Hackerské útoky na Ukrajinu (2017)

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 19. února 2022; kontroly vyžadují 7 úprav .
Hackerské útoky na Ukrajinu

Monitorování počítače infikovaného virem
datum 27. června 2017
Místo nejprve  Ukrajina později  USA Rusko Polsko Francie Itálie Indie Německo Velká Británie Španělsko Estonsko Rumunsko 

 
 
 
 
 
 
 
 
 
 
 
Výsledek je blokována činnost státních a obchodních podniků, webových stránek, výkonných orgánů
Podezřelí  Rusko (podle aplikace Ukrajiny, USA, Spojeného království, Austrálie)

Hackerské útoky na Ukrajinu  jsou zaměřeny na rozsáhlé [1] [2] [3] hackerské útoky na sítě ukrajinských státních podniků, institucí, bank, médií a podobně, ke kterým došlo 27. června 2017 . V důsledku těchto útoků byla zablokována činnost takových podniků, jako je letiště Boryspil , Černobylská jaderná elektrárna , Ukrtelecom , Ukrposhta , Oschadbank , Ukrzaliznytsia a řada velkých komerčních podniků [4] [5] .

Webové stránky Kabinetu ministrů Ukrajiny [6] , televizní kanál Inter , mediální holding TRK Lux , který zahrnuje Channel 24, Radio Lux FM , Radio Maximum , různé online publikace a také webové stránky Městská rada Lvov , Státní správa města Kyjeva a Speciální komunikační služba Ukrajiny [7] .

Vysílání programů bylo zastaveno kanály " First Automobile " a TRK " Kyiv " .

Charakteristika viru

Virová infekce začala distribucí aktualizace programu MEDoc dne 27. června 2017. Program MEDoc je hojně využíván pro ukládání účetních výkazů na Ukrajině [8] , podle specialistů na informační bezpečnost měla společnost v době infekce asi 400 000 klientů, což je asi 90 % všech organizací v zemi [9] [10 ] . Podle všeho byl aktualizační server kompromitován a byl použit pro primární distribuci malwaru [11] . K podobné infekci došlo 18. května 2017, kdy byla distribuovaná aplikace MEDoc infikována ransomwarem XData [12] .

Samotný ransomware byl založen na kódu dříve známého malwaru Petya z roku 2016, který od něj obdržel vlastní Petya.A. Jakmile se ransomware dostane do systému, využívá známou zranitelnost v protokolu EternalBlue SMB , aby se v systému uchytil, zašifruje obsah pevného disku, trvale zničí původní soubory a násilně restartuje počítač [13] [14] . Po restartu se uživateli zobrazí obrazovka s výzvou k převodu částky v bitcoinech , což je v té době ekvivalent 300 dolarů [15] [16] . Současně se virus pokouší vyhledat zranitelné počítače v místní síti a dále infikovat prostřednictvím zranitelnosti EternalBlue.

Navzdory poměrně vysoké úrovni implementace samotného viru však jeho vývojáři použili extrémně zranitelný a nespolehlivý způsob komunikace s oběťmi, což vyvolává dojem, že vydírání nebylo hlavním motivem [17] : všechny oběti jsou vyzvány k převodu bitcoinů v hodnotě 300 $ do peněženky autora viru a přeneste dlouhý kód zobrazený na obrazovce na zadanou e-mailovou adresu.

Poštovní služba, kde byla schránka útočníků registrována, ji zablokovala jen několik hodin po začátku útoku (a znemožnila tak obětem komunikovat s útočníky) a oznámila, že aktivně spolupracuje s německou Federální službou pro informační bezpečnost v vyšetřování této události [18] . To znamená, že platit výkupné nedává smysl, protože zaručeně nepřinese požadovaný výsledek [19] .

Nejprve kybernetická policie spekulovala [20] a specialisté na počítačovou bezpečnost společnosti Microsoft potvrdili, že útok začal ze systému automatické aktualizace programů MEdoc dne 27. června 2017 kolem 10:30 GMT (13:30 kybernetického času policie tvrdí, že útok začal v 10:30 kyjevského času) [21] . Vývojář programu MEDoc, IT Expert, zveřejnil na svém webu zprávu, v níž přiznal zdroj útoku, ale brzy ji odstranil. Následně byla zveřejněna nová zpráva, ve které společnost popírá jakýkoli podíl na šíření viru nebo hackování svých informačních systémů [22] .

