Украинаға хакер һөжүмдәре (2017)

Вирус 2017 йылдың 27 июнендә M.E.Doc программаһына яңыртыу менән бергә тарала. M.E.Doc программаһы Украинала бухгалтер отчетлылығын тапшырыу өсөн киң файҙаланыла^[8], мәғлүмәт хәүефһеҙлеге белгестәре мәғлүмәттәренә ярашлы, фирманың вирус йоҡтороу мәленә 400 меңләп клиенты була, был ил ойошмаларының 90 проценты самаһын тәшкил итә^[9]. Күрәһең, яңыртыуҙар серверының ныҡлығына зыян килгән булғандыр, һәм ул зарарлы программаны тарата башлаусы итеп ҡулланылған^[10]. 2017 йылдың 18 майында ла ошоға оҡшаш зарарланыу күҙәтелә, ул саҡта M.E.Doc программаһының таратылыусы ҡушымтаһы шифрлаусы-шантажлаусы XData менән зарарланған була^[11].

Шифрлаусы үҙе электән билдәле Petya тигән 2016 йылғы зарарлы программа кодына нигеҙләнгән, уға Petya. A тигән атама бирелгән. Системаға эләккәс, шифрлаусы SMB EternalBlue протоколының йомшаҡ урынын файҙалана, ҡаты дисктағы бөтә мәғлүмәтте шифрлай, төп нөсхәле файлдарҙы кире ҡайтарғыһыҙ итеп юҡҡа сығара һәм компьютерҙы һүнеп тоҡанырға мәжбүр итә^[12][13]. Ҡабат йөкләнгәндән һуң файҙаланыусынан биткоиндарҙа күпмелер сумма күсереүҙе талап иткән экран ҡалҡып сыға (ул заманда 300 долларға тиң сумма)^[14][15]. Бер юлы вирус локаль селтәрҙәге насар һаҡлаулы башҡа компьютерҙарҙы ла эҙләй һәм EternalBlue йомшаҡлығы аша уларға ла сир йоҡтора.

Антивирус программалары үҙен табып ҡуймаһын өсөн вирустың бинар кодтары Microsoft’тың цифрлы ялған ҡултамғаларын, XOR алгоритмы менән шифрлауҙы (сигнатураға тикшереүҙе урап үтер өсөн) файҙалана.

Вирустың ғәмәлләшеүе ярайһы уҡ юғары кимәлдә барһа ла, уның ҡорбаны менән аралашыуы ышаныслы түгел, шуға вирусты эшләүселәр өсөн шантаж төп маҡсат булмағандыр тигән фекер тыуа^[16]: бөтә ҡорбандарға ла вирус авторының аҡса янсығына $300 долларлыҡ биткоин күсерергә һәм экранға сығарылған оҙон кодты ул биргән электрон поча адресына ебәрергә ҡушыла.

Зарарлаусыларҙың почта йәшниге теркәлгән почта хеҙмәте уны һөжүм башланғандан һуң бер нисә сәғәт үткәс тә бикләп ҡуя (шулай итеп, зарарлаусылар менән ҡорбандар аралашыуын туҡтата) һәм был ваҡиғаны тикшереү буйынса немец мәғлүмәт хәүефһеҙлеге федераль хеҙмәте менән хеҙмәттәшлек итеүе тураһында белдерә^[17]. Ришүәтте түләүҙең дә мәғәнәһе ҡалмай^[18].

Башта Киберполиция фараз итеүенсә^[19] һәм Microsoft компанияһының компьютер хәүефһеҙлеге белгестәре раҫлауынса, һөжүм M.E.doc программаһының автоматик яңыртылыуы системаһынан 2017 йылдың 27 июнендә 10:30 GMT сәғәттә (Киев ваҡыты буйынса 13:30 сәғәт, киберполиция иһә һөжүм Киев ваҡыты буйынса 10:30 сәғәттә башланған тип раҫлай)^[20] башлана. M.E.Doc программаһын эшләгән «IT Эксперт» компанияһы үҙ сайтында һөжүм сығанағын таныу тураһында хәбәр баҫтыра, тик тиҙҙән уны алып ташлай. Һуңыраҡ тағы бер хәбәр баҫыла, унда вирус таралыуына йә үҙенең мәғлүмәт системаларының ватылыуына бер ниндәй ҡыҫылышы булмауы тураһында белдерә^[21].

Зарарлы йоғонто

Вирустың зарарлы йоғонтоһо уның процесы (әлеге мәлдә эшләп торған программаһы) эйә булған хоҡуҡтарға һәм операцион системала ниндәй процестар эшләүенә бәйле. Вирус эшкә ҡушылған процестарҙың ҡатмарлы булмаған хешын таба, алдан бирелгән кодтар табылһа, үҙенең таралыуын туҡтата ала, хатта зыян килтереүҙән баш тартыуы ла ихтимал.

Вирус бөтәһенән элек төп йөкләү яҙмаһын (MBR) үҙенең тоҡандырыу кодына алмаштыра, компьютерҙы ҡабат йөкләүгә осраҡлы таймер (кәм тигәндә 10, күп тигәндә 60 минут) ҡуя һәм система журналдарындағы бөтә яҙмаларҙы юя. Ҡабат йөкләнгәндән һуң, MBR-ҙағы үҙгәреш арҡаһында операцион система урынына вирус йөкләнә, ул экранда ҡаты дисктың теүәллеген тикшереүсе Chkdsk программаһының ялған интерфейсы һүрәтен сығара. Бер ыңғайҙан файлдарҙағы мәғлүмәттәрҙе алдан билдәләнгән типтар исемлеге (бөтәһе 60-тан ашыу тип) буйынса шифрлау ғәмәле тоҡана. Шифрлау тамамланғас, экран уңышлы һөжүм атҡарылыуы һәм түләү талап ителеүе тураһындағы хәбәргә алмашына.

Һәр компьютер өсөн вирус AES-128 симметриялы шифрлау алгоритмының яңы асҡысын хисаплап сығара, уны 800 битлы асыҡ асҡыс менән шифрлай һәм ҡаты дискта һаҡлап ҡуя.

Ниндәй хоҡуҡтарға эйә булыуына ҡарап, вирус төп йөкләү яҙмаһын (MBR) һәм Volume boot record’ты (VBR) юйҙырырға тырыша.

27 июндәге хакер һөжүме алдынан иртән 8:15 сәғәттә Соломенский районында автомобиль шартлай, уның рулендә Баш разведка идаралығының махсус тәғәйенләнеш отряды командиры полковник Максим Шаповал була. Көслө шартлауҙан ул шунда уҡ һәләк була^[22].

Яҡынса 10:30 сәғәттә M.E.Doc программаһы яңырыуҙары йөкләнә башлай, ул вирус программаһының кодын ташый. Бер нисә сәғәт эсендә вирус күп кенә дәүләт селтәрҙәрен зарарлап өлгөрә.

Украинаның Милли именлек һәм оборона секретары Александр Турчинов^[23] был ике ваҡиғаның бер-береһе менән бәйле булыу ихтималлығы һәм Украинаның Конституция көнөнә ҡарата Рәсәй яғынан икеләтелгән һөжүм булыуы мөмкинлеге тураһында фаразын белдерә.

Украина менән бер үк ваҡытта тиерлек Рәсәйҙә лә Роснефть^[24], Башнефть^[25] компьютерҙары эштән сыға, ошо сәбәпле бер нисә участкала нефть сығарыу туҡтала.

Әммә Рәсәйҙең эре предприятиеларында селәү таралыуға ҡаршы ярайһы уҡ яҡшы кәртә ҡоролған була, әммә зарарланыуға ҡаршы һаҡтары етерлек булмай^[26].

Украина менән Рәсәйҙән һуң һөжүмдәр Испания, Һиндостан^[27], Ирландия, Бөйөк Британия^[28] һәм башҡа илдәргә, Европа берләшмәһе менән АҠШ ҡалаларына ла күсә^[29]. McAfee мәғлүмәттәренә ҡарағанда, АҠШ-та вирус эләктергән компьютерҙар Украиналағынан күберәк булып сыға, әммә ESET антивирусы статистикаһы теркәлгән зарарланыуҙарҙың 80 проценттан ашыуы Украинаға тап килеүе тураһында белдерә.

Һөжүм башланғандан алып Украина Киберполиция департаментына компьютер селтәрҙәренең эше боҙолоу тураһында 1000-ләп мөрәжәғәт килә. Шуларҙан 43 компания полицияға рәсми ғариза менән мөрәжәғәт итә. 28 июнгә ҡарата дәүләт һәм хосуси учреждениеларҙың, ойошмаларҙың, предприятиеларҙың электрон-хисаплау системаларына рөхсәтһеҙ ҡыҫылыу факттары буйынса 23 енәйәтселек башҡармаһы (Украина Енәйәтселек кодесының 361-се статьяһы) асыла. Тағы 47 факт буйынса белешмәләрҙе Судҡа тиклемге тикшереүҙәрҙең берҙәм реестрына индереү мәсьәләһе хәл ителә^[30].

2017 йылдың 29 июненән Украина Милли полицияһы 1508 юридик һәм физик шәхестән компьютер техникаһының шифрлаусы вирус тарафынан бикләнеүенә бәйле мөрәжәғәт ала. Уларҙың 178-е полицияға рәсми ғариза бирә. Атап әйткәндә, шәхси секторҙан 152 ойошма һәм илдең дәүләт секторынан 26 ғариза килә^[31].

Бынан тыш, тикшереү алып барыуға Украина Именлек хеҙмәтенең Мәғлүмәт хәүефһеҙлеге өлкәһендә дәүләт мәнфәғәттәрен контрразведка һаҡлауы департаменты белгестәре лә йәлеп ителә. Кибернетик хәүефһеҙлек буйынса махсуслашҡан партнер хоҡуҡ һаҡлау органдары, сит дәүләттәрҙең махсус хеҙмәттәре менән хеҙмәттәшлек ойошторола.

Эске эштәр министрлығының советнигы Антон Геращенко биргән мәғлүмәт буйынса, Украина дәүләтенә ҡаршы WannaCry — «cryptolocker» вирусының илгә төбәп модификацияланған версияһын ҡулланып киң хакер һөжүме үткәрелгән. Уның фекеренсә, һөжүм кәм тигәндә бер ай буйы әҙерләнгән. Украина иҡтисадын тотороҡһоҙландырыу маҡсаты ҡуйылған.^{[сығанаҡ 2344 көн күрһәтелмәгән]}

2017 йылдың 4 июлендә Petya селәүсенен кисекмәҫтән туҡтатыу маҡсатында зарарлы программа тәьминәтен таратыуға йәлеп ителгән компанияла тентеү үткәрелә һәм уның программа һәм аппараттар базаһы тартып алына^[32].

Bitcoin транзакциялары тулыһынса асыҡ башҡарылғанға күрә вирус хужаһына күсерелгән аҡсалар статистикаһын теләгән бер кеше ҡарай ала. Нью-Йорк журналисы һәм программисы Кейт Коллинз Твиттерҙа һәр операциянан һуң яңыра торған һәм зарар килтереүсенең счетының ағымдағы торошон күрһәтеп барған аккаунт булдыра.

28 июндә Киев ваҡыты буйынса 14:00 сәғәттә зарар килтереүсе $10 меңдән ашыу аҡса ала.

2017 йылдың 28 июнендә Украина Министрҙар Кабинеты корпоратив селтәрҙәгә һәм власть органдары селтәрҙәренә хакерҙар һөжүме туҡтатылыуы тураһында иғлан итә^[33].

30 июндә Милли хәүефһеҙлек һәм оборона хеҙмәте секретары Турчинов зарар килтереүселәрҙең Tor һәм VPN технологияларын ҡулланыу ихтималлығы тураһында белдерә^[34]. 2017 йылдың июль башында Украина Именлек хеҙмәте Petya вирусын ҡулланып һөжүм итеүгә Рәсәй махсус хеҙмәттәре ҡатнашлығы булыуын әйтә^[35].

Банктар

• Ощадбанк
• Банк Пивденный
• ОТП Банк
• Кредобанк
• Укргазбанк^[36]
• Укрсоцбанк
• Проминвестбанк
• Приват24

Компаниялар

Рәсәй һәм сит ил компаниялары

• Maersk^[40]
• Сен-Гобен
• WPP
• Евраз^[41]
• Роснефть
• Башнефть

• Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010  (билдәһеҙ) (27 июнь 2017). Дата обращения: 28 июнь 2017.
• CERT-EU-SA2017-014: Petya-Like Malware Campaign  (билдәһеҙ). CERT-EU (27 червня 2017).
• Как победить вирус Petya  (билдәһеҙ). Positive Technologies (28 червня 2017). Дата обращения: 29 червня 2017. (рус.)(рус.)
• Украина подверглась самой крупной в истории кибератаке вирусом Petya  (билдәһеҙ) (27 червня 2017). Дата обращения: 29 червня 2017. (рус.)(рус.)
• Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача (оновлено)  (билдәһеҙ) (29 червня 2017, 16:00). Дата обращения: 29 червня 2017. 2017 йыл 3 июль архивланған.