Украина до сих пор полностью не оправилась от масштабной хакерской атаки, которая началась во вторник, 27 июня, накануне Дня Конституции. Из-за вируса под названием Petya работа десятков украинских банков, медиаресурсов, сайтов государственных органов и многих негосударственных предприятий оказалась замороженной.
Некоторые предприятия устраняют последствия "заражения" до сих пор. К примеру, отделения "Ощадбанка" только сегодня заработали в обычном режиме после кибератаки. Всего, по официальным данным Microsoft, было заражено почти 13 тысяч компьютеров. СБУ до сих пор работает над локализацией распространения вредоносного программного обеспечения вместе со специалистами из США и Европола.
Спустя неделю после кибератаки "Страна" собрала новые подробности о вирусе, которые парализовал работу многих украинских компаний, и поговорила с экспертами о вызовах и последствиях заражения Petya.
Кто стоит за "Петей"
Специалисты сразу отметили сходство вируса Petya с "шифровальщиком" WannaCry, который в мае заблокировал работу сотен учреждений в Европе и нанес миллиардный ущерб мировой экономике.
Но распространение вируса Petya оказалось быстрее и масштабнее: только в Украине он заразил около 13 тысяч компьютеров на базе Windows. Компьютеры перегружались, а вся информация на них зашифровывалась.
Но стоит отметить, что пострадала от Petya не одна Украина – также Германия, Польша, Румыния, Россия и другие страны мира. Но три четверти всех заражений пришлись именно на нашу страну.
Кто стоит за хакерской атакой и какая цель перед ней стояла, до сих пор доподлинно неизвестно.
Хотя уже в первые часы распространения вируса советник министра МВД Антон Геращенко заявил, что кибератака была организована со стороны спецслужб РФ. Многие украинские политики также предполагают, что за нападением могут стоять российские спецслужбы или близкие к ним хакерские группировки. Позже эту версию объявили и в Службе безопасности Украины.
Впрочем, это не объясняет того факта, что от вируса Petya пострадали и российские компании, в частности, "Роснефть".
Известно, что вирус использовал уязвимость, которой пользовались американские спецслужбы (NSA) в своих интересах. "Но в прошлом году NSA сами стали жертвами утечки данных, и наружу вытекла информация о куче "дырок", которыми они пользовались (от "дырок" в смартфонах до телевизоров). В том числе стала публичной информация об этой конкретной уязвимости в Windows, которую использовал недавно и WannaCry, и этот Petya", — сообщил в интервью "Стране" Дмитрий Дубилет, бывший IT-директор "ПриватБанка", а ныне — координатор проекта iGov и сооснователь Fintech Band.
О том, то вирус Petya был разработан американскими спецслужбами, а потом украден хакерами, написала и "Нью-Йорк Таймс".
Немецкое Федеральное управление по информационной безопасности (BSI) и департамент киберполиции Украины назвали главным источником кибератаки украинскую программу бухгалтерской отчётности M.E.Doc, в обновлениях которой якобы и "спрятался" вирус.
"Источник и главное направление кибератаки, по всей видимости, находятся в Украине, хотя нападение и приобрело глобальные масштабы", — говорится в заявлении BSI, опубликованном на официальном сайте организации.
Глава комитета по электронной коммерции интернет-ассоциации Украины, президент компании "Интернет инвест" Александр Ольшанский также уверен, что вирус распространился главным образом через M.E.Doc. "Но важно понимать, что любая программа, которая установлена у большого количества людей и апдейтится (обновляется) – это потенциальная угроза", – говорит "Стране" эксперт.
Впрочем, в компании M.E.Doc отрицают причастность к распространению вируса Petya и утверждают, что сами подверглись заражению.
"Исходный код программы "M.E.Doc" не содержит команды запуска приложения Windows rundll32.exe, на который, как на причину атаки, ссылается Microsoft TechNet. Таким образом, в данной статье отсутствует обвинение программы "M.E.Doc" как источника заражения. Единственное, о чем говорит статья - это иллюстрация того, что программа "M.E.Doc" запущена на ранее зараженном компьютере и, соответственно, сама подверглась заражению", – говорится в пресс-релизе на официальном сайте компании.
Впрочем, известно, что в мае этого года через систему обновления M.E.Doc распространялся аналогичный вирус-вымогатель XData.
Однако эксперты отмечают, что обновления M.E.Doc были лишь одним из аккумуляторов заражения. "Вирус мог проникнуть в систему, если кто-то из сотрудников открыл сообщения на электронной почте с исполнительными файлами, но это могли быть и другие программы, не только M.E.Doc. Пока что изучение путей проникновения Petya.A продолжается, и однозначно сказать, кто виноват и кто за этим стоит, сложно", – комментирует "Стране" директор ИнАУ Александр Федиенко.
Страшный сон бухгалтера
В сложной ситуации оказался украинский бизнес. Ведь до 30 июня компании должны были зарегистрировать налоговые накладные в Государственной фискальной службе. Ровно за три дня до дедлайна украинские предприятия пострадали от кибератаки вируса Petyа.А, который заблокировал все документы на компьютерах. В результате многие украинские предприятия не смогли подготовить накладные в срок.
"Случилась правовая коллизия. С одной стороны, у нас проблема национального масштаба, и все понимают, что это форс-мажор. А с другой стороны – непоколебимая Госфискальная служба, которая обязывает всех подавать отчетности вовремя. ГФС ситуацию с вирусом не признает чрезвычайной, да и полномочий на это у нее фактически нет. Так что те компании, которые просрочат дедлайн, обязаны будут выплатить штраф. Бизнес стал заложником ситуации", – объясняет Александр Федиенко.
От кибератаки пострадало огромное количество предприятий. По официальным данным Microsoft было заражено 12 500 компьютеров. 1508 юридических и физических лиц подали жалобы в киберполиции по поводу атаки вируса Petya. К каждой из этих компаний в ГФС будут претензии, даже если они пострадали от вируса. И законных оснований для защиты бизнеса в данной ситуации нет.
Штраф за просрочку регистрации налоговых накладных – от 10 до 40% от суммы НДС, указанной в накладной, в зависимости от срока просрочки. За непредставление отчетов (если нарушили впервые), штраф 170 гривен, если повторно в течение года – 1020 гривен.
"По-хорошему, в данной ситуации Фискальная служба должна была бы пойти навстречу компаниям и продлить на три дня период подачи отчетности. Мне кажется, это можно было бы сделать", – отмечает Александр Ольшанский.
В ГФС вроде как и готовы сделать исключение, однако утверждают, что для переноса срока подачи накладных нужно "системное решение". Что это значит?
"Единственный законный путь для освобождения налогоплательщиков от штрафов в связи с Petya - принятие решения на уровне Верховной Рады. Его нет", – говорится в блоге для "Opendatabot" Натальи Радченко, партнера практики налогового права в Jusсutum, и Александра Федиенко. – Киберполиции, как и ДФС, также могут обратиться в Кабинет Министров и Министерство Финансов для инициирования нормативного документа, который сможет урегулировать ситуацию. Для этого нужно, чтобы явление стало массовым, но никто не знает, что это значит".
Обжаловать санкции ГФС можно будет только в судебном порядке. В таком случае, компаниям понадобятся две справки: от киберполиции (о последствиях вирусной атаки), и от Торгово-промышленной палаты (о том, что последствия вирусной атаки для компании считаются форс-мажором).
"Проверьте остатки по депозитам"
Изначально хакеры требовали выкуп за ключ разблокировки зараженных компьютеров в размере $300 в биткоинах. Отметим, что те компании, которые перечислили вымогателям деньги, ключа от них так и не получили.
При этом из-за колебаний курса биткоина вымогатели потеряли часть выкупа. Если еще утром 29 июня их прибыль составляла $12 тысяч, то уже к вечеру – чуть больше $10 тысяч.
Впрочем, эксперты делают вывод, что деньги и не были основным мотивом инициаторов глобальной кибератаки. К технической стороне вопроса вымогатели подошли грамотно, а вот к финансовой – подозрительно халатно.
"Следователи до сих пор не могут установить инициаторов последней глобальной кибератаки, но стратегия нападающих указывает, что не деньги были основным мотивом их действий", – говорится в сообщении главы Глобальной программы Организации Объединенных Наций (ООН) по киберпреступности Нил Уолш.
Программное обеспечение, использованное во время атаки, было значительно сложнее, чем то, которое использовалось в предыдущих атаках с применением вируса WannaCry. Но, по мнению Нила Улоша, инициаторы новой атаки не опытны в вопросе сбора выкупа от жертв в обмен на разблокирование их компьютеров. Это, по его словам, позволило 28 июня заблокировать учетную запись и сделать невозможным получение денег.
По мнению IT-экспертов, с которыми поговорила "Страна", так как вирус поразил не единичные компании и не ограничился банковскими учреждениями, хакеры намерены были нанести ущерб всей экономике Украины.
"Чего хотят добиться хакеры – это скорее вопрос к психологам. Я не знаю. Но сейчас они уже добились того, что в экономике страны случился коллапс. Все застыло. Эта атака, я считаю, была сделала из экономических побуждений, нанести ущерб целой стране, а не отдельным компаниям. Скорее всего, эта атака приведет к большим экономическим убыткам. Это элемент терроризма. Кибер-терроризм", – заявил Александр Федиенко.
Пока доподлинно неизвестно, сколько денег потеряла экономика Украины за время вирусной атаки, когда вышли из строя компьютерные системы многих компаний.
Но эксперты отмечают, что пострадать от хакерской атаки незаметно для самих себя могли и рядовые граждане Украины. По их словам, "падением" компьютерных систем хакеры могли отвлечь внимание от незаконного проникновения в различные госреестры.
"Поскольку вся система в тот день (27 июня – Прим.ред.) подверглась атаке и долгое время была недоступна нотариусам, такой лазейкой могли воспользоваться злоумышленники. Советую людям, у которых есть недвижимость и другое ценное имущество, проверить свои документы", — передает слова адвоката Ивана Либермана "Вести".
А Олег Гороховский, экс-первый замглавы правления "ПриватБанка" (который от вируса Petya.A не пострадал), посоветовал украинцам на всякий случай проверить свои остатки на банковских счетах.
"Когда я слышу, что некоторые банки останавливались, а теперь "постепенно восстанавливаются" у меня сомнения, что все клиентские счета восстановлены корректно. Советую просто проверить свои остатки по картам, кредитам и депозитам. Результаты могут вас удивить. А банкам рекомендую всерьез заняться ИТ. Банк 21-го века не может зависеть от того, в отпуске или нет сотрудник аутсорсинговой компании из России", – написал на своей странице в Фейсбук Олег Гороховский.
По мнению же Сергея Креймера, президента Association of Troubleshooters, целью вируса было не уничтожение данных, не завладение имуществом и не деньги – шпионство. По словам эксперта, злоумышленники получили контроль над всеми зараженными компьютерами и даже после возобновления работы могут ими управлять.
"Основная версия всех экспертов сводится к тому, что в последней вирусной атаке главным было поразить как можно больше компьютеров вредоносным кодом вируса-вымогателя. Однако даже после очистки компьютера от вируса-шифровальщика и возобновления работы, все равно на компьютерах остался вредоносный код типа Троян с функцией проверки открытых портов для обмена данными", – утверждает специалист, сотрудничающий с пострадавшими от вируса компаниями.
"Доподлинно известно лишь то, что при подключении очищенного компьютера к сети происходит попытка соединения с одним из интернет-сайтов, которого не существует в природе. Проблема заключается в том, что в случае активации данного интернет-адреса и загрузки туда вредоносного кода злоумышленники опять получают полный контроль над компьютером жертвы. На самом деле основная функция данного вируса шпионская. Более подробно о его назначении мы узнаем через несколько недель, когда получим протокол испытаний от наших немецких коллег-специалистов по компьютерной безопасности", – говорит Сергей Креймер.
Пока что эта информация официально нигде не подтверждалась. Но если так, сложно даже представить, к каким последствиям это может привести – ведь конечный план злоумышленников никому не известен.
Впрочем, пока что, пожалуй, главный ущерб, который нанес вирус Petya.A Украине – имиджевый. Государственные органы и компании нашей страны де-факто оказалась незащищенными и не готовыми к такой масштабной кибератаке – причем не от самого сложного вируса.
Какие выводы надо сделать?
Очевидно, что украинским компаниям (в первую очередь, государственным) стоит более серьезно отнестись к информационной безопасности.
"Департаменты информационной безопасности в госструктурах должны сделать для себя выводы. Возможно, придется глобально перестроить компьютерные сети на предприятиях, чтобы их сегментировать и минимизировать дальнейшее распространение вирусов", – отмечает Александр Федиенко.
Это тем более важно, что пренебрежение правилами кибербезопасности не в первый раз поставило под угрозу работу стратегически важных объектов инфраструктуры в Украине. Вирус Petya – уже третья по счету кибератака в Украине за последние два года, хоть и первая столь масштабная. И может стать не последней.
Так, в декабре 2016 года хакерской атаке подверглись учреждения Минфина, коммерческие банки, объекты "Укрэнерго" и инфраструктуры. Из-за этого в Киеве на несколько часов исчезла электроэнергия. Последствия прошлого взлома государственные специалисты по кибербезопасности устраняли несколько недель, хотя заражение тогда также происходило довольно примитивным методом – через макросы в документах, которые рассылались по электронной почте.
Аналогичный случай произошел годом ранее, в декабре 2015-го: парализовав объекты "Укрэнерго", вирус Black Energy вызвал отключения электроэнергии. Теперь Украина столкнулась с вирусом Petya, который поразил уже сотни украинских предприятий, некоторые из которых до сих пор устраняют последствия заражения.
Некоторые специалисты усматривают в этих атаках своеобразную проверку на прочность украинских стратегических ресурсов.
"Главный вывод, который должны сделать для себя компании – не экономить на компьютерной безопасности. Это должно стать первоочередным вопросом для компаний любого уровня. Потому что мы все находимся в едином интернет-пространстве, и если даже маленькая компания пострадает от любого вируса, она может быть подрядчиком другой, средней компании, а та, в свою очередь, подрядчиком компании крупной. И по этой цепочке может произойти заражение на всех уровнях", – утверждает Александр Федиенко.
Эксперты рекомендуют, как минимум, следовать рекомендациям СБУ по защите от вируса-вымогателя. А как максимум – нанять на постоянной основе отдельного специалиста или отдел специалистов, который будет отслеживать виртуальные угрозы и работать на опережение.
"Конкретно в случае с этим вирусом самый простой рецепт не подцепить его — пользоваться не Windows, а другой операционной системой, — сообщил в интервью "Стране" Дмитрий Дубилет. — "В "Привате", например, почти все наши станции работали на [операционной системе] Linux (наша версия Ubuntu). И дело не в том, больше Windows защищен или меньше по сравнению с другими ОС, а в том, что он — самая массовая ОС, потому вирусы обычно создают именно под него".
Эксперты прогнозируют, что украинские разработчики всерьез займутся совершенствованием программного обеспечения и антивирусной защиты. Пока что главный совет специалистов – создавать резервные копии, пользоваться облачными сервисами, а самые важные файлы хранить на съемных носителях.
"На самом деле, ничего кардинально нового не произошло – нам просто наступили на больной мозоль, – считает Александр Ольшанский. – А по большому счету, никаких глобальных изменений в компьютерном мире этот вирус не принес. Нам просто не повезло в связи с тем, как именно вирус распространялся, на какие компании и как быстро. Но главный вывод от вирусной атаки должно для себя сделать государство".
После недавней атаки вируса Petya Минобороны решило создать кибервойска: министр обороны Украины Степан Полторак отметил, что Украина будет перенимать опыт Литвы в борьбе с киберпреступностью, а помогать ей в этом будет НАТО. Правда, результаты расследования декабрьских атак 2016 года до сих пор не обнародованы ни СБУ, ни киберполицией.
Дмитрий Дубилет утверждает: "Если мы говорим о государственных органах, то кибербезопасность — это частный вопрос более широкого вопроса IТ. С IТ в нашем государстве, по моей оценке, все грустно. И вопрос вообще не в бюджетах на IТ (бюджеты как раз, по моей оценке, в Украине слишком раздутые), а в том, что, к сожалению, у нас катастрофически мало компетентных управленцев, которые хоть что-то понимают в IТ".
Эксперты настаивают: если ничего в плане информационной безопасности в Украине не изменится, не исключено, что страна может столкнуться с повторной хакерской атакой.