Hackertámadások Ukrajna ellen (2017)

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2022. február 19-én felülvizsgált verziótól ; az ellenőrzések 7 szerkesztést igényelnek .
Hackertámadások Ukrajna ellen

Vírussal fertőzött számítógép monitora
dátum 2017. június 27
Hely előbb  Ukrajna később  USA Oroszország Lengyelország Franciaország Olaszország India Németország Nagy-Britannia Spanyolország Észtország Románia 

 
 
 
 
 
 
 
 
 
 
 
Eredmény az állami és kereskedelmi vállalatok, weboldalak, végrehajtó hatóságok tevékenységét blokkolják
gyanúsított(ok)  Oroszország (Ukrajna, USA, Egyesült Királyság, Ausztrália kérelme szerint)

Az Ukrajna elleni hackertámadások  nagyszabású [1] [2] [3] hackertámadások az ukrán állami vállalatok, intézmények, bankok, média és hasonlók hálózatai ellen, amelyekre 2017. június 27- én került sor . E támadások eredményeként olyan vállalkozások tevékenységét blokkolták, mint a Boriszpil Repülőtér , Csernobili Atomerőmű , Ukrtelecom , Ukrposhta , Oschadbank , Ukrzaliznicja és számos nagy kereskedelmi vállalkozás [4] [5] .

Az ukrán Miniszteri Kabinet [6] webhelye , az Inter tévécsatorna , a TRK Lux médiaholding , amely magában foglalja a 24-es csatornát, a Radio Lux FM -et , a Radio Maximumot , a különféle online kiadványokat, valamint a Lviv városi tanács , Kijev városi közigazgatás webhelyeit és Ukrajna Különleges Kommunikációs Szolgálata [7] .

A műsorok sugárzását a " First Automobile " és a TRK " Kijev " csatornák leállították .

A vírus jellemzői

A vírusfertőzés a MEDoc program frissítésének terjesztésével kezdődött 2017. június 27-én. A MEDoc programot széles körben használják pénzügyi kimutatások benyújtására Ukrajnában [8] , az információbiztonsági szakemberek szerint a cégnek körülbelül 400 000 ügyfele volt a fertőzés időpontjában, ami az ország összes szervezetének körülbelül 90%-a [9] [10 ] ] . Úgy tűnik, a frissítési szervert feltörték, és a rosszindulatú program elsődleges terjesztésére használták [11] . Hasonló fertőzés történt 2017. május 18-án, amikor egy terjesztett MEDoc alkalmazást az XData ransomware [12] fertőzött meg .

Maga a zsarolóprogram a korábban ismert 2016-os Petya malware kódjára épült, amelytől megkapta a saját Petya.A-ját. A rendszerbe kerülve a zsarolóprogram az EternalBlue SMB protokoll egy ismert sebezhetőségét használja, hogy megvehesse a lábát a rendszerben, titkosítja a