На уходящей неделе вновь последовали обвинения в адрес Москвы. Великобритания и США заявили о том, что Россия причастна к масштабному заражению компьютеров в июне 2017 году вирусом NotPetya. Позже подключилась и Австралия: данные их разведки показали, что в цифровом коллапсе виновата Москва. «Шторм» разобрался, действительно ли Россия могла быть замешана в одной из крупнейших вирусных атак.
Ущерб России
Летом 2017 года вирус NotPetya смог нанести ущерб более 60 странам. Потери исчислялись миллионами долларов. Одна только датская логистическая компании Moller-Maersk из-за атаки потеряла около 200-300 миллионов. При этом среди пострадавших были и российские компании.
Так, мишенью хакеров стали крупнейшие корпорации РФ. Под удар попали компьютеры металлургической компании ЕВРАЗ. Была затронута информационная сеть. Досталось и Банку Хоум Кредит, однако, по сообщениям представителей организации, их защита сработала, а опыт хакерской атаки был учтен. Банк внес коррективы в систему безопасности.
Но самой крупной мишенью стала нефтяная корпорация — «Роснефть» и ее дочерняя компания «Башнефть».
По словам пресс-секретаря «Роснефти» Михаила Леонтьева, атака была сильной, но ключевые секторы компании затронуты не были. Система безопасности справилась с угрозой.
«Мы успели вовремя локализовать угрозу. В финансовом секторе, главных офисах, а также на добыче нефти атака никак не сказалась. Пострадали только кассовые аппараты на заправках компании, но их быстро восстановили», — рассказал Михаил Леонтьев «Шторму».
Кроме этого, он добавил, что обвинения в адрес Москвы абсурдные и бредовые: зачем России топить свою же системообразующую компанию?!
Украинский вопрос
Все началось с Украины. Первая новость о вирусе появилась утром 27 июня 2017 года. Group-IB сообщает, что тогда под удар попали крупные энергетические, финансовые компании, а также объекты социальной инфраструктуры: аэропорт Борисполь, магазины «Ашан», украинские операторы связи.
Изначально вирус проник через популярную на Украине систему бухгалтерского учета M.Е.Doc. После этого распространился по сетям — как локальной, так и интернету, путем рассылки фишинговых (мошеннических) писем.
Вирус получал права администратора, после чего шифровал данные на компьютере. На экране монитора появлялось красное уведомление с предложением приобрести ключ доступа за 300 долларов в биткойнах. В основе вируса — эксплойты (коды) АНБ, которые были слиты в Сеть весной 2017-го Wikileaks.
Кто за ней стоит
По мнению Group-IB, за NotPetya стоит группировка, атаковавшая в октябре того же года российские и украинские компании шифровальщиком Bad Rabbit. На это указывают совпадения в кодах вирусов. Более того, в ходе анализа специалисты пришли к выводу, что Bad Rabbit просто является модернизированной версией NotPetya.
Шифровальщик действовал по такому же принципу, что и NotPetya. Блокировал доступ к данным и требовал выкуп в размере 0,05 биткойна. При этом распространялся через код, размещенный на взломанных сайтах. В России жертвами Bad Rabbit стали СМИ, а именно «Фонтанка» и «Интерфакс».
Кроме этого, «Лаборатория Касперского» опубликовала отчет о том, что вирус NotPetya имеет сходства с кибератакой Black Energy. В 2016 году она поразила ключевые финансовые, транспортные и энергетические системы Украины. Тогда спикер по вопросам АТО Андрей Лысенко назвал это диверсией со стороны России, не предоставив конкретных доказательств.
По такому же пути идут и западные спецслужбы, обвиняя в распространении вируса российское Министерство обороны. В качестве аргументов выступают «данные исследований» спецслужб, однако в открытом доступе этих исследований нет.