UA / RU
Підтримати ZN.ua

Україна стала плацдармом для кібератак

Фахівці попереджають про підготовку нових атак, яких зазнає передусім енергетичний сектор країни.

Автор: Герман Богапов

Війна йде не тільки на східному фронті в Донбасі та на складах боєприпасів.

І якщо в інших країнах "політичні" хакери впливають насамперед на вибори, то в Україні ударів зазнають життєво важливі об'єкти інфраструктури.

BlackEnergy і GreyEnergy

Організована, але поки що так і не виявлена APT-група зловмисників BlackEnergy атакує нашу країну впродовж багатьох років. APT розшифровується як advanced persistent threat - "розвинена стала загроза", або цільова кібератака. Це серйозний противник, який володіє сучасним рівнем спеціальних знань і значними ресурсами, що дозволяють йому досягати мети, використовуючи різні вектори нападу: інформаційні, фізичні та обманні. Він прагне встановити й розширити свою присутність усередині інформаційно-технологічної інфраструктури цільової організації для вилучення інформації, зриву або створення перешкод для виконання її завдань. Так само противник може зайняти вичікувальну позицію, щоб здійснити ці наміри в майбутньому.

У грудні 2015 р. BlackEnergy викликала припинення електропостачання, залишивши без електрики 230 тис. людей під час першого у світі відключення електроенергії внаслідок кібератаки. Однак атака на енергетичну інфраструктуру України у 2015 р. була останньою відомою операцією з використанням набору інструментів BlackEnergy. Згодом дослідники антивірусної компанії ESET зафіксували нову APT-підгрупу - TeleBots. Вона стала відомою завдяки глобальному поширенню NotPetya - шкідливого програмного забезпечення (ПЗ), яке порушило глобальні бізнес-операції 2017 р. і призвело до збитків на мільярди доларів. Як недавно підтвердили дослідники, TeleBots теж пов'язана з Industroyer, потужною сучасною шкідливою програмою, націленою на промислові системи управління, яка викликала друге припинення електропостачання в Україні у 2016 р.

Герман Богапов

Після докладного аналізу фахівці з'ясували, що шкідливе ПЗ GreyEnergy тісно пов'язане зі шкідливими програмами BlackEnergy і TeleBots. Воно має модульну структуру, тому його функціонал залежить від конкретної комбінації модулів, які оператор завантажує в системи жертв.

Поєднує цих зловмисників те, що вони поширюються через електронні листи зі шкідливим файлом, далі зламують сервер, підключений до внутрішньої мережі підприємства.

Модулі цього шкідливого ПЗ використовувалися для шпигунства й розвідки. До функціоналу модулів належать бекдор (дефект алгоритму, який навмисне вбудовується в нього розробником і дозволяє отримати несанкціонований доступ до даних або віддаленого керування операційною системою й комп'ютером), збір файлів, знімки екрана, читання натискань клавіатури, викрадення паролів та облікових даних тощо.

Важливо зазначити, що при аналізі дослідниками ESET кібератак і груп кіберзлочинців зв'язки проводяться на основі технічних показників, таких як схожість коду, загальна інфраструктура, ланцюжки виконання шкідливих програм та інші докази. Оскільки компанія не бере участі в розслідуванні причин та експертизі, фахівці ESET утримуються від приписування атак певним особам або державам.

Однак, аналізуючи об'єкти й час атак і беручи до уваги, що вони здійснюються саме в нашій країні, неважко зрозуміти: кібератаки є ще однією зброєю Кремля у війні проти України...

Розподіл антивірусів

Нагадаємо, що масштабні санкції проти російських IT-компаній впровадили в Україні торік у травні. Тоді до списку потрапили 1228 фізичних і 468 юридичних осіб, серед яких виявилися соціальні мережі "ВКонтакте", "Одноклассники", сервіси "Яндекс", 1С та ін. Після цього були заблоковані й сайти антивірусних компаній "Лаборатория Касперского" та DrWeb, хоча проти них санкції було впроваджено раніше. Антивірусні продукти цих компаній заборонили використовувати в державних структурах. Доти їхні позиції були дуже сильними на ринку, але після впровадження санкцій корпоративні користувачі та держустанови почали масово переходити на інше ПЗ.

Як наслідок, на сьогодні ледь не в половини держкористувачів установлено антивіруси ESET NOD32 та Internet Security, а частка корпоративних рішень для безпеки постійно розширюється. Точні частки ринку встановити неможливо, оскільки дослідження відомою компанією IDC давно не проводяться, достовірних даних ніхто не надає. І якщо, приміром, в ESET є представництво, то рішення інших розробників впроваджуються виключно через IT-дистриб'юторів. Крім того, на ринку багато безплатних початкових версій антивірусів, а Microsoft взагалі вбудовує власний продукт Microsoft Security Essentials у ліцензійні версії Windows.

Своє ПЗ пропонують й інші міжнародні розробники. Так, за даними IDC за підсумками 2017 р., у Центральній та Східній Європі (крім Росії) ESET лідирує на ринку ПЗ для забезпечення безпеки кінцевих користувачів із часткою 37,5% (на глобальному ринку 6-те місце). Сильні позиції також McAfee, AVAST, Trend Micro, Bitdefender, Kaspersky Lab і Symantec.

В Україні є і власний антивірус - Zillya!, перша версія якого з'явилася ще 2009 р. Цей антивірус 2017 р. був сертифікований Державною службою спеціального зв'язку та захисту інформації з рівнем захисту Г-2. Як написано в документі ДССЗЗІ, сім рівнів гарантій (Г-1, .., Г-7) відображають "поступове зростання міри впевненості в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, своєю чергою, коректно реалізовані й можуть забезпечити очікуваний споживачем рівень захищеності інформації при експлуатації комп'ютерної системи". Однак чомусь користувачі не поспішають переходити на вітчизняний продукт.

Таку сертифікацію має проходити програмне забезпечення всіх розробників. Наприклад, продукти ESET також сертифіковані ДССЗЗІ. Експертні висновки підтверджують відповідність продуктової лінійки ESET нормативним документам, які регламентують вимоги до засобів технічного захисту інформації, що встановлені законодавством України. Таким чином, рішення компанії можуть бути використані в усіх державних, фінансових, міжнародних та інших організаціях.

Повертаючись же до масованих кібератак, можна відзначити, що вони відбувалися на тлі витіснення російських антивірусних компаній з українського ринку. Збіг?

Атака на M.E.Doc і далі

Напередодні Дня Конституції 27 червня минулого року українські підприємства й держустанови зазнали масштабної атаки з боку вірусу Petya (він же Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye). У самій назві трояна є певний натяк.

Програма шифрує файли на жорсткому диску комп'ютера-жертви, а також перезаписує та шифрує MBR - дані, необхідні для завантаження операційної системи. У результаті, всі файли, що зберігаються на комп'ютері, стають недоступними. Потім програма вимагає грошового викупу в біткоїнах за розшифровку та відновлення доступу до файлів. Сплата викупу марна, оскільки версія Petya 2017 р. (названа NotPetya) не передбачає можливості розшифровки інформації на жорсткому диску, а знищує її безповоротно.

Поширення шкідливої програми відбувалося через бухгалтерське програмне забезпечення M.E.Doc. Цю програму наполегливо рекомендували для використання всіма юрособами, вона призначалася для подачі звітності в усі контрольні органи України, для реєстрації податкових накладних та юридично значимого електронного документообігу.

Атаки зазнали енергетичні компанії, українські банки, аеропорт Харкова, Чорнобильська АЕС, урядові сайти. Національний банк України опублікував на своєму сайті офіційну заяву про хакерську атаку на банки країни та боротьбу з нею.

Пізніше, правда, стали з'являтися повідомлення про хакерську атаку на російські банки та компанії, але це було здійснено, швидше, для замилювання очей, оскільки нічого невідомо про їхні реальні збитки.

Сама компанія "Інтелект-Сервіс", вона ж Linkos Group, розробник M.E.Doc, спростовувала факт, що поширення вірусу може бути пов'язане з її файлами оновлення. Однак фахівці Microsoft підтверджують: перші випадки зараження розпочалися саме зі встановлення оновлення M.E.Doc. Про це ж заявила й кіберполіція України. На їхню думку, атака розпочалася через механізм оновлення бухгалтерського програмного забезпечення M.E.Doc.

Про це ж заявили й спеціалісти російських "Доктор Веб" і "Лаборатории Касперского".

"Аналіз журналу антивірусу Dr.Web, отриманого з комп'ютера одного з наших клієнтів, показав, що енкодер Trojan.Encoder.12703 був запущений на інфікованій машині додатком ProgramDataMedocMedocezvit.exe, що є компонентом програми M.E.Doc, - йдеться у звіті. - Запитаний із зараженої машини файл ZvitPublishedObjects.dll мав той самий хеш, що й досліджений у вірусній лабораторії "Доктор Веб" зразок. Таким чином, наші аналітики дійшли висновку, що модуль оновлення програми M.E.Doc, реалізований у вигляді динамічної бібліотеки ZvitPublishedObjects.dll, містить бекдор. Дальше дослідження показало, що цей бекдор може виконувати в інфікованій системі такі функції:

- збір даних для доступу до поштових серверів;

- виконання довільних команд в інфікованій системі;

- завантаження на заражений комп'ютер довільних файлів;

- завантаження, збереження і запуск будь-яких виконуваних файлів;

- вивантаження довільних файлів на віддалений сервер".

І, як виявляється, атаки на M.E.Doc почалися місяцем раніше. "NotPetya була не першою версією шифрувальника, який поширювався через M.E.Doc. Ще в травні 2017 р. ми зафіксували шифрувальника XData, що поширювався через це ПЗ", - заявив у розмові з кореспондентом DT.UA Антон Черепанов, старший дослідник шкідливого ПЗ компанії ESET.

За його словами, це шкідливе ПЗ таргетує конкретно підприємства України. Отож вони мають бути готовими до нових атак, для чого необхідно встановлювати відповідне ПЗ і впроваджувати додаткові заходи з кібербезпеки.