Украинская компания ISSP (Information Systems Security Partners), одна из лучших украинских экспертов по кибербезопасности, настоящий профессионал, к выводам которого прислушиваются во всем мире. обнародовала очень интересный отчёт по кибератаке 27 июня.
[embeddoc url=»https://issp.ua/issp_system_images/Petya-NotPetya-Reverse-by-ISSP-Labs.pdf» download=»all»]
Специалисты компании изучили образцы выловленного в ходе атаки кода вируса «Petya/NotPetya» в своей лаборатории, детально препарировали его функции, цели, особенности.
В итоге лаборатории ISSP обнаружили новые доказательства массового нападения в Украине 27 июня 2017 года. После обратного анализа вредоносного ПО, использованного в недавней волне атак в Украине, аналитики ISSP Labs обнаружили много интересного.
При написании отчёта, естественно, использованы специфические профессиональные термины, но, выводы украинских специалистов вполне доступны для понимания, они очень интересные и наводят на определённые размышления. В своих выводах эксперты пишут.
«Это первый в истории пример кибер-оружия, которое одновременно использует такие инструменты, как:
— mimikatz (это утилита, которая позволяет извлекать учётные данные Windows — ред.),
— PsExec (программа, которая позволяет выполнять процессы в удаленных системах — ред.),
— wmic (это использование инструментария управления Windows в командной строке — ред),
— уязвимости SMB (сокращение от английского Server Message Block — это сетевой протокол для удалённого доступа к файлам, принтерам и другим сетевым ресурсам),
— MBR overwrite (MBR аббревиатура от английского Master Boot Record — это главная загрузочная запись, код, необходимый для последующей загрузки операционной системы, он расположен в первом секторе устройства. После включения питания компьютера происходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его),
— чистку логов ( это файл регистрации, протокол, журнал, от английского log — файл с записями о событиях в хронологическом порядке),
— энкрипцию (то есть, шифрование) файлов.
Мы убеждены, что обнаружение такого кибер-оружия станет сигналом тревоги для тех, кто до сих пор не верил, что киберпространство становится реальным мировым полем боя.
Важная часть зловредного кода имела целью проверить три определённых процесса антивирусов Kaspersky, Norton Security and Symanthec, и в случае их наличия — остановить. Предположения, что разработчики зловредного кода не могли обойти защиту, предоставляемую этими процессами — не представляется достоверным. Остаётся открытым вопрос — какие цели ставили себе злоумышленники, разрабатывая такой функционал?
Одна из возможностей, выявленных в ходе reverse-анализа, что данные процессы имели целью оставить так называемые «Чёрные ходы» или Спящих Агентов (в терминологии компании ThreatSCALE). Следующие поколения кибер-оружия могут нести имена разных процессов, но с теми же целями.
Мы предполагаем, что злоумышленники преследовали пять основных целей:
— замести следы предыдущих атак APT (от английского advanced persistent threat — «развитая устойчивая угроза» или целевая кибератака) ;
— продемонстрировать кибер-возможности и провести испытание MCCI (от английского Massive coordinated cyber invasion — полномасштабное координированное кибер-вторжение);
— испытать новое кибер-оружие и проверить возможности защиты, особенно — замерить скорость реакции и восстановления;
— подготовиться к следующей направленной кибер-атаке или MCCI;
— провести тренировочное испытание MCCI в сочетании с другими элементами гибридной войны».
Как видим, эксперты по кибербезопасности не скрывают своей тревоги и прямо называют вредоносную программу, которая атаковала Украину, не вирусом, а испытанием кибероружия, элемента гибридной войны, которое может быть использовано вновь. Этот прецедент действительно очень опасен не только для Украины, но и для всего мира, он не имеет аналогов по своему масштабу.
В свою очередь Служба безопасности Украины сообщила, о том, что основным назначением вируса было уничтожение важных данных и нарушение работы государственных и частных учреждений Украины для распространения панических настроений среди населения. Имеющиеся данные, в том числе полученные в рамках взаимодействия с международными антивирусными компаниями, дают основания считать, что к атакам причастны те же хакерские группировки, которые в декабре 2016 года атаковали финансовую систему, объекты транспорта и энергетики Украины с использованием шпионского программного обеспечения TeleBots и Blackenergy. Это свидетельствует о причастности к этой атаке спецслужб России, делает вывод СБУ.
Заражение вирусом было заранее спланировано, проходило в несколько этапов и началось накануне Дня Конституции.
Несмотря на то, что кибератака похожа на обычный вирус типа ransomeware (то есть, программное обеспечение для вымогания денег), который создаётся для обогащения злоумышленников, использованный для кибератаки вирус является прикрытием масштабной войны, направленной против Украины.
Об этом свидетельствует отсутствие реального механизма завладения средствами, примитивность которого лишь подтверждает мнение о том, что обогащение не было целью атаки.
Следует также отметить оригинальность и специфичность масштабного вектора заражения, связанного с использованием прикладного бухгалтерского программного обеспечения. По данным источников СБУ, за последние годы он встречался лишь один раз во время кибератаки со стороны Северной Кореи.
