Хакерские атаки на Украину в 2017 году. Какие выводы были сделаны?

Данная статья не о политике. Она об информационной безопасности, но так случилось, что недавние события в Украине и связанные с ними трансформации, подняли вопросы, которые вряд ли бы поднимались на протяжении ближайших лет. Многие помнят 2014-2015 гг, когда стремительней банкротства банков падали только памятники Ленину. В это же время, банки, которым не угрожала ликвидация, больше думали о физических средствах защиты, чем о киберугрозах.

Удар из тени. Petya or Not Petya

Самые тяжелые времена миновали, многие предприятия стали демонстрировать позитивную динамику, жизнь налаживалась, и тут произошло то, чего никто не ждал. Конечно, может кто-то и ждал, но не знал откуда именно придет зло. Штатное обновление бухгалтерской программы M.E.doc, которая повсеместно используется в Украине и только в Украине, таило в себе огромные опасности, а именно целенаправленную масштабную хакерскую атаку на сети украинских государственных учреждений, банков, медиа и множество других предприятий.

В Microsoft подтвердили, что источником атаки послужила система автоматического обновления программы M.E.doc, запущенная 27 июня 2017 года. Также известны случаи распространения вируса через фишинговые письма от имени адресатов, с которыми ранее велась переписка. В этих письмах присутствовали ссылки на загрузку вредоносных приложений.

За первые сутки атаки в Департамент киберполиции Украины поступило более тысячи сообщений о вмешательстве в работу компьютерных сетей, что привело к сбоям в работе или полному выходу их из строя, только 43 компании из пострадавших делу дали официальный ход.

Специалисты компании Protectimus имеют сведения о множестве подобных случаев, которые не были преданы огласке. Это связано с тем, что многие понимают, что виновные вряд ли будут найдены и в любом случае это не поможет спасти данные. Все силы бросались на спасение данных, которые на тот момент оставались еще нетронутыми. И если быть откровенным, то мало кто хочет получить репутационные последствия от взлома.

| Читайте также: Вирус Petya.A — как это было

Не стоит винить болезнь — развивай иммунитет или кто виноват

Disclaimer: Автор не является судьей и выражает личное мнение о степени виновности тех или иных лиц. Пусть компетентные органы определят степень вины каждого участника.

Поиск виновных неблагодарное дело, но все же… В первую очередь, виноват тот, кто написал и внедрил вредоносный код в обновление программного обеспечения. Не стоит также забывать о тех, кто позволил внести и распространить код. Также есть вопрос к органам, которые не определили вектор возможной атаки на всю корпоративную систему Украины.

А теперь давайте посмотрим на авторов этого вируса с другой стороны. Восторгаться действиями преступников не будем, но отметить профессионально написанный код зловреда стоит. Удачно определенный вектор атаки, а именно дыру в Windows, бухгалтерский софт, который был выбран для осуществления атаки, требует отдельного упоминания.

По состоянию на 14:00 по Киевскому времени 28 июня злоумышленник получил около $10 тыс.

Понятно, что целью хакеров было не получение выкупов за расшифровку данных жертв, а что-то большее… вывод из строя сетей предприятий, уничтожение данных, блокировка объектов инфраструктуры, нарушение нормальной работы крупных государственных и частных учреждений.

На следующий день Кабинет Министров Украины сообщил, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена.

Атака может быть и была остановлена, но ее последствия еще долго давали о себе знать. Так, например, международная отправка посылок Укрпочтой еще две недели осуществлялась в ручном режиме.

| Читайте также: Вирус-шифровальщик – платить или нет

Можно ли было предотвратить данную атаку?

Да, если бы каждый на своем месте выполнял качественно свою работу. В данном случае, все, что необходимо было сделать системному администратору — выполнить вовремя бесплатное обновление операционной системы под названием “MS17-010: Обновление безопасности для Windows SMB Server”, которое появилось 14 марта 2017 г.

Почему 105 дней не хватило на обновление системы?

Ровно столько прошло времени от появления патча до атаки. Прародитель данного вируса WannaCry (также известен как WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств был распространен еще 12 мая 2017 года. Данное событие сложно было не заметить, т.к. оно имело широкий мировой резонанс, а сам механизм работы вирусов-вымогателей был описан еще в апреле 2016 года в блоге компании «Malwarebytes Labs».

14 марта 2017г. — появление официального патча
12 мая 2017г. — распространение WannaCry
27 июня 2017г. — кибератака на Украину

Вопрос “почему?” носит риторический характер, но давайте вместе попробуем определить причины:

  1. Заскорузлое мышление руководства компаний и IT-руководителей. Под “заскорузлым” тут понимается неспособность восприятия и противодействия современным угрозам. Зачастую многие ответственные воспринимают требования к безопасности не как реальную защиту от возможных угроз, а как инструментарий для различных препятствий от контролирующих органов. Из этого вытекает следующая проблема.
  2. Формализм — болезнь поразившая общество.
  3. Кто-то может сказать о безнаказанности ответственных, но тут причина может крыться в банальном отсутствии специалистов из-за постоянного процесса перетекания лучших IT-специалистов в аутсорс или IT-продуктовые компании. Это связано со значительно лучшими условиями оплаты труда при работе на иностранного заказчика, чем на отечественного.
  4. Пренебрежение элементарными правилами работы с корпоративными ресурсами и при работе в сети Интернет.
  5. Основной причиной является отсутствие системного подхода при организации безопасности предприятия. Эксперты по кибербезопасности, и не только они, знают, что обновления программного обеспечения должны быть проверены в тестовой среде, затем на пилотной группе пользователей. Только после всех этих шагов, они могут попасть в продакшин.

Также стоит отметить тот факт, что повсеместное использования операционной системы Windows, которая архитектурно “поддерживает” распространение подобных эпидемий, позволило иметь место данному инциденту.

Судьба уберегла Украину, данная атака не привела к человеческим жертвам и подстегнула руководство страны, предприятий всех форм собственности задуматься о незащищенности перед современными киберугрозами. Как результат, в ходе проделанного анализа появился ряд законов: “О Национальном банке Украины”, “О банках и банковской деятельности”, “О защите информации в электрокоммуникационных системах”, “Об основах национальной безопасности” и множество положений, актов и законов, которые направлены на регулирование вопросов информационной безопасности, в частности Постановление НБУ №95 об организации мер по обеспечению информационной безопасности в банковской системе Украины. Сделан хороший задел, осталось проконтролировать, чтобы предприятия и банки из-за проблем, описанных выше, не “похоронили” благое дело. Верим в лучшее.

Дополнительные материалы:

Subscribe To Our Newsletter

Join our mailing list to receive the latest news and updates from our team.

You have Successfully Subscribed!

Author: Maxim Oliynyk

Максим работал в ИТ-индустрии много лет. И в один прекрасный день к нему пришла идея сделать удобный и доступный сервис двухфакторной аутентификации. Он собрал вокруг себя талантливых единомышленников. Немного времени + много труда и денежных средств + миллион экспериментов . Вуаля! Protectimus появился на свет! Еще немного времени и труда и Protectimus уже не уступает, а часто и превосходит бывших лидеров индустрии.

Share This Post On

2 комментария

  1. перепутали местами даты и события
    в стаье указано (синий блок) :
    12 мая 2017г. — распространение WannaCry
    27 июня 2017г. — появление официального патча
    14 марта 2017г. — кибератака на Украину

    на самом деле
    14 марта 2017г. — появление официального патча
    12 мая 2017г. — распространение WannaCry
    27 июня 2017г. — кибератака на Украину

    Ответить
    • Павел, спасибо, статью поправили.

      Ответить

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This