Он вам не Petya: был ли доказан российский след вируса

Служба безопасности Украины и американская компания FireEye полагают, что за вирусом NotPetya стоят российские спецслужбы. В НАТО также видят следы государства в этой атаке, больше всего ударившей по Украине. Русская служба Би-би-си разбиралась, насколько состоятельна эта версия.

Бахмут (бывший Артемовск) - небольшой город на севере Донбасса, контролируемый украинскими властями. Городской сайт "Вечерний Бахмут" 27 июня сообщал о пойманном с поличным "дуэте гаражных воров-рецидивистов", а также о нехватке вагонов для перевозки соли с местных рудников.

Однако главной новостью дня предстояло стать самому "Вечернему Бахмуту". Хакеры использовали этот сайт для распространения вируса NotPetya - главного инструмента крупнейшей в истории Украины кибератаки, также поразившей десятки организаций в других странах.

Хакеры взломали систему управления сайта и вплоть до 29 июня показывали посетителям всплывающее окно с призывом обновить Windows.

Ссылка в окне активировала вредоносный файл, расположенный на одном из четырех сомнительных сайтов. Так, сайт под номером один рекламировал французскую кухонную утварь, - файл мог оказаться там в результате еще одного взлома.

Файл блокировал компьютер жертвы, шифровал данные, распространялся по корпоративной сети, используя ранее опубликованный хакерами инструмент Агентства национальной безопасности США, и, наконец, требовал "выкуп" - 300 долларов в биткойнах.

Связаться со злоумышленниками можно было лишь в первые часы, пока почтовая служба Posteo не отключила их адрес.

Еще одним спусковым крючком для распространения NotPetya стали фишинговые письма, сообщавшие, что у адресата могут снять с карточки 2,3 тыс. долларов. Ссылка на "спасительный" файл также, скорее всего, вела на сайт с французскими кастрюлями и активировала вирус.

Цель - Украина

Главным же источником распространения вируса оказалось обновление одной из трех самых популярных в Украине программ для документооборота M.E. Doc. Обновление подменили все тем же вредоносным файлом. После заражения через M.E. Doc хакеры получали уникальный налоговый номер компании или учреждения.

Пресс-секретарь группы "Украинский киберальянс" под псевдонимом Шон Тауншенд (Sean Townsend) отмечает, что, имея код предприятия, хакеры могли выбирать, что делать с конкретной жертвой. "Где-то украсть файлы, где-то пароли, где-то деньги. Достаточно открыть реестр и посмотреть, кто именно попался на удочку", - пишет Тауншенд.

В первый же день вирус поразил 2000 организаций, 75% жертв пришлось на Украину. Пострадали украинские министерства, полиция, банки, аэропорт "Борисполь", киевский метрополитен, СМИ, мобильные операторы, медицинские компании.

Ущерб от кибератаки еще предстоит подсчитать. Известно лишь, что зашифрованные вирусом файлы можно вернуть в прежнее состояние: за "лекарство" хакеры требуют 100 биткойнов (260 тыс. долларов). В качестве эксперимента издание Motherboard отправило хакерам "больной" текстовый файл и получило его назад расшифрованным.

Снова виновата Россия?

Первым о проблемах "Вечернего Бахмута" сообщил румынский антихакер, сотрудник "Лаборатории Касперского" Костин Райю. Он предположил, что окно со ссылкой на вредоносный сайт злоумышленники показывали только посетителям из Украины.

В своем отчете "Лаборатория Касперского" отмечает сходство NotPetya c кибератакой Black Energy, поразившей украинскую энергетическую, финансовую и транспортную системы в 2016 году. При этом исследователи отмечают, что уровень уверенности в сходстве кибератак пока низкий.

На основании сходства Black Energy и NotPetya Служба безопасности Украины заявила, что к созданию последнего причастны российские спецслужбы. Ту же мысль высказал представитель американской компании FireEye Джон Уоттерс в комментарии Financial Times.

"Это убийца, маскирующийся под вирус-вымогатель. И мы вполне уверены, что это дело рук России", - заявил Уотерс.

Ранее украинские власти обвиняли в кибератаках на свою инфраструктуру 16-й и 18-й центры ФСБ РФ, отвечающие за информационную безопасность, криптографию и шифрование каналов передачи данных.

Агентство по кибербезопасноссти НАТО (CCDOE) заявило, что за созданием NotPetya стоит "государственный актор", не уточняя, что именно имеется в виду. "Российская компания "Роснефть" тоже была заражена, - говорится в заявлении. - Но заражение имело ограниченный эффект и нанесло мало ущерба".

Миссия слишком выполнима

C гипотезой о российском следе согласны не все. Достоверно установить авторство вируса можно, только поймав хакера с поличным.

Некоторые злоумышленники специально внедряют в свой код иностранные символы, чтобы сбить экспертов со следа. Так поступили участники Lazarus (с высокой вероятностью, эта северокорейская группа стоит за созданием вымогателя WannaCry): по данным Group-IB, они среди прочего вставили в код одного из своих инструментов слово poluchit, перепутав его смысл с "отправить".

К слову, при обновлении M.E. Doc на компьютеры жертв загружался не только NotPetya, но и другой вирус, который в "Лаборатории Касперского" назвали FakeCry. Этот вирус притворяется китайским и даже содержит в коде фразу Made in China.

По мнению независимого исследователя Джонатана Николса, NotPetya - слишком простая кибератака для государства. "Ничего из публично доступных данных не противоречит тому, что эту кибератаку мог осуществить 200-килограммовый хакер с небольшими деньгами и копией [бесплатной операционной системы для защиты данных] Kali Linux", - пишет эксперт.

По его мнению, 10 тыс. долларов, которые в итоге собрали хакеры, - вполне приемлемая плата за риск на рынке киберпреступлений.

При этом Николс оговаривается: "Неспособность найти данные, подтверждающие, что нападение совершено государством, не исключает возможность того, что нападение совершено государством".