Ровно неделя прошла с тех пор, как на украинские государственные и частные предприятия обрушилась масштабная хакерская атака. В статье "Вирус Petya. Неделю спустя" мы уже анализировали главные ее последствия для Украины. Однако до сих пор не ясно, какую цель на самом деле преследовали хакеры.
"Страна" решила собрать в одном материале все версии о том, чего на самом деле хотел вирус Petya - включая ту, которая ранее еще нигде не озвучивалась.
Версия 1. Деньги
Изначально хакеры требовали от владельцев пораженных вирусом компьютеров выкуп за разблокировку техники – 300 долларов в биткоинах. Однако те компании, которые перечислили вымогателям деньги, ключ от них так и не получили.
При этом из-за колебаний курса биткоина вымогатели потеряли часть выкупа. Если еще утром 29 июня их прибыль составляла $12 тысяч, то уже к вечеру – чуть больше $10 тысяч.
"Следователи до сих пор не могут установить инициаторов последней глобальной кибератаки, но стратегия нападающих указывает, что не деньги были основным мотивом их действий", – говорится в сообщении главы Глобальной программы Организации Объединенных Наций (ООН) по киберпреступности Нил Уолш.
К технической стороне вопроса вымогатели подошли грамотно, а вот к финансовой – подозрительно халатно.
Так, программное обеспечение, использованное во время атаки, было значительно сложнее, чем то, которое использовалось в предыдущих атаках с применением вируса WannaCry. Но, по мнению Нила Улоша, инициаторы новой атаки не опытны в вопросе сбора выкупа от жертв в обмен на разблокирование их компьютеров. Это, по его словам, позволило 28 июня заблокировать учетную запись и сделать невозможным получение денег.
"Я поддерживаю мнение, что хакеры не преследовали финансовый мотив, потому что на их биткоин-счет накапало слишком мало денег. Да и эксперты-вирусологи сошлись во мнении, что зашифрованные этим вирусом файлы расшифровать на сегодняшний день нельзя – это исключает коммерческий мотив", – отмечает глава Интернет-ассоциации Украины (ИнАУ) Александр Федиенко.
Версия 2. Удар по экономике Украины
Пострадала от Petya.A не одна Украина – также Германия, Польша, Румыния, Россия и другие страны мира. Но три четверти всех заражений пришлись именно на нашу страну. Только в Украине он заразил около 13 тысяч компьютеров на базе Windows.
По мнению многих IT-экспертов, так как вирус поразил не единичные компании и не ограничился банковскими учреждениями, хакеры намерены были нанести ущерб всей экономике Украины.
"Чего хотят добиться хакеры – это скорее вопрос к психологам. Я не знаю. Но сейчас они уже добились того, что в экономике страны случился коллапс. Все застыло. Эта атака, я считаю, была сделала из экономических побуждений, нанести ущерб целой стране, а не отдельным компаниям. Скорее всего, эта атака приведет к большим экономическим убыткам. Это элемент терроризма. Кибер-терроризм", – заявил "Стране" Александр Федиенко.
Однако, сколько денег потеряла экономика Украины за время вирусной атаки, когда вышли из строя компьютерные системы многих компаний, пока доподлинно неизвестно. В Министерстве финансов еще не считали ущерб, нанесенный вирусом Petya.
Версия 3. Кража имущества
Впрочем, эксперты отмечают, что пострадать от хакерской атаки незаметно для самих себя могли и рядовые граждане Украины. По их словам, "падением" компьютерных систем хакеры могли отвлечь внимание от незаконного проникновения в различные госреестры, а целью могло быть обыкновенное мошенничество.
"Поскольку вся система в тот день (27 июня – Прим.ред.) подверглась атаке и долгое время была недоступна нотариусам, такой лазейкой могли воспользоваться злоумышленники. Советую людям, у которых есть недвижимость и другое ценное имущество, проверить свои документы", — передает слова адвоката Ивана Либермана "Вести".
А Олег Гороховский, экс-первый замглавы правления "ПриватБанка" (который от вируса Petya.A не пострадал), посоветовал украинцам на всякий случай проверить свои остатки на банковских счетах.
"Когда я слышу, что некоторые банки останавливались, а теперь "постепенно восстанавливаются" у меня сомнения, что все клиентские счета восстановлены корректно. Советую просто проверить свои остатки по картам, кредитам и депозитам. Результаты могут вас удивить. А банкам рекомендую всерьез заняться ИТ. Банк 21-го века не может зависеть от того, в отпуске или нет сотрудник аутсорсинговой компании из России", – написал на своей странице в Фейсбук Олег Гороховский.
Версия 4. Шпионство
Эта версия на официальном уровне пока нигде не озвучивалась, но эксперты не исключают, что вымогательство и коллапс в работе многих компаний былы только прикрытием.
По мнению Сергея Креймера, президента Association of Troubleshooters, главной функцией вируса было не уничтожение данных на компьютерах и не деньги – шпионство.
"Основная версия всех экспертов сводится к тому, что в последней вирусной атаке главным было поразить как можно больше компьютеров вредоносным кодом вируса-вымогателя. Однако нам известно, что даже после очистки компьютера от вируса-шифровальщика и возобновления работы, все равно на компьютерах остался вредоносный код типа Троян с функцией проверки открытых портов для обмена данными", – отмечает в комментарии "Стране" специалист, сотрудничающий с пострадавшими от вируса компаниями.
Что это значит для бизнеса и банков, а также тех пользователей, чьи компьютеры пострадали? "Это означает, что злоумышленники получили контроль над всеми зараженными компьютерами и даже после возобновления работы могут ими управлять. К каким последствиям это может привести – сложно судить, ведь конечный план злоумышленников никому не известен", – утверждает Сергей Креймер.
Доподлинно известно лишь то, что при подключении очищенного компьютера к сети происходит попытка соединения с одним из интернет-сайтов, которого не существует в природе, утверждает эксперт. "Проблема заключается в том, что в случае активации данного интернет-адреса и загрузки туда вредоносного кода, злоумышленники опять получают полный контроль над компьютером жертвы. Так что на самом деле основная функция данного вируса шпионская. Более подробно о его назначении мы узнаем через несколько недель, когда получим протокол испытаний от наших немецких коллег-специалистов по компьютерной безопасности", – сообщает "Стране" Сергей Креймер.
Вирус может собирать настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc. Кроме того, вирус мог получить доступ к коду ЕДРПОУ, который для каждой зарегистрированной в Украине организации уникальный. Используя ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании.
"Я не исключаю, что хакеры на самом деле пытались получить контроль над компьютерами. Нам известно, что зараженные компьютеры отправляли на определенные IP-адреса информацию. Хотя провайдеры оперативно заблокировали в Украине эти IP-адреса", – в свою очередь, отмечает Александр Федиенко.
Но эксперт уточняет: если специалисты тех компаний, компьютеры которых были заражены, приняли все необходимые меры компьютерной безопасности и провели профилактику зараженных компьютеров – владельцам этой техники в дальнейшем шпионство не грозит.
"При такой системной кибератаке инженер по компьютерной безопасности или системный администратор должен забекапить всю полезную информацию, потом перформатировать жесткий диск, переустановить операционную систему, и в дальнейшем отслеживать активность компьютера при подключении к сети интернет. Если же была произведена лишь поверхностная очистка техники от вируса, но компьютер не обезопасили, то есть вероятность, что хакеры действительно в дальнейшем получат над ним контроль. Какие закладки вирус мог оставить в системе, досконально сейчас пока не изучено", – отмечает глава ИнАУ.
Версия 5. Проверка на прочность
Впрочем, по словам IT-эксперта Виктора Валеева, если бы в случае с Petya хакеры изначально преследовали цель установить тайный контроль над зараженными компьютерами, они бы не стали так громко заявлять о себе на международном уровне и тем более – требовать выкуп. В данном случае это больше похоже на показательное выступление.
"Вообще, шпионство – самая распространенная функция вирусов, – комментирует эксперт. – А конкретно в случае с Petya – это возможно, но маловероятно. Потому что вы либо стоите шпионскую сеть, либо занимаетесь вымогательством, либо просто физически уничтожаете информацию на компьютерах. Сочетать все три цели в одной – как минимум нелогично. Потому что, если настоящей целью хакеров было шпионство, зачем так светиться?".
Обычно вредоносное программное обеспечение в фоновом режиме отправляет данные с пораженного компьютера хакерам, и рядовой пользователь при этом ничего не замечает. "Слежка и управление должны проводиться скрыто. Иначе в чем смысл шпионства? Поэтому я склонен все-таки считать, что атака с использованием Petya – это было не шпионство, а "разведка боем", – считает Виктор Валеев.
Дело в том, что вирус Petya.A – уже третья заметная хакерская атака в Украине за последние два года. Последствия предыдущих взломов, которые вызвали отключения электроэнергии, государственные специалисты по кибербезопасности устраняли несколько недель. Хотя заражение тогда также происходило довольно примитивным методом – через макросы в документах, которые рассылались по электронной почте.
Теперь Украина столкнулась с новым вызовом – вирусом Petya.A, который поразил уже сотни украинских предприятий, некоторые из которых до сих пор устраняют последствия заражения. Некоторые госкомпании вынесли урок из происшедшего: например, "Укрзализныця" объявила тендер на киберзащиту на огромную сумму.
Некоторые специалисты усматривают в этих атаках своеобразную проверку на прочность украинских стратегических ресурсов и не исключают, что за ними могут последовать новые атаки, если в плане информационной безопасности в Украине ничего не изменится. Так, например, украинский госраспределитель "Укрэнерго" спустя три дня после заражения вирусом Petya А пострадал от новой кибератаки, но уже другого вируса.