Два роки після NotPetya. Кібератаки не припиняються ні на мить

9 серпня 2019, 14:30

Не видно гучних атак — посилюйте захист

Два роки минуло, відколи Україна пережила найбільшу масову кібератаку в історії, відому під назвою NotPetya. 27 червня 2017 року було виведено з ладу близько 10% комп’ютерів в Україні. Після NotPetya гучних атак не спостерігається, і в багатьох виникають запитання: що це означає? Україна перестала бути полігоном? Ми навчилися ефективно захищатися? Чим тепер зайняті ті, хто атакував Україну?

Відео дня

Україна — полігон для кібервійни?

У 2016−2017 роках Україну називали полігоном для випробування сучасних засобів ведення кібервійни. Кіберзлочинці протягом кількох років атакували електростанції, об'єкти транспортної інфраструктури, державні фінансові установи. Тому зараз важливо розуміти, що якщо Україну і використовували в якості полігону, то це не могло тривати вічно. Полігон не буде постійно ціллю атак. Технології, що тестувалися в Україні, будуть застосовуватися у всьому світі.

Той факт, що з часів NotPetya в Україні не було жодної гучної атаки, не свідчить про те, що зловмисники припинили свою активність

Коли зловмисники діяли в Україні, їм потрібно було випробувати працездатність методів та інструментів, які вони тестували. І коли в 2016 році зловмисники посеред ночі зупинили роботу електростанції в Києві, це не надто вплинуло на сотень тисяч українців, у яких зникло світло. Але той факт, що з часів NotPetya в Україні не було жодної гучної атаки, не свідчить про те, що зловмисники припинили свою активність. Навпаки, це повинно викликати стурбованість, адже може свідчити про активну роботу на прихованих стадіях атаки.

Як працюють кібератаки

Важливо розуміти, що спрямована атака може тривати 6−12 місяців, і її початкові етапи — проникнення, вивчення і захоплення інфраструктури — найчастіше невидимі. Жертви бачать лише кінцеві фази, наприклад, знищення інфраструктури чи шифрування даних, вимогу викупу. Але навіть кінцеві фази можуть залишатися невидимими, коли, наприклад, зловмиснику потрібно проникнути в організацію, викрасти певні дані та непомітно зникнути. Тому в даний час теж тривають випробовування нових технологій, нові проникнення і захоплення інфраструктур, ми це знаємо напевно. Після атаки NotPetya багато хто вважає, що якщо немає гучного колапсу, як це було в червні 2017 року, то і атак немає. Насправді, зловмисна активність у кіберпросторі не спиняється ні на мить.

NotPetya. Приховані наслідки

Суть і ціль атаки, відомої під назвою NotPetya, не всі розуміють. Відбувся тотальний колапс, і більшість вважає, що зупинити роботу комп’ютерів і було ціллю зловмисників. А насправді події 27 червня 2017 року, викликані вірусом NotPetya, були лише останнім етапом значно більшої кібер операції. По суті, це було просто зачищенням слідів своєї роботи та випробування масової скоординованої атаки. Кіберпростір в Україні зазнав настільки масштабних втрат, що все це виглядає як димова завіса. І страшно не те, що зловмисники фактично зупинили роботу багатьох організацій. Найбільшу загрозу становить період у кілька місяців перед цим зачищенням. Тому що через бекдор в оновленні програмного забезпечення MeDoc зловмисники отримали доступ до величезної кількості інфраструктур, і що саме вони там робили, які інструменти запускали, яких сплячих агентів залишали, щоб повернутися в організацію, залишається питанням. Тому що завдяки NotPetya вони прибрали сліди своєї присутності, ускладнили проведення розслідування істинних причин та цілей атаки. Цікавим нюансом у цій історії є те, що в деяких організаціях близько 10% інфраструктури вціліло завдяки вакцині (яка знаходилась у файлі perfc. dat), яку свідомо залишили зловмисники до початку запуску NotPetya.

poster
Дайджест головних новин
Безкоштовна email-розсилка лише відбірних матеріалів від редакторів NV
Розсилка відправляється з понеділка по п'ятницю

Важливо відзначити також, що коли в Україні відбувалася атака через програмне забезпечення MeDoc, у цей же час проходила аналогічна атака через CCleaner. Це програмне забезпечення стоїть на мільйонах комп’ютерів у всьому світі, включаючи найвищі державні органи у США та інших країнах. Це була подібна атака, і проходила вона в аналогічний період. Зловмисники проникли у сотні тисяч організацій, і лише в 11 із них було виявлено, що атака перейшла на наступний рівень, зловмисники, зокрема, включили Keyloger, який збирав усі натиснення клавіш.

Тактика кібератак змінилася

Тобто тактика боротьби у кіберпросторі змінилася. Сьогодні не потрібно захоплювати кожну окрему організацію. Достатньо «захопити» постачальника програмного продукту чи сервісу для тисяч інших організацій, вбудувати бекдор, і тоді кожен комп’ютер, на якому використовується ця програма, буде інфіковано через її оновлення.

Атака NotPetya навчила нас, що постачальники ІТ послуг можуть слугувати методом проникнення в багато організацій, і частина великих компаній почала застосовувати інструменти і технології, щоб ізолювати своїх постачальників або краще їх контролювати. Такі аудити кібербезпеки також важливо проводити, наприклад, під час вибору нових підрядників.

Атаку NotPetya здійснили угрупування, що діяли на замовлення іншої держави, але потрібно пам’ятати, що окрім цих є ще такі категорії зловмисників, як кримінальні злочинці та хактивісти. Вони теж продовжують діяти. Тому ця активність у кіберпросторі України залишається дуже високою і потребує серйозної роботи з захисту інформаційних мереж і систем.

Спеціально для НВ Бізнес

Більше поглядів — у розділі Експерти НВ Бізнес

Показати ще новини
Радіо NV
X