Хакерские атаки на Украину в 2017 году. Какие выводы были сделаны?

Опубликовано Maxim Oliynyk Мар 27, 2018 | 2 коммент.

Данная статья не о политике. Она об информационной безопасности, но так случилось, что недавние события в Украине и связанные с ними трансформации, подняли вопросы, которые вряд ли бы поднимались на протяжении ближайших лет. Многие помнят 2014-2015 гг, когда стремительней банкротства банков падали только памятники Ленину. В это же время, банки, которым не угрожала ликвидация, больше думали о физических средствах защиты, чем о киберугрозах.

Удар из тени. Petya or Not Petya

Самые тяжелые времена миновали, многие предприятия стали демонстрировать позитивную динамику, жизнь налаживалась, и тут произошло то, чего никто не ждал. Конечно, может кто-то и ждал, но не знал откуда именно придет зло. Штатное обновление бухгалтерской программы M.E.doc, которая повсеместно используется в Украине и только в Украине, таило в себе огромные опасности, а именно целенаправленную масштабную хакерскую атаку на сети украинских государственных учреждений, банков, медиа и множество других предприятий.

В Microsoft подтвердили, что источником атаки послужила система автоматического обновления программы M.E.doc, запущенная 27 июня 2017 года. Также известны случаи распространения вируса через фишинговые письма от имени адресатов, с которыми ранее велась переписка. В этих письмах присутствовали ссылки на загрузку вредоносных приложений.

За первые сутки атаки в Департамент киберполиции Украины поступило более тысячи сообщений о вмешательстве в работу компьютерных сетей, что привело к сбоям в работе или полному выходу их из строя, только 43 компании из пострадавших делу дали официальный ход.

Специалисты компании Protectimus имеют сведения о множестве подобных случаев, которые не были преданы огласке. Это связано с тем, что многие понимают, что виновные вряд ли будут найдены и в любом случае это не поможет спасти данные. Все силы бросались на спасение данных, которые на тот момент оставались еще нетронутыми. И если быть откровенным, то мало кто хочет получить репутационные последствия от взлома.

| Читайте также: Вирус Petya.A — как это было

Не стоит винить болезнь — развивай иммунитет или кто виноват

Disclaimer: Автор не является судьей и выражает личное мнение о степени виновности тех или иных лиц. Пусть компетентные органы определят степень вины каждого участника.

Поиск виновных неблагодарное дело, но все же… В первую очередь, виноват тот, кто написал и внедрил вредоносный код в обновление программного обеспечения. Не стоит также забывать о тех, кто позволил внести и распространить код. Также есть вопрос к органам, которые не определили вектор возможной атаки на всю корпоративную систему Украины.

А теперь давайте посмотрим на авторов этого вируса с другой стороны. Восторгаться действиями преступников не будем, но отметить профессионально написанный код зловреда стоит. Удачно определенный вектор атаки, а именно дыру в Windows, бухгалтерский софт, который был выбран для осуществления атаки, требует отдельного упоминания.

По состоянию на 14:00 по Киевскому времени 28 июня злоумышленник получил около $10 тыс.

Понятно, что целью хакеров было не получение выкупов за расшифровку данных жертв, а что-то большее… вывод из строя сетей предприятий, уничтожение данных, блокировка объектов инфраструктуры, нарушение нормальной работы крупных государственных и частных учреждений.

На следующий день Кабинет Министров Украины сообщил, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена.

Атака может быть и была остановлена, но ее последствия еще долго давали о себе знать. Так, например, международная отправка посылок Укрпочтой еще две недели осуществлялась в ручном режиме.

| Читайте также: Вирус-шифровальщик – платить или нет

Можно ли было предотвратить данную атаку?

Да, если бы каждый на своем месте выполнял качественно свою работу. В данном случае, все, что необходимо было сделать системному администратору — выполнить вовремя бесплатное обновление операционной системы под названием “MS17-010: Обновление безопасности для Windows SMB Server”, которое появилось 14 марта 2017 г.

Почему 105 дней не хватило на обновление системы?

Ровно столько прошло времени от появления патча до атаки. Прародитель данного вируса WannaCry (также известен как WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств был распространен еще 12 мая 2017 года. Данное событие сложно было не заметить, т.к. оно имело широкий мировой резонанс, а сам механизм работы вирусов-вымогателей был описан еще в апреле 2016 года в блоге компании «Malwarebytes Labs».

14 марта 2017г. — появление официального патча
12 мая 2017г. — распространение WannaCry
27 июня 2017г. — кибератака на Украину

Вопрос “почему?” носит риторический характер, но давайте вместе попробуем определить причины:

1. Заскорузлое мышление руководства компаний и IT-руководителей. Под “заскорузлым” тут понимается неспособность восприятия и противодействия современным угрозам. Зачастую многие ответственные воспринимают требования к безопасности не как реальную защиту от возможных угроз, а как инструментарий для различных препятствий от контролирующих органов. Из этого вытекает следующая проблема.
2. Формализм — болезнь поразившая общество.
3. Кто-то может сказать о безнаказанности ответственных, но тут причина может крыться в банальном отсутствии специалистов из-за постоянного процесса перетекания лучших IT-специалистов в аутсорс или IT-продуктовые компании. Это связано со значительно лучшими условиями оплаты труда при работе на иностранного заказчика, чем на отечественного.
4. Пренебрежение элементарными правилами работы с корпоративными ресурсами и при работе в сети Интернет.
5. Основной причиной является отсутствие системного подхода при организации безопасности предприятия. Эксперты по кибербезопасности, и не только они, знают, что обновления программного обеспечения должны быть проверены в тестовой среде, затем на пилотной группе пользователей. Только после всех этих шагов, они могут попасть в продакшин.

Также стоит отметить тот факт, что повсеместное использования операционной системы Windows, которая архитектурно “поддерживает” распространение подобных эпидемий, позволило иметь место данному инциденту.

Судьба уберегла Украину, данная атака не привела к человеческим жертвам и подстегнула руководство страны, предприятий всех форм собственности задуматься о незащищенности перед современными киберугрозами. Как результат, в ходе проделанного анализа появился ряд законов: “О Национальном банке Украины”, “О банках и банковской деятельности”, “О защите информации в электрокоммуникационных системах”, “Об основах национальной безопасности” и множество положений, актов и законов, которые направлены на регулирование вопросов информационной безопасности, в частности Постановление НБУ №95 об организации мер по обеспечению информационной безопасности в банковской системе Украины. Сделан хороший задел, осталось проконтролировать, чтобы предприятия и банки из-за проблем, описанных выше, не “похоронили” благое дело. Верим в лучшее.

Дополнительные материалы:

• • Хакерские атаки на Украину (2017)
  • Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України
  • MS17-010: Description of the security update for Windows SMB Server: March 14, 2017
  • Кража денег с банковских карт — самые распространенные способы
  • Что следует знать о безопасности корпоративных Wi-Fi сетей
  • Социальная инженерия: как это работает