Нерассказанная история NotPetya — самой разрушительной кибератаки в истории

Откуда все началось

Из серверной в киевском офисе компании Linkos Group. Инициаторы «самой разрушительной атаки со времен создания интернета» — российские военные хакеры из группировки Sandworm. Прежде они атаковали украинские госструктуры и компании, а также провоцировали отключение электричества в зимний период.

В июне 2017 года Sandworm взломали сервера Linkos, отвечающие за рассылку обновлений программного комплекса M.E.Doc. Украинские предприятия пользовались им для электронного документооборота. Хакеры задействовали их, чтобы «выпустить свое самое разрушительное творение».

Почему NotPetya оказался так эффективен

Вирус, на тот момент, был одним из самых быстрых. Глава центра реагирования Cisco Крейг Уильямс указывает: «В ту секунду, когда вы видите его, ваш дата-центр уже пропал».

В основе NotPetya лежат два мощных эксплоита.

Первый — EternalBlue. Это слитая в 2017 году разработка Агентства национальной безопасности США. Эксплоит позволяет воспользоваться уязвимостью в одном из протоколов Windows и запускать посторонний код на непропатченных устройствах.

Второй — Mimikatz, концептуальный инструмент, созданный французом Бенджамином Дельфи в 2011 году. Он позволяет извлечь аутентификационные данные залогинившегося в системе, а также использовать их для взлома других доступных устройств. Инструмент особенно опасен в корпоративных сетях, поскольку способен атаковать сотни машин, передвигаясь от одной к другой.

До атаки NotPetya, Microsoft уже выпустила патч против уязвимости EternalBlue. Но вместе с Mimikatz потенциал вируса оказался буквально неограничен. Комбинация эксплоитов позволяла атаковать непропатченные компьютеры и задействовать их пароли для захвата обновленных до последней версии устройств.

В чем особенность NotPetya

В отличие от Petya, который требовал от жертв заплатить за разблокировку данных, цель NotPetya была исключительно в нанесении вреда. Malware-софт необратимо шифровал загрузочный сектор компьютера, позволяющий устройству «найти» операционную систему. Любые выплаты ни к чему не приводили, а восстановить содержимое было невозможно.

Выпуск NotPetya был проявлением кибервойны почти во всех смыслах — причем таким, которое, вероятно, превзошло разрушительный потенциал, заложенный создателями. В течение нескольких часов после первого появления, червь распространился по неисчислимому количеству украинских компьютеров по всему миру, от отеля в Пенсильвании до шоколадной фабрики в Тасмании.

Он обездвижил международные компании, включая Maersk, фармацевтического гиганта Merck, европейское отделение FedEx, французскую строительную фирму Saint-Gobain, пищевую компанию Mondelēz и фабрики Reckitt Benckiser. В каждом из случаев убытки исчислялись миллионами. NotPetya даже вернулся в Россию, ударив по госкомпании «Роснефть».

Во сколько оцениваются убытки

Общая сумма, озвученная Белым Домом — $10 млрд. Для сравнения, WannaCry «стоил» от $4 млрд до $8 млрд. В число главных пострадавших от NotPetya входят:

• Merc (США) — $870 млн;
• TNT Express (европейское подразделение FedEX) — $400 000 млн;
• Saint-Gobain (Франция) — $384 млн;
• Maersk (Дания) — $300 млн;
• Mondelēz (США) — $188 млн;
• Reckitt Benckiser (Британия) — $129 млн.

Что происходило в день атаки в Украине

Wired описывает работу компании Information Systems Security Partners (далее — ISSP), предоставляющей услуги киберзащиты. Во время атаки, которая состоялась накануне Дня Конституции, ее глава Алексей Ясинский получил звонок от директора, сообщающего про атаку на «Ощадбанк».

По прибытию в офис банка, он обнаружил местный IT-департамент в растерянности. 90% компьютеров были заражены. Следом Ясинский начал получать звонки со всей Украины — всего их было около 50.

NotPetya распространялся по компаниям очень быстро — чтобы расправиться с внутренней сетью некого украинского банка, ему потребовалось 45 секунд. Крупный украинский транспортный хаб, куда оборудование ISSP установили в качестве демонстрации, «лег» за 16 секунд.

Основатель ISSP Олег Деревянко в тот день находился на отдыхе в Турции, но прервал поездку к семье и до вечера проработал в ресторане на обочине, принимая звонки и раздавая поручения. Деревянко советовал менеджерам как можно быстрее отключать сети, даже если это означало остановку деятельности всей компании. Зачастую, было уже поздно.

Краткий список украинских жертв NotPetya:

• 6 госпиталей в Киеве;
• 6 энергетических компаний;
• 2 аэропорта;
• 22 украинских банка;
• банкоматы;
• терминалы;
• более 300 компаний;
• 10% всех компьютеров в стране.

Под удар попало почти каждое министерство. Министр инфраструктуры Владимир Омелян в комментарии Wired сказал: «Правительство было неработоспособно».

Как пострадал Maersk

Датская транспортная компания, на счету которой 76 портов по всему миру и более 800 грузовых кораблей, стала одной из крупнейших жертв NotPetya.

Точкой входа для вируса стал один из 574 офисов гиганта. Он находится в Одессе. Там финансовый директор попросил установить на его компьютер M.E.Doc — и открыл для NotPetya доступ к корпоративной сети.

Вскоре после начала атаки, сотрудников центрального офиса в Копенгагене попросили уйти с работы. IT-департамент два часа отключал сеть Maersk, но большинство компьютеров уже показывали текст «repairing file system on C:» и требование выплатить около $300 в биткоин-эквиваленте.

17 из 76 грузовых терминалов Maersk по всему миру тоже остановились. Ворота не пропускали автомобили, краны замерли, а грузовики скапливались в километровые очереди у въездов.

Как восстанавливали сеть

Спустя несколько дней профильных сотрудников Maersk со всего мира начали собирать в английском городке Майденхед, недалеко от Лондона. Там находится IT-департамент конгломерата.

Местный офис работал в режиме 24/7 — сотрудники ночевали прямо на этажах. Они также скупили все ноутбуки и роутеры в округе. Всего в здании находилось до 600 человек — помимо 400 коллег из Maersk, к работе присоединились 200 специалистов из Deloitte.

По ходу восстановления корпоративной сети, сотрудники смогли найти бэкапы почти всех отдельных серверов, сделанные за 3-7 дней до атаки NotPetya. Но проблема была в другом — у них не было копий главных контроллеров. Эти сервера служат детальной картой сети Maersk и устанавливают правила доступа для пользователей. Без них отдельные кусочки данных были бесполезны.

У Maersk было около 150 контроллеров и они работали взаимно — каждый являлся бэкапом всех остальных. Но эта стратегия, похожая на устройство блокчейна, не помогла в ситуации, когда стерли все контроллеры.

Спасение пришло из Ганы. Там, из-за отключения электричества, сохранился единственный экземпляр контроллера, не пораженный вирусом. Но после подключения оказалось, что скорость передачи слишком медленная — на отправку данных уйдут дни.

Компания хотела просто отправить одного из сотрудников на самолете в Лондон. Но ганские работники Maersk не имели британских виз. Пришлось работать через посредника: сотрудник из Ганы вылетел в Нигерию, передал жесткий диск местному человеку из Maersk, а тот уже сел на самолет до Хитроу.

После завершения этой операции, процесс восстановления ускорился. Сначала в работу вернулись порты, потом заказы через Maerskline.com. Но чтобы компания вновь заработала в относительно нормальном темпе, ушло более недели. За это время сотрудники работали, как могли. Они приклеивали бумажки к контейнерам, принимали заказы через личные аккаунты в Gmail, WhatsApp и записывали их в Excel-таблицы.

Итоги для Maersk

Через две недели сотрудникам вернули рабочие ноутбуки — правда, с полностью отформатированными жесткими дисками.

Всего компания восстановила сеть из 4000 серверов и 45 000 компьютеров. По словам руководства, объемы поставок во время атаки упали всего на 20%, а потери оценивают в $250-300 млн. Сотрудники, с которыми общался Гринберг, называют эту сумму заниженной.

После атаки в Maersk почти без уговоров одобрили почти все улучшения, связанные с безопасностью. Компания перешла на Windows 10 на компьютерах. Сервера, некоторые из которых до NotPetya работали на Windows 2000, тоже обновили.

Что происходило в Украине после атаки

Спустя неделю после дебюта NotPetya, украинский спецназ ворвался в офис Linkos Group, направив оружие на сотрудников и выстроив их в коридоре. Оперативники даже выбили дверь на одном из этажей, несмотря на предложения основателя фирмы Олеси Линнык дать им ключи. Затем они нашли сервера, упаковали их в пластиковые кейсы и конфисковали.

Чем была атака NotPetya

В отрывке фигурируют несколько мнений.

В ISSP уверены, что атака была создана как способ замести за собой следы, поскольку хакеры в течение месяцев имели доступ к зараженным компьютерам. Помимо спровоцированной паники и хаоса, NotPetya мог уничтожить данные о слежке.

Крейг Уильямс из Cisco уверен, что это был политический месседж из России. Там якобы прекрасно знали о международных последствиях и указывали: «Если вы ведете бизнес в Украине, ждите беды».

В одном сходятся все — атака вроде NotPetya может повториться в гораздо больших масштабах. При этом, адекватного наказания за подрывную деятельность Россия не понесла. Санкции за вирус наложили спустя 8 месяцев и затерялись среди других обвинений.

NotPetya напоминает нам, что расстояние — больше не защита. Варвары уже у каждых ворот. Сети, окутавшие и объединившие мир в течение последних 25 лет, могут обрушиться за несколько часов в прекрасный летний день.

Напомним, ранее на AIN.UA выходил материал о 6 самых громких хакерских атаках 2017 года.