Ataki ransomware na Ukrainie w 2017 r

Ataki ransomware na Ukrainie w 2017 r
	Żądanie okupu od Petyi wyświetlane w zaatakowanym systemie
Data	27-28 czerwca 2017
Lokalizacja	Ukraina Inne lokalizacje Rosja ; Niemcy ; Stany Zjednoczone ; Zjednoczone Królestwo ; Hiszpania ; Indie ; Polska ; Włochy ; Izrael ; Białoruś ; Argentyna ; Holandia ; Australia ;
Typ	Cyber atak
Przyczyna	Złośliwe oprogramowanie , ransomware , cyberterroryzm
Wynik	Dotknął kilka ukraińskich ministerstw, banków, systemów metra i przedsiębiorstw państwowych
Podejrzani	Rosji (według oświadczeń ukraińskich władz, Amerykanina Michaela N. Schmitta i CIA ).

Seria potężnych cyberataków z wykorzystaniem szkodliwego oprogramowania Petya rozpoczęła się 27 czerwca 2017 r. i zalała strony internetowe ukraińskich organizacji, w tym banków, ministerstw, gazet i firm energetycznych. Podobne zakażenia odnotowano we Francji , Niemczech , Włoszech , Polsce , Rosji , Wielkiej Brytanii , Stanach Zjednoczonych i Australii . Firma ESET oszacowała 28 czerwca 2017 r., że 80% wszystkich infekcji miało miejsce na Ukrainie, a Niemcy były na drugim miejscu z około 9%. 28 czerwca 2017 r. ukraiński rząd oświadczył, że atak został wstrzymany. W dniu 30 czerwca 2017 r. Associated Press poinformowało, że eksperci zgodzili się, że Petya podszywa się pod ransomware , podczas gdy w rzeczywistości został zaprojektowany tak, aby wyrządzić maksymalne szkody, a głównym celem była Ukraina.

Zbliżać się

Eksperci ds. bezpieczeństwa uważają, że atak pochodzi z aktualizacji ukraińskiego pakietu do księgowania podatków o nazwie MeDoc (MEDoc [ uk ] ), opracowanego przez firmę Intellect Service. Według Mikko Hyppönena , eksperta ds . MeDoc miał około 400 000 klientów na Ukrainie, reprezentujących około 90% krajowych firm, a przed atakiem był zainstalowany na około 1 milionie komputerów na Ukrainie.

MeDoc zapewnia okresowe aktualizacje swojego programu za pośrednictwem serwera aktualizacji. W dniu ataku, 27 czerwca 2017 r., serwer aktualizacji wypchnął aktualizację MeDoc, po czym zaczął pojawiać się atak ransomware. Brytyjski ekspert od złośliwego oprogramowania, Marcus Hutchins, stwierdził: „Wygląda na to, że system automatycznej aktualizacji oprogramowania został naruszony i był używany do pobierania i uruchamiania złośliwego oprogramowania zamiast aktualizacji oprogramowania”. Firma produkująca MeDoc twierdziła, że nie była celowo zaangażowana w atak ransomware, ponieważ dotyczyło to również jej biur komputerowych, i współpracuje z organami ścigania w celu wyśledzenia źródła. Podobny atak za pośrednictwem oprogramowania MeDoc został przeprowadzony 18 maja 2017 r. przy użyciu ransomware XData. Setki działów księgowych zostało dotkniętych na Ukrainie.

Cyberatak został oparty na zmodyfikowanej wersji oprogramowania ransomware Petya . Podobnie jak w przypadku ataku ransomware WannaCry w maju 2017 r., Petya wykorzystuje exploita EternalBlue wykrytego wcześniej w starszych wersjach systemu operacyjnego Microsoft Windows . Po uruchomieniu Petya szyfruje główną tabelę plików dysku twardego i zmusza komputer do ponownego uruchomienia. Następnie wyświetla użytkownikowi komunikat informujący, że jego pliki są teraz zaszyfrowane i że ma wysłać 300 USD w bitcoinach do jednego z trzech portfeli, aby otrzymać instrukcje odszyfrowania komputera. Jednocześnie oprogramowanie wykorzystuje Server Message Block w systemie Windows do infekowania komputerów lokalnych w tej samej sieci i wszystkich komputerów zdalnych, które może znaleźć. Ponadto wykryto, że oprogramowanie NotPetya wykorzystuje wariant Mimikatz , wykrytego w 2011 roku exploita typu proof-of-concept, który wykazał, że hasła użytkowników były przechowywane w pamięci komputera w systemie Windows, wykorzystując te hasła do rozprzestrzeniania się w sieciach.

Exploit EternalBlue został wcześniej zidentyfikowany, a firma Microsoft wydała w marcu 2017 r. łatki, aby zamknąć exploit dla systemów Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2012 i Windows Server 2016 . Jednak atak WannaCry przeszedł przez wiele systemów komputerowych, które nadal korzystały ze starszych systemów operacyjnych Windows lub starszych wersji nowszych, w których nadal znajdował się exploit lub użytkownicy nie podjęli kroków w celu pobrania łat. Microsoft wydał nowe łatki dla Windows XP , Windows Server 2003 i Windows 8 dzień po ataku WannaCry. Ekspert ds. Bezpieczeństwa Lesley Carhart stwierdził, że „Każdej metodzie wykorzystania, którą rozprzestrzenił się atak, można było zapobiec za pomocą dobrze udokumentowanych środków”.

Eksperci ds. bezpieczeństwa stwierdzili, że wersja Petya wykorzystywana w cyberatakach na Ukrainie została zmodyfikowana, w związku z czym zmieniono jej nazwę na NotPetya lub Nyetna, aby odróżnić ją od oryginalnego szkodliwego oprogramowania. NotPetya zaszyfrował wszystkie pliki na zainfekowanych komputerach, nie tylko główną tabelę plików, aw niektórych przypadkach pliki komputera zostały całkowicie wyczyszczone lub przepisane w sposób, którego nie można było cofnąć przez odszyfrowanie. Niektórzy eksperci ds. bezpieczeństwa zauważyli, że oprogramowanie może przechwytywać hasła i wykonywać działania na poziomie administratora, które mogą jeszcze bardziej zniszczyć pliki komputerowe. Zauważyli również, że oprogramowanie może zidentyfikować określone systemy komputerowe i ominąć infekcję tych systemów, co sugeruje, że cel ataku był bardziej chirurgiczny. W przeciwieństwie do oprogramowania WannaCry, w NotPetya nigdy nie znaleziono „ wyłącznika awaryjnego ”, który mógłby zostać użyty do natychmiastowego powstrzymania rozprzestrzeniania się wirusa. Według Nicholasa Weavera z University of California, hakerzy wcześniej skompromitowali MeDoc „zamienili go w zdalnie sterowanego trojana, a następnie byli gotowi spalić ten zasób, aby przeprowadzić ten atak”.

Atak

Podczas ataku system monitorowania promieniowania w ukraińskiej elektrowni jądrowej w Czarnobylu został wyłączony. Kilka ukraińskich ministerstw, banków, systemów metra i przedsiębiorstw państwowych ( Międzynarodowy Port Lotniczy Boryspol , Ukrtelecom , Ukrposhta , Państwowy Bank Oszczędności Ukrainy , Koleje Ukraińskie ) zostało dotkniętych. Na zainfekowanych komputerach ważne pliki komputerowe zostały nadpisane, a tym samym trwale uszkodzone, mimo że szkodliwe oprogramowanie wyświetlało użytkownikowi komunikat informujący, że wszystkie pliki można odzyskać „bezpiecznie i łatwo”, spełniając żądania atakujących i uiszczając żądaną płatność w walucie Bitcoin .

Uważa się, że atak miał raczej na celu sparaliżowanie państwa ukraińskiego niż ze względów finansowych. Do ataku doszło w przeddzień ukraińskiego święta państwowego , Dnia Konstytucji (obchodzącego rocznicę zatwierdzenia przez Radę Najwyższą (parlament Ukrainy) Konstytucji Ukrainy 28 czerwca 1996 r.). Większość biur rządowych byłaby pusta, co umożliwiłoby cyberatakowi rozprzestrzenianie się bez zakłóceń. Ponadto niektórzy eksperci ds. bezpieczeństwa zauważyli, że oprogramowanie ransomware usuwa dane z dysków twardych, których dotyczy problem, zamiast je szyfrować, co byłoby kolejną katastrofą dla dotkniętych tym firm.

Na krótko przed rozpoczęciem cyberataku poinformowano, że starszy oficer wywiadu i szef jednostki sił specjalnych Głównego Zarządu Wywiadu Ukrainy , pułkownik Maksym Szapowal , został zamordowany w Kijowie przez samochód-pułapkę. Była doradca rządu w Gruzji i Mołdawii , Molly K. McKew, uważała, że zabójstwo było powiązane z cyberatakiem.

28 czerwca 2017 r. Ukraiński rząd oświadczył, że atak został wstrzymany: „Sytuacja jest pod pełną kontrolą specjalistów ds. Bezpieczeństwa cybernetycznego, teraz pracują nad przywróceniem utraconych danych”.

Po pierwszym ataku z 27 czerwca eksperci ds. bezpieczeństwa odkryli, że kod, który zainfekował aktualizację MEDoc, zawierał backdoora, który potencjalnie mógł zostać wykorzystany do przeprowadzenia kolejnego cyberataku. Widząc oznaki kolejnego cyberataku, 4 lipca 2017 r. ukraińska policja dokonała nalotu na biura MeDoc i zajęła ich serwery. Dyrektor generalny MeDoc stwierdził, że nie był świadomy, że na ich serwerach zainstalowano backdoora, ponownie zaprzeczył ich udziałowi w ataku i pracował nad pomocą władzom w zidentyfikowaniu źródła. Firma ochroniarska ESET stwierdziła, że backdoor został zainstalowany w usłudze MeDoc Updater już 15 maja 2017 r., podczas gdy eksperci z grupy Cisco Systems Talos znaleźli dowody na istnienie backdoora już w kwietniu 2017 r.; każda sytuacja wskazuje na cyberatak jako „dokładnie zaplanowaną i dobrze wykonaną operację”. Ukraińscy urzędnicy oświadczyli, że Intellect Service „poniesie odpowiedzialność karną”, ponieważ firmy antywirusowe ostrzegały ich wcześniej o słabych zabezpieczeniach swoich serwerów przed tymi wydarzeniami, ale nie podjęli kroków, aby temu zapobiec. Talos ostrzegł, że ze względu na duży rozmiar aktualizacji MeDoc, która zawierała złośliwe oprogramowanie NotPetya (1,5 gigabajta), mogły istnieć inne backdoory, których jeszcze nie znaleźli, i możliwy jest kolejny atak.

Atrybucja

30 czerwca Służba Bezpieczeństwa Ukrainy (SBU) poinformowała o przejęciu sprzętu, który posłużył do przeprowadzenia cyberataku, twierdząc, że należał on do rosyjskich agentów odpowiedzialnych za przeprowadzenie ataku. W dniu 1 lipca 2017 r. SBU twierdziła, że dostępne dane wskazują, że ci sami sprawcy, którzy na Ukrainie w grudniu 2016 r. Zaatakowali system finansowy, transport i obiekty energetyczne Ukrainy (przy użyciu TeleBotów i BlackEnergy), to te same grupy hakerskie, które zaatakowały Ukrainę 27 czerwca 2017 r . „To świadczy o udziale w tym ataku służb specjalnych Federacji Rosyjskiej” – podsumowano. (Atak cybernetyczny z grudnia 2016 r. na ukraiński państwowy komputer energetyczny spowodował awarię prądu w północnej części stolicy, Kijowie). Stosunki rosyjsko-ukraińskie są zamrożone od czasu aneksji Krymu przez Rosję w 2014 r., po której nastąpiła wspierana przez rosyjski rząd separatystyczna rebelia we wschodniej Ukrainie, w której do końca czerwca 2017 r. zginęło ponad 10 000 osób. (Rosja wielokrotnie zaprzeczała wysłaniu żołnierzy lub sprzętu wojskowego na wschodnią Ukrainę ). Ukraina twierdzi, że hakowanie ukraińskich instytucji państwowych jest częścią tego, co określają jako „ wojnę hybrydową ” Rosji z Ukrainą.

ESET zajmująca się bezpieczeństwem cybernetycznym stwierdziła, że za atakiem stała grupa Telebots (która, jak twierdzili, miała powiązania z BlackEnergy): „Przed wybuchem epidemii grupa Telebots atakowała głównie sektor finansowy. Ostatni wybuch był skierowany przeciwko firmom na Ukrainie, ale najwyraźniej nie docenili możliwości rozprzestrzeniania się złośliwego oprogramowania. Dlatego złośliwe oprogramowanie wymknęło się spod kontroli”. Firma ESET informowała wcześniej, że BlackEnergy atakowała ukraińską infrastrukturę cybernetyczną od 2014 r. W grudniu 2016 r. firma ESET doszła do wniosku, że TeleBoty wyewoluowały z hakerów BlackEnergy i że TeleBoty wykorzystywały cyberataki do sabotowania ukraińskiego sektora finansowego w drugiej połowie 2016 r.

Mniej więcej w czasie nalotu na MeDoc 4 lipca, 10 000 $ w bitcoinach zebranych już w wymienionych portfelach dla NotPetya zostało zebranych, a eksperci sądzili, że zostały one wykorzystane do zakupu miejsca w anonimowej sieci Tor . Jedna z wiadomości opublikowanych tam rzekomo od autorów NotPetya żądała 100 000 bitcoinów (około 2,6 miliona dolarów) za powstrzymanie ataku i odszyfrowanie wszystkich plików, których dotyczy problem. W dniu 5 lipca 2017 r. Druga wiadomość rzekomo od autorów NotPetya została opublikowana na Tor , żądając od tych, którzy chcą odszyfrować swoje pliki, wysłania 100 bitcoinów (około 250 000 USD). Wiadomość została podpisana tym samym kluczem prywatnym, którego używało oryginalne oprogramowanie ransomware Petya, co sugeruje, że za obie te rzeczy odpowiada ta sama grupa.

Według raportów cytowanych w styczniu 2018 r. Centralna Agencja Wywiadowcza Stanów Zjednoczonych twierdziła, że za cyberatakiem stoi Rosja, a NotPetya zaprojektowała Rosyjska Główna Dyrekcja Wywiadowcza (GRU). Podobnie Ministerstwo Obrony Wielkiej Brytanii oskarżyło Rosję w lutym 2018 r. o rozpoczęcie cyberataku, że atakując systemy na Ukrainie, cyberatak rozprzestrzeni się i wpłynie na główne systemy w Wielkiej Brytanii i innych krajach. Rosja zaprzeczyła swojemu udziałowi, wskazując, że atak wpłynął również na rosyjskie systemy.

Andy Greenberg , pisarz zajmujący się technologią przewodową , przeglądając historię cyberataków, powiedział, że ataki pochodziły od rosyjskiej grupy hakerów wojskowych o nazwie „Sandworm”. Greenberg zapewnił, że Sandworm był między innymi odpowiedzialny za przerwy w dostawie prądu w Kijowie w 2016 roku. Grupa koncentrowała się na włamywaniu się do ukraińskiego sektora finansowego i gdzieś na początku 2017 roku była w stanie uzyskać dostęp do serwerów aktualizacji ME Doc, aby można je było wykorzystać złośliwie do przeprowadzenia cyberataku w czerwcu 2017 roku.

Dotknięte firmy

Firmy, których to dotyczy, to Antonov , Kyivstar , Vodafone Ukraine , lifecell , kanały telewizyjne STB , ICTV i ATR , Kyiv Metro , UkrGasVydobuvannya (UGV) , stacje benzynowe WOG , DTEK , epicentrum K , Kijów International Airport (Zhuliany) , Prominvestbank , Ukrsotsbank , KredoBank , Oshchadbank i inne, z ponad 1500 osobami prawnymi i osobami fizycznymi, które skontaktowały się z Policją Narodową Ukrainy, aby wskazać, że padły ofiarą cyberataku do dnia 27 czerwca 2017 r. Oshchadbank ponownie był w pełni funkcjonalny 3 lipca 2017 r. ukraińskiego przedsiębiorstwa energetycznego również zostały wyłączone z powodu ataku; ale firma nadal w pełni działała bez użycia komputerów.

Chociaż ponad 80% dotkniętych firm pochodziło z Ukrainy, ^{[ wymaga aktualizacji ]} oprogramowanie ransomware rozprzestrzeniło się również na kilka firm w innych geolokalizacjach, ponieważ firmy te mają biura na Ukrainie i działają w sieci na całym świecie. Firmy spoza Ukrainy, które zgłosiły incydenty związane z atakiem, to m.in. przetwórca żywności Mondelez International , spółka zależna APM Terminals międzynarodowej firmy spedycyjnej AP Moller-Maersk , spółka zależna FedEx TNT Express (w sierpniu 2017 jej dostawy były nadal zakłócone z powodu ataku), Chińska firma przewozowa COFCO Group , francuska firma produkująca materiały budowlane Saint Gobain , agencja reklamowa WPP plc , Heritage Valley Health System z Pittsburgha , firma prawnicza DLA Piper , firma farmaceutyczna Merck & Co. , producent dóbr konsumpcyjnych Reckitt Benckiser oraz dostawca oprogramowania Nuance Communications . Ukraiński policjant uważa, że atak ransomware miał zasięg globalny, aby odwrócić uwagę od ukierunkowanego cyberataku na Ukrainę.

Koszt cyberataku nie został jeszcze ustalony, ponieważ po tygodniu od pierwszego ataku firmy nadal pracowały nad złagodzeniem szkód. Reckitt Benckiser obniżył swoje szacunki sprzedaży o 2% (około 130 mln USD) w drugim kwartale, głównie z powodu ataku, który dotknął jego globalny łańcuch dostaw. Tom Bossert , doradca Prezydenta Stanów Zjednoczonych ds. Bezpieczeństwa Wewnętrznego, stwierdził, że łączne szkody wyniosły ponad 10 miliardów dolarów . Wśród szacunkowych szkód wyrządzonych określonym firmom znalazło się ponad 870 mln USD dla Merck, 400 mln USD dla FedEx, 384 mln USD dla Saint-Gobain i 300 mln USD dla Maersk.

Reakcja

Sekretarz Rady Bezpieczeństwa Narodowego i Obrony Ukrainy Ołeksandr Turczynow stwierdził, że w cyberataku z 27 czerwca pojawiły się oznaki udziału Rosji, chociaż nie przedstawił żadnych bezpośrednich dowodów. Rosyjscy urzędnicy zaprzeczyli jakiemukolwiek zaangażowaniu, nazywając twierdzenia Ukrainy „bezpodstawnymi powszechnymi oskarżeniami”. Sekretarz generalny NATO Jens Stoltenberg obiecał 28 czerwca 2017 r., że NATO będzie nadal wspierać Ukrainę we wzmacnianiu jej cyberobrony . Sekretarz prasowy Białego Domu wydał 15 lutego 2018 r. Oświadczenie, w którym przypisuje atak rosyjskiej armii, nazywając go „najbardziej niszczycielskim i kosztownym cyberatakiem w historii”.

Zobacz też

Linki zewnętrzne

Greenberg, Andy (20 czerwca 2017). „Jak cały naród stał się rosyjskim laboratorium testowym cyberwojny” . Przewodowy .

Wojna rosyjsko-ukraińska
Tło	Rozwiązanie Związku Radzieckiego memorandum budapeszteńskie Konflikt na wyspie Tuzla w 2003 roku Pomarańczowa Rewolucja 2007 Monachijskie przemówienie Władimira Putina Rosyjsko-ukraińskie spory gazowe
Główne wydarzenia	Euromajdanowa rewolucja godności Aneksja Krymu według osi czasu Federacji Rosyjskiej Prorosyjskie zamieszki na Ukrainie w 2014 roku Tło historyczne oś czasu 2014 Starcia w Odessie Kalendarium wojny w Donbasie (2014–2022). Lista jednostek rosyjskich, które najechały na terytorium Ukrainy Incydent w Cieśninie Kerczeńskiej Wagnergate'a Preludium reakcji rosyjskiej inwazji na Ukrainę w 2022 roku Oś czasu rosyjskiej inwazji na Ukrainę w 2022 roku
Wpływ i reakcje	Sankcje międzynarodowe sankcjonowani ludzie 2022–2023 Spór gazowy Rosja – Unia Europejska Specjalna Misja Obserwacyjna OBWE na Ukrainie Ustawa z 2014 r sprawa MTS ORDŁO ATO Międzynarodowe reakcje na wojnę w Donbasie zabitych dziennikarzy wojny rosyjsko-ukraińskiej Zagraniczni bojownicy w wojnie rosyjsko-ukraińskiej Referendum w sprawie statusu Krymu w 2014 r Status polityczny Krymu Incydent na Morzu Czarnym w 2021 r Globalny kryzys łańcucha dostaw w latach 2021–2023 Gospodarczy wpływ rosyjskiej inwazji na Ukrainę w 2022 r Eurointegracja Ukrainy obrazy sowieckie Lend-Lease (2022)
Cyberwojna	Włamanie do ukraińskiej sieci energetycznej w 2015 roku Cyberatak na Kijów w 2016 roku Wycieki Surkowa z 2016 roku Ataki ransomware na Ukrainie w 2017 r Cyberataki na Ukrainę w 2022 roku IT Armia Ukrainy Działania Anonimowych przeciwko Rosji w 2022 roku
Głoska bezdźwięczna	Małe zielone ludziki Medialny wizerunek wojny rosyjsko-ukraińskiej Dezinformacja w kryzysie lat 2021–2022 Propaganda w Rosji
Powiązany	Stosunki rosyjsko-ukraińskie Język rosyjski na Ukrainie Rozbiórka pomników Włodzimierza Lenina na Ukrainie Protesty antywojenne w Rosji w 2014 roku Druga zimna wojna Raszizm 2018 Schizma moskiewsko-konstantynopolska Kontrola miast Straty samolotów podczas wojny rosyjsko-ukraińskiej Straty statków podczas wojny rosyjsko-ukraińskiej Mołdawia i wojna rosyjsko-ukraińska
Kategoria

Żądanie okupu od Petyi wyświetlane w zaatakowanym systemie
Data	27-28 czerwca 2017 ( 2017-06-27 – 2017-06-28 )
Lokalizacja	Ukraina Inne lokalizacje Rosja Niemcy Stany Zjednoczone Zjednoczone Królestwo Hiszpania Indie Polska Włochy Izrael Białoruś Argentyna Holandia Australia
Typ	Cyber atak
Przyczyna	Złośliwe oprogramowanie , ransomware , cyberterroryzm
Wynik	Dotknął kilka ukraińskich ministerstw, banków, systemów metra i przedsiębiorstw państwowych
Podejrzani	Rosji (według oświadczeń ukraińskich władz, Amerykanina Michaela N. Schmitta i CIA ).