Škodlivé jednání

Škodlivý účinek viru závisí na právech, která má jeho proces , a na tom, jaké procesy běží v operačním systému . Virus vypočítá jednoduchý hash názvů běžících procesů, a pokud jsou nalezeny předdefinované kódy, může se zastavit šíření nebo dokonce upustit od škodlivé akce.

Nejprve virus změní svůj spouštěcí kód Master Boot Record (MBR), nastaví náhodný časovač (nejméně 10, ale ne více než 60 minut) pro restart počítače a zničí všechny záznamy v systémových protokolech. Po načtení se díky změnám v MBR načte místo operačního systému virus, který pod rozhraním programu pro kontrolu integrity pevného disku Chkdsk vykreslí na obrazovku padělek . Zároveň je spuštěn proces šifrování dat v souborech z předem definovaného seznamu typů (je jich více než 60). Po dokončení šifrování se obrazovka změní na zprávu o úspěšném útoku požadující platbu výkupného.

Pro každý počítač virus vypočítá nový klíč symetrického šifrovacího algoritmu AES-128 , který zašifruje páry klíčů útočníků pomocí 800bitového veřejného klíče RSA a uloží jej na pevný disk.

V závislosti na získaných právech se virus pokusí vymazat Master Boot Record (MBR) a Volume Boot Record (VBR).

Odkaz na útok

Necelé tři hodiny před začátkem hackerského útoku, 27. června v 8:15 ráno, vybuchlo v okrese Solomensky auto, které řídil velitel oddílu speciálních sil Hlavního zpravodajského ředitelství plukovník Maxim Shapoval . . Silným výbuchem na místě zemřel [23] .

Přibližně v 10:30 začala vlna stahování aktualizace programu MEDoc, který nesl kód virového programu. Během několika hodin virus zasáhl řadu vládních sítí.

Tajemník Rady národní bezpečnosti a obrany Ukrajiny Oleksandr Turčynov [24] předložil teorii, že tyto dvě události spolu souvisí a tvoří dvojitý ruský útok věnovaný Dni ústavy Ukrajiny.

Útoky mimo Ukrajinu

Téměř současně s Ukrajinou přestaly v Rusku fungovat počítače Rosněft [25] , Bashneft [26] , což vedlo k zastavení těžby ropy na několika místech.

Ukázalo se však, že velké ruské podniky jsou proti šíření červa chráněny, ale nejsou dostatečně chráněny před infekcí (přesto, že je nepravděpodobné, že by program pro sestavování ukrajinských daňových výkazů využívaly) [27] .

Po Ukrajině a Rusku se online útoky začaly provádět ve Španělsku, Indii [28] , Irsku, Velké Británii [29] a dalších zemích a městech v EU a USA [30] . Podle McAfee bylo v USA zaznamenáno více infikovaných počítačů než na Ukrajině, nicméně antivirové statistiky ESET tvrdí, že více než 80 % zaznamenaných infekcí se odehrálo na Ukrajině.

Poté stavební dílny společnosti EhituseABC [31] ukončily svou činnost v Estonsku .

Vyšetřování

Během dne od začátku útoku obdrželo kybernetické policejní oddělení Ukrajiny více než 1000 zpráv o rušení provozu počítačových sítí, což vedlo k selháním v jejich práci. Z toho 43 firem oficiálně podalo stížnost na policii. K 28. červnu bylo zahájeno 23 trestních řízení ve věci neoprávněných zásahů do elektronických výpočetních systémů veřejných i soukromých institucí, organizací, podniků (článek 361 ukrajinského trestního zákoníku ). U dalších 47 skutečností se rozhoduje o vkládání informací do Jednotného registru přípravných vyšetřování [32] .

Ke dni 29. června 2017 se na Národní policii Ukrajiny obrátilo 1 508 právnických a fyzických osob s oznámením o blokování provozu počítačového vybavení pomocí šifrovacího viru. Z toho 178 se obrátilo na policii s oficiálními vyjádřeními. Zejména 152 organizací soukromého sektoru a 26 výzev z veřejného sektoru země. 115 takových skutečností je evidováno ve věstníku Jednotné evidence spáchaných trestných činů a jiných událostí. Řeší se otázka jejich právní kvalifikace. U 63 skutečností byly do ERDR zařazeny informace podle článku 361 trestního zákoníku Ukrajiny [33] .

Dále byli do vyšetřování zapojeni specialisté z odboru kontrarozvědné ochrany státních zájmů v oblasti informační bezpečnosti Bezpečnostní služby Ukrajiny . Byla organizována interakce s partnerskými orgány činnými v trestním řízení, speciálními službami cizích států a mezinárodními organizacemi specializujícími se na kybernetickou bezpečnost. Specialisté SBU ve spolupráci se specialisty z americké FBI , Britské národní kriminální agentury (NCA), Europolu a předních institucí kybernetické bezpečnosti přijímají koordinovaná společná opatření k lokalizaci šíření malwaru Petya A , aby konečně určili metody provádění této kyberteroristické akce s cílem stanovit zdroje útoků, jejich pachatele, organizátory a zákazníky [34] .

Vedoucí oddělení kybernetické policie Sergej Demidyuk řekl, že zástupci kybernetické policie šli do podniků, které oznámily útok viru. Poznamenal také, že spolupráce na odstraňování následků virových útoků může pokračovat na mezinárodní úrovni. Tisková tajemnice SBU Elena Gitlyanskaya navrhla, že útoky byly organizovány z území Ruska nebo z Donbasu [35] .

Podle poradce ministerstva vnitra Antona Geraščenka byl proti státu Ukrajina proveden masivní hackerský útok pomocí verze viru WannaCry upravené pro Ukrajinu  – „cryptolocker“. Podle jeho názoru se takový útok připravoval minimálně měsíc. Konečným cílem útoku je destabilizace situace v ukrajinské ekonomice .

4. července 2017 bylo za účelem okamžitého zastavení šíření červa Petya přijato rozhodnutí o provedení prohlídek a zabavení softwaru a hardwaru společnosti, které sloužily k distribuci škodlivého softwaru. Prohlídky provedli zástupci oddělení kybernetické policie, vyšetřovatelé a za účasti Bezpečnostní služby Ukrajiny. Byly zabaveny pracovní počítače zaměstnanců a serverová zařízení, jejichž prostřednictvím byl software distribuován [36] .

Atribuce útoku

Navzdory skutečnosti, že se virus zdá být běžným příkladem ransomwaru vytvořeného za účelem obohacení útočníků, řada výzkumníků navrhla, že ve skutečnosti tento mýtus slouží jako zástěrka pro rozsáhlý kybernetický útok jednoho státu proti druhému. Hlavním účelem viru tedy nemohlo být vydírání, ale zničení důležitých dat a narušení běžného provozu velkých veřejných i soukromých institucí [37] [38] .

Výsledky

Vzhledem k tomu, že všechny bitcoinové transakce jsou zcela veřejné, může kdokoli vidět statistiky převodů na majitele viru. Newyorský novinář a programátor Keith Collins si vytvořil účet na Twitteru , který se po každé transakci automaticky aktualizuje a zobrazuje aktuální stav účtu útočníka.

Od 14:00 kyjevského času 28. června útočník obdržel více než 10 000 dolarů.

Dne 28. června 2017 kabinet ministrů Ukrajiny oznámil, že rozsáhlý hackerský útok na firemní a vládní sítě byl zastaven [39] .

Dne 30. června oznámil tajemník Rady národní bezpečnosti a obrany Turčynov možnost kyberzločinců využívajících technologie Tor a VPN [40] . Začátkem července 2017 Bezpečnostní služba Ukrajiny oznámila zapojení ruských speciálních služeb do útoku pomocí viru Petya [41] .

Seznam napadených podniků

Banky

Společnosti

Ruské a zahraniční společnosti

Viz také

Poznámky

  1. Bezprecedentní kybernetický útok právě zničil velké banky, vládní a letištní počítače na Ukrajině  . The Independent (27. června 2017). Získáno 15. ledna 2022. Archivováno z originálu 30. srpna 2019.
  2. Ukrajinské banky, elektrárenská firma zasažena novým kybernetickým útokem , Reuters  (27. června 2017). Archivováno z originálu 16. července 2019. Staženo 15. ledna 2022.
  3. Kvůli rozsáhlému virovému útoku nefungují banky, média, služby . Ukrajinská pravda . Získáno 15. ledna 2022. Archivováno z originálu dne 22. ledna 2021.
  4. Na Ukrajině desítky společností nainstalovaly a napadly počítačový virus | Hromadské televizní stanice  (ukrajinsky) . hromadske.ua . Získáno 15. ledna 2022. Archivováno z originálu dne 27. června 2017.
  5. Virus Petya.A. Hackeři zaútočili na banky, společnosti, Ukrenergo a Kievenergo . TSN.ua (27. června 2017). Získáno 15. ledna 2022. Archivováno z originálu 15. ledna 2022.
  6. Virus „Petya“ paralyzoval práci kabinetu ministrů . Ukrajinská pravda . Získáno 15. ledna 2022. Archivováno z originálu 15. ledna 2022.
  7. Hackerský útok na Ukrajinu: podrobnosti . RBC-Ukrajina . Získáno 15. ledna 2022. Archivováno z originálu dne 23. ledna 2022.
  8. Kramer, Andrew Kybernetický útok na Ukrajině měl paralyzovat, ne zisk, ukazují důkazy . The New York Times (28. června 2017). Získáno 29. června 2017. Archivováno z originálu 29. června 2017.
  9. Borys, Christian . Ukrajina se připravuje na další kybernetické útoky  , BBC News (  26. července 2017). Archivováno z originálu 26. července 2017. Staženo 11. května 2021.
  10. Satter, Raphael Ukrajina říká, že zmařila druhý kybernetický útok po policejní razii . Associated Press (5. července 2017). Staženo: 5. července 2017.  (nepřístupný odkaz)
  11. Frenkel, Sheera Global Ransomware Attack: Co víme a nevíme . The New York Times (27. června 2017). Získáno 28. června 2017. Archivováno z originálu 27. června 2017.
  12. Krasnomovec, Pavel . Vše, co víme o XData ransomware: kdo je v ohrožení a co dělat  (ruština) , AIN.UA  (24. května 2017). Archivováno z originálu 28. června 2017. Staženo 29. června 2017.
  13. Polityuk, Pavel Pravděpodobný kryt globálního kybernetického útoku pro instalaci malwaru na Ukrajině: policejní úředník . Reuters (29. června 2017). Získáno 29. června 2017. Archivováno z originálu 29. června 2017.
  14. Petroff, Alanna Experts: Globální kybernetický útok vypadá spíše jako „sabotáž“ než jako ransomware . CNN (30. června 2017). Datum přístupu: 30. června 2017. Archivováno z originálu 1. července 2017.
  15. Virus "Petya". Jak se chránit před kybernetickým útokem . Ukrajinská pravda (27. června 2017). Získáno 28. června 2016. Archivováno z originálu 1. října 2020.
  16. Kolik autor vydělal na viru Petya.A a země nejvíce trpěly jógou?  (Ukrajinština) , Tokar.ua  (28. den roku 2017). Staženo 28. června 2017.
  17. Hern, Alex . Útok ransomwaru „není určen k vydělávání peněz“, tvrdí výzkumníci  , The Guardian (  28. června 2017). Archivováno z originálu 28. června 2017. Staženo 28. června 2017.
  18. Informace o Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt . Posteo (27. června 2017). Získáno 29. června 2017. Archivováno z originálu 27. června 2017.
  19. CERT-EU-SA2017-014: Petya-Like Malware Campaign . CERT-EU (27. června 2017). Získáno 29. června 2017. Archivováno z originálu 3. února 2019.
  20. Oleg Dmitrenko Cyberpolice: virový útok rozšířený prostřednictvím MEdoc . Hlídač (28. června 2017). Získáno 29. června 2017. Archivováno z originálu 28. června 2017.
  21. Nový ransomware, staré techniky: Petya přidává možnosti červa . Blog Microsoft Malware Protection Center (27. května 2017). Získáno 29. června 2017. Archivováno z originálu 28. června 2017.
  22. Dave Lee 'Vaccine' vytvořený pro obrovský kybernetický útok . BBC novinky. Získáno 29. června 2017. Archivováno z originálu 17. srpna 2019.
  23. Ministerstvo obrany potvrdilo: Plukovník GUR zemřel na výbuch (nepřístupný odkaz) . Ukrajinská pravda (27. června 2017). Získáno 15. ledna 2022. Archivováno z originálu 30. června 2017. 
  24. Kybernetické útoky Zbіg a zaklepání plukovníka Shapovala nejsou vipadkovi, - Turchinov (nepřístupný odkaz) . Získáno 29. června 2017. Archivováno z originálu 27. června 2017. 
  25. Silný útok: klon viru WannaCry pronikl na servery Rosneftu . NTV (27. června 2017). Získáno 15. ledna 2022. Archivováno z originálu 15. ledna 2022.
  26. Klon viru WannaCry paralyzoval počítače Bashneft . Vědomosti (27. 5. 2017). Získáno 15. ledna 2022. Archivováno z originálu 1. dubna 2022.
  27. The Grugq. Pnyetya: Další ohnisko ransomwaru . Medium.com (27. června 2017). Získáno 29. června 2017. Archivováno z originálu 28. června 2017.
  28. Hackerský útok na Ukrajinu se šíří po celém světě, - The Independent . RBC-Ukrajina . Získáno 15. ledna 2022. Archivováno z originálu dne 21. října 2018.
  29. Globální kybernetický útok zasáhl IT systémy v Irsku a  Velké Británii . nezávislý (27. 5. 2017). Získáno 15. ledna 2022. Archivováno z originálu 15. ledna 2022.
  30. Útok ransomwaru „Petya“ zasáhl společnosti v celé Evropě a  USA . the Guardian (27. června 2017). Získáno 15. ledna 2022. Archivováno z originálu dne 27. ledna 2022.
  31. Virus Petya dorazil do Estonska: všechny obchody Ehituse ABC zavřeny kvůli útoku  (ruština) , Rus.Postimees.ee . Archivováno z originálu 1. července 2017. Staženo 5. července 2017.
  32. POLICIE VIDKRITO 23 KRIMINÁLNÍCH PRODUKTŮ ZA SKUTEČNOSTI SPOJENÉ S ROBOTEM POČÍTAČE MEREG . Odbor kybernetické policie (28. června 2017). Získáno 29. června 2017. Archivováno z originálu 22. prosince 2017.
  33. Za dvě doby na policii přišlo 1,5 tisíce oznámení o virové infekci počítačových sítí . Odbor kybernetické policie (29. června 2017). Získáno 29. června 2017. Archivováno z originálu 3. října 2017.
  34. SBU ve spolupráci se zahraničními partnery pokračuje v práci na lokalizaci roamingového softwaru PetyaA (nepřístupný odkaz) . Bezpečnostní služba Ukrajiny (29. června 2017). Získáno 29. června 2017. Archivováno z originálu dne 4. července 2017. 
  35. V Rusku lze organizovat masivní útoky hackerů, - SBU . Volinského novinky . Získáno 15. ledna 2022. Archivováno z originálu dne 27. června 2017.
  36. O největším kybernetickém útoku v historii Ukrajiny se stal virus Diskcoder.C - kyberpolice  (ukr.) . Oddělení kybernetické policie Národní policie Ukrajiny (5. července 2017). Datum přístupu: 20. prosince 2017. Archivováno z originálu 5. července 2017.
  37. Russell Brandom Ransomware Petya začíná vypadat jako přestrojený kybernetický útok . The Verge (28. června 2017). Získáno 29. června 2017. Archivováno z originálu 29. června 2017.
  38. Andy Greenberg. Ukrajinci říkají, že Petya Ransomware skrývá státem sponzorované útoky . The Wired (28. června 2017). Získáno 29. června 2017. Archivováno z originálu 29. června 2017.
  39. Kybernetický útok na firemní sítě a organizace vlády  (ukr.)  (nedostupný odkaz) . kmu.gov.ua (28. června 2017). Staženo 15. ledna 2022. Archivováno z originálu 1. července 2017.
  40. Turchinov: Petya virus testován prostřednictvím VPN ukrajinského poskytovatele  (ukr.) . FAKTA ICTV (30. června 2017). Získáno 15. ledna 2022. Archivováno z originálu 15. ledna 2022.
  41. SBU stanovila odpovědnost ruských speciálních služeb před útokem na virus-vimagach Petya. (nedostupný odkaz) . SBU (1. července 2017). Získáno 14. července 2017. Archivováno z originálu 5. července 2017. 
  42. Banky a společnosti zasažené kybernetickými útoky: seznam . Získáno 29. června 2017. Archivováno z originálu 25. února 2022.
  43. Kanál ICTV byl napaden hackery . Datum přístupu: 16. ledna 2018. Archivováno z originálu 17. ledna 2018.
  44. 1 2 "Ukrlandfarming" a "Vanguard" Bakhmatyuk byli napadeni . Datum přístupu: 16. ledna 2018. Archivováno z originálu 17. ledna 2018.
  45. Evgen Bouquet. Vitannia Petru O. z "Peti A." před Dnem ústavy  (nepřístupný odkaz)
  46. Virus Petya se rozšířil po Evropě - The Guardian . Získáno 29. června 2017. Archivováno z originálu 18. února 2022.
  47. Natalja Seliverstová . Informační systém Evraz byl hacknut , RIA Novosti  (27. června 2017). Archivováno z originálu 1. srpna 2017. Staženo 17. července 2017.

Odkazy