Вы здесь
Целью киберагрессии была попытка создать хаос в цифровой инфраструктуре Украины
Неделю назад масштабные хакерские нападения вызвали хаос в банках, больницах и правительственных учреждениях Украины, а затем распространились по всему миру. Для экспертов теперь уже очевидно: целью киберпреступления были не деньги. Но что тогда? И может ли эта кибератака быть предвестником чего-то гораздо более серьезного?
Утром во вторник, 27 июня, председатель совета директоров украинской компании по информационной безопасности ISSP Олег Деревянко был на Бессарабском рынке. Он собирался поехать за город к своим родителям, так как на следующий день на Украине был выходной - День Конституции.
Примерно в одиннадцать телефон Деревянко зазвонил. Это был представитель крупной телекоммуникационной компании, которая обслуживает государственный Ощадбанк - один из трех системно важных банков Украины.
Ощадбанк насчитывает 3650 филиалов и 2850 банкоматов по всей стране. Им требовалась срочная помощь: банк подвергся хакерской атаке.
"Я передал задание своей команде, - рассказывает Деревянко в интервью, которое он дал в офисе ISSP в один из самых жарких (во всех смыслах) дней лета. - И продолжил путешествие к родителям. Хакерские атаки происходят постоянно, и я не видел причин менять свои планы".
Ни Деревянко, ни кто-либо другой на Украине и представить не могли, что произойдет уже очень скоро: масштабная кибератака поразила украинские банки, энергосистемы, почтовые службы, государственные министерства, медиа-организации, главный аэропорт Киева, национальных провайдеров мобильной связи и даже Чернобыльскую АЭС.
От нее пострадали и другие страны мира, а последствия кибернападения ощущаются до сих пор, хотя даже неделю спустя не до конца понятно, какой была его цель и кто за ним стоял.
Примерно тогда, когда Олег Деревянко передавал просьбу Ощадбанка своим сотрудникам, о кибератаке стали сообщать и из других мест.
В 10:30 предупреждение поступило в ситуационный центр Совета национальной безопасности и обороны. А уже через тридцать минут эксперт по кибербезопасности пришел к председателю СНБО Александру Турчинову.
Тот дал команду применить последовательность действий, утвержденную Национальным координационным центром кибербезопасности на случай атаки.
На видеоконференции, которая состоялась сразу же, присутствовали руководители Государственной службы специальной связи и защиты информации, киберполиции, Службы безопасности Украины и штабов СНБО.
Между тем начальник Центра киберзащиты Роман Боярчук поручил специальной команде Компьютерной аварийной реабилитации Украины (Cert-UA) выяснить все, что известно о нападении.
Через несколько часов стало понятно, что атаке подверглась вся страна.
Пока Олег Деревянко ехал к своим родителям, его телефон не прекращал звонить. А когда его сотрудники начали докладывать о деталях нападения, Деревянко понял, что его выходной отменяется.
Съехав на обочину, он достал свой ноутбук и начал работать.
Образцы, собранные в компьютерной системе Ощадбанка, которые ему отправили сотрудники, озадачили Деревянко. "Мы сразу заметили некоторые признаки того, что это не атака с целью вымогательства", - пояснил он.
Дело в том, что обычно преступники заражают вирусом систему, а потом требуют выкуп за ее разблокировку. Так было с вирусом WannaCry в этом году, когда тот нанес удар по компьютерам во всем мире, в том числе - по Национальной службе здравоохранения Великобритании.
"Сначала я подумал, что это постоянная угроза повышенной сложности (один из видов кибератак. - Ред.), но вскоре понял, что для этого случая нам нужен новый термин", - рассказывает Олег Деревянко.
На следующий день компания ISSP предложила термин "массовая скоординированная кибератака" (Massive Coordinated Cyber Invasion). Он был нужен, чтобы отличить хаос, который произошел в информационных системах страны во вторник, от предыдущих атак на Украину в 2015 и 2016 годах.
По мнению Деревянко, главное отличие заключалось в том, что целью было обмануть и озадачить, при этом последовательность действий была частично автоматизирована.
Исследовательница Лесли Кархарт, которая уже более десяти лет специализируется на цифровой криминалистике и реагировании на кибератаки, добавляет, что самым сложным в последнем нападении была его стратегия.
"Технические средства распространения вируса, которые применили хакеры, хорошо известны, так же как методы борьбы с ними, - пояснила Лесли Кархарт в интервью BBC Future. - А вот что на самом деле было выполнено блестяще, так это определение целей нападения".
Новый вирус был способен перехватывать пароли, завладевать правами администраторов, удалять данные журнала, шифровать, а главное - находить необходимые ему программы на компьютерах и наносить удар выборочно.
Иными словами, он действовал гораздо более изысканно, чем типичные вредоносные программы.
Именно это беспокоит Деревянко больше всего.
"Удивительно то, что в организациях и сетях, пострадавших от вируса больше всего, были компьютеры, которых он не коснулся, - объясняет специалист. - Это очень сложно объяснить. Как вирусу удалось их обойти, а главное - почему?"
Пока украинские компании восстанавливали работу своих компьютерных сетей, специалисты по кибербезопасности в Европе и Америке начали постепенно осознавать, что это была не обычная атака, и ее последствия могут выйти за пределы украинских границ.
Между тем в Торонто специалист по вопросам стратегии глобальной безопасности компании Gigamon Кевин Мэги получил первое предостережение. Во время совещания в финансовом центре города один из его коллег посмотрел в свой телефон и раздраженно воскликнул: "Ну вот, опять вирус Petya".
Вредоносная программа-вымогатель под названием Petya известна с 2016 года. Однако на этот раз речь шла о ее модифицированной версии.
Сначала никто не придал этому значения, но уже через 30 минут телефоны начали "разрываться" у всех участников совещания.
"Я заглянул в свой телефон, в папке "Входящие" была куча писем с вопросами и обновлениями, Twitter также мигал уведомлениями. Стало очевидно, что мы имеем дело с чем-то серьезным", - сказал Мэги.
Кибератака, направленная на Украину, затем пересекла Атлантику. В офисе международной юридической компании DLA Piper в Вашингтоне появилось объявление "НЕ включайте компьютеры!".
Специалист по вопросам государственной кибербезопасности из американского аналитического центра "Атлантический совет" Бо Вудс рассказал BBC Future, что изначально предполагал несколько сценариев развития событий.
Это могла быть та самая группа хакеров, которая распространяла предыдущие версии вируса Petya, или же кто-то другой, кто замаскировал свою вредоносную программу под этот вирус.
Возможно, главной мишенью была Украина, а остальной мир просто почувствовал отголоски атаки. А может, Украина стала лишь первой среди многих стран, которые еще пострадают от нападения.
На следующий день картина стала более понятной.
"Вредоносная программа не была похожа на обычные вирусы-вымогатели, или по крайней мере это была какая-то очень неудачная версия такого вируса. К тому же, она атаковала преимущественно государственные институты и компании. Все это указывает на то, что ее целью были не деньги", - пояснил Джонатан Николс, бывший американский военный IT-эксперт.
В тот же день сотрудники Лаборатории Касперского и известный специалист по кибербезопасности Мэтт Суйше подтвердили на своих страницах в соцсетях, что вирус был лишь замаскирован под программу-вымогатель - то, о чем Деревянко рассказал Би-би-си еще накануне.
"Наш анализ показывает, что главная цель атаки - не финансовая выгода, а массовое повреждение систем", - заявил пресс-секретарь Лаборатории Касперского.
Иными словами, хакеры пытались создать хаос в цифровой инфраструктуре Украины, чтобы усложнить работу предприятий и парализовать государственные институты.
Мэтт Суйше позже связался с Би-би-си и добавил, что, по его мнению, атака была направлена именно против Украины.
Когда детали начали проясняться, Бо Вудс прислал в редакцию BBC Future сообщение с единственным вопросом: "Если мотивом были не деньги, тогда что?"
28 июня начали поступать данные о последствиях атаки.
Гигантская международная судоходная компания Maersk подтвердила на своей странице в "Твиттере", что также подверглась нападению и многие сервисы компании "не функционируют должным образом".
В Maersk, как и в нескольких других транснациональных корпорациях, которые пострадали от кибератак, отказались дать интервью Би-би-си.
Ощадбанк, сообщивший о нападении одним из первых, на несколько дней закрыл более трех тысяч своих отделений, хотя онлайн-банкинг функционировал без сбоев.
Директор департамента информационных технологий банка ПУМБ Андрей Бегунов заявил, что за 23 года работы в банковской и ІТ-отрасли Украины это была худшая ситуация, которую он когда-либо видел. Хотя ПУМБ не пострадал от нападения, хаос в сетях конкурирующих банков шокировал Бегунова.
Даже в США вирус нанес ущерб одной из сетей здравоохранения, в которой работают 3500 сотрудников и в которую входят две больницы, 60 врачебных кабинетов и 18 коммунальных объектов. Многие пациенты не получили необходимые процедуры вовремя.
Министр здравоохранения Украины Ульяна Супрун заявила Би-би-си, что ее ведомство вынуждено работать, как 30 лет назад, с ручкой и бумагой.
Среди важных задач этого министерства - централизованное распределение медикаментов по всем 24 регионам Украины. "Теперь мы можем делать это только вручную и общаться только по телефону, что очень замедляет и усложняет работу", - рассказала Супрун.
"Люди не могут получить медицинскую документацию, поскольку наша компьютерная система не работает. Я не могу собрать статистику для конференции по проблемам СПИДа, на которой я должна быть на этой неделе. Я даже не могу сказать вам, какие больницы также пострадали от нападения, поскольку они просто не могут связаться с нами", - объясняла ситуацию министр.
В течение недели после нападения редакция BBC Future провела более 25 интервью с экспертами по кибербезопасности. Все они сошлись на двух вещах: целью нападения были не деньги, и оно было направлено именно против Украины.
Но два этих вывода поднимают много других вопросов.
Свидетельствует ли разрушительный характер атаки, осуществленной в международных масштабах, об использовании кибероружия?
Для специалиста из Торонто Кевина Мэги это очевидно. "Я уверен, что это было что-то вроде испытания. Кто-то создает арсенал кибероружия и, чтобы отвлечь людей, замаскировал атаку под обычный вирус-вымогатель".
Другие не согласны с этой гипотезой. "Если целое государство планирует нападение на врага, зачем посылать предупредительные выстрелы и создавать огласку?" - спрашивает Брайан Гонан, независимый консультант по вопросам информационной безопасности из Ирландии.
Опытный эксперт по кибербезопасности Николас Уивер, который специализируется на "червях" (вредоносное программное обеспечение), считает, что разрушительность этого вируса позволяет отнести его к оружию.
"Если кто-то хотел нанести удар по украинскому бизнесу, - говорит эксперт, - лучше червя ничего не придумать".
Итак, была ли цель нападения политической, и в таком случае было ли оно спланировано, организовано и профинансировано на государственном уровне?
2 июля Служба безопасности Украины сообщила, что располагает доказательствами участия России в кибератаке. Москва отрицает любую причастность, назвав такие утверждения безосновательными.
Если за нападением стоит целое государство и если действительно речь идет об использовании кибероружия, тогда, возможно, мы вступаем в новую эпоху в геополитике.
Как тогда это нападение классифицировать в общепринятых военных терминах или терминах разведки? И можно ли это считать актом агрессии?
А если из-за него пострадали учреждения здравоохранения и гражданские институты, можно ли назвать это военным преступлением?
"Это важные вопросы, - отмечает Бо Вудс. - Солдаты не стреляют в сотрудников Красного Креста на поле боя, потому что это - прямой путь в Гаагу. Я не юрист, но мне кажется, что этот случай был серьезным правонарушением".
"Десятилетиями, даже столетиями оказание медицинской помощи считалось неотъемлемым и неприкосновенным правом человека. Больница - это святое. И, следовательно, мы не можем не отреагировать на то, что произошло", - добавил он.
Эксперты, с которыми мы общались, отметили, что для осуществления такой кибератаки нужно 10-20 человек.
"Чтобы полностью провернуть такую операцию, - объясняет Роберт Ли, специалист по кибербезопасности компании Dragos, - нужно руководство, вспомогательное подразделение, финансисты и другие специалисты. Команда где-то из 10 человек. Но, в принципе, чтобы написать вредоносную программу, хватит и пяти программистов".
Для Олега Деревянко эта атака стала лишь очередным подтверждением того, о чем он предупреждал представителей украинской власти еще три года назад.
"Еще в 2014 году я говорил многим высокопоставленным чиновникам, что мы должны готовить специалистов, способных реагировать на кибератаки такого уровня, - говорит Деревянко. - Я предупреждал, что если мы не начнем прямо сейчас, через три года масштабные кибератаки государственного уровня станут регулярными".
Служба безопасности Украины и американская компания FireEye полагают, что за вирусом NotPetya стоят российские спецслужбы. В НАТО также видят следы государства в этой атаке, больше всего ударившей по Украине.
На основании сходства Black Energy и NotPetya Служба безопасности Украины заявила, что к созданию последнего причастны российские спецслужбы. Ту же мысль высказал представитель американской компании FireEye Джон Уоттерс в комментарии Financial Times.
"Это убийца, маскирующийся под вирус-вымогатель. И мы вполне уверены, что это дело рук России", - заявил Уотерс.
Ранее украинские власти обвиняли в кибератаках на свою инфраструктуру 16-й и 18-й центры ФСБ РФ, отвечающие за информационную безопасность, криптографию и шифрование каналов передачи данных.
Агентство по кибербезопасноссти НАТО (CCDOE) заявило, что за созданием NotPetya стоит "государственный актор", не уточняя, что именно имеется в виду. "Российская компания "Роснефть" тоже была заражена, - говорится в заявлении. - Но заражение было имело очевидно ограниченный (маскирующий?) эффект и нанесло мало ущерба".