За словами дослідників безпеки, вірусна атака, яка вбила системне забезпечення щонайменше 2000 осіб і організацій у всьому світі у вівторок, була навмисно спроектована для того, щоб пошкодити ІТ-системи, а не вимагати кошти.
Напад почався в Україні і поширився через зламаного українського розробника програмного забезпечення для бухгалтерського обліку на компанії в Росії, Західній Європі та США. Програмне забезпечення зажадало оплату 300 доларів США (230 фунтів стерлінгів) для відновлення файлів і налаштувань користувача.
За словами хакера-дослідника, відомого як «grugq», передові методи вторгнення шкідливого ПО різко контрастували з його рудиментарної інфраструктурою платежів.
Дослідник сказав, що програмне забезпечення «безумовно не призначене для заробляння грошей», але «швидко поширюється і завдає шкоди», використовуючи правдоподібно неприйнятну оболонку «викупки».
Цей аналіз був підтриманий академіком UC Berkley Ніколасом Уівером, який розповів блогу Infosec Krebs on Security: «Я готовий стверджувати з помірною упевненістю, що це була навмисна, зловмисна, руйнівна атака або, можливо, тест, замаскований під викуп».
Вірус вимагає, щоб заражені користувачі відправляли $ 300 в біткойнах на адресу, яка відображається у програмному забезпеченні. Адреса для відправки платежу і 60-значний «персональний ключ установки» з урахуванням регістра представлені тільки в тексті на екрані викупу і вимагають, щоб повідомлення електронної пошти з підтвердженням відправлялося на адресу, розміщений німецьким поштовим провайдером Posteo.
«Якби цей добре спроектований і високотехнологічний черв’як був призначений для отримання доходу, цей платіжний трубопровід був, можливо, найгіршим з усіх варіантів (крім «відправити персональний чек на: Petya Payments, PO Box … »)», – сказав «grugq». На відміну від платіжної інфраструктури, методи зараження шкідливими програмами були ретельно опрацьовані, щоб завдати максимального збитку мереж, в які він проникає.
Більшість ransomware залишають операційну систему неушкодженої при шифруванні окремих файлів, але Petya шифрує цілі частини жорсткого диска жертви. Він замінює головний завантажувальний запис комп’ютера, блокуючи користувача з операційної системи. Потім таблиця головного файлу шифрується, і комп’ютер не може знайти будь-який файл жертви. Користувачеві пропонується унікальний код, який можна ввести на сайт дешифрування, щоб відправити платіж. Інструкції завжди пропонуються в ясних і стислих виразах – чим складніше процес, тим менше буде отримано платежів.
Як тільки Petya завантажується, користувачеві пропонується дати управління обліковим записом користувача шкідливого ПЗ. Якщо користувач натискає «Так», ініціюється Петя і починається вищезгаданий процес. Якщо вони замість цього натискають «Ні», може створитися резервна копія шкідливого ПО, відома як Mischa. Це шкідливе ПЗ має більш типову різноманітність і шифрує окремі файли, перш ніж запитувати у потерпілого платіжні інструкції зсередини операційної системи.
Якщо жертва була заражена Мішею і відправила платіж, їм мало бути надано пароль для дешифрування файлів. Якщо ПК заражений Petya, пароль розшифровує таблицю основних файлів і відновлює головний завантажувальний запис. У будь-якому випадку, виплата викупу мала призвести до того, що користувач отримує повний доступ до своїх файлів, не жертвуючи постійним збитком.
Але те, що мотивувало зловмисного NotPetya, було не грошима. Оцінка grugq була підтверджена в середу аналітиками шкідливого ПО «Лабораторії Касперського» Антоном Івановим і Орханом Мамедовим, які стверджують, що жертви шкідливого ПО NotPetya не змогли відновити свої файли, навіть якщо викуп був сплачений.
Ці оцінки показують, що NotPetya – це «очищувач», призначений спеціально для знищення даних, а не для отримання доходу. «Ми вважаємо, що викуп був, по суті, приманкою, щоб контролювати оповідання в засобах масової інформації, особливо після інцидентів з WannaCry, та привертати увагу до якоїсь загадкової хакерської групи, а не до державного нападника», – писав Matthieu Suiche, засновник Comae Technologies.
Іншими словами, його оцінка полягає в тому, що NotPetya – це робота урядових хакерів, які використовували «викуп» в якості маскування для проведення складної кібератаки з метою нанесення максимального збитку. Suiche пише, що, на його думку, мета цього виверту полягала в тому, щоб «контролювати розповідь про напад», тобто, хакери, які стояли за нею, намагалися ввести в оману пресу. Що стосується того, хто може бути відповідальним, атрибуція, як завжди, залишається проблематичною. Однак видається, що пацієнт-нуль може бути української програмної фірмою під назвою MeDoc, хоча компанія спростувала це твердження в повідомленні Facebook у вівторок.
На думку кількох експертів, спалах почалася після того, як MeDoc був зламаний, і NotPetya була випущена для своїх клієнтів через оновлення програмного забезпечення. Напади такого роду, покликані пошкодити репутацію компанії шляхом нанесення шкоди її клієнтам, – це те, що відомо як «атака ланцюжка поставок».
Деякі з них торкнулися Росії, вказуючи, що вірус NotPetya в нафтовому секторі Росії, був знешкоджений з підозрілою легкістю. «Це диво!» саркастично оголосив Grugq у вівторок.
Оскільки засоби масової інформації були обмануті, допомагаючи покривати сліди відповідальних осіб – по крайней мере, на якийсь час – тепер питання полягає в тому, чи зможуть репортери навчитися захищати себе (і читачів) від держав, що використовують цей унікальний тип маніпуляцій.
Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.