае 2017 г. нами был зафиксирован шифровальщик XData, который распространялся через это ПО", - заявил в беседе с корреспондентом ZN.UA Антон Черепанов, старший исследователь вредоносного ПО компании ESET.

По его словам, данное вредоносное ПО таргетирует конкретно предприятия Украины. Так что они должны быть готовы к новым атакам, для чего необходимо устанавливать соответствующее ПО и вводить дополнительные меры по кибербезопасности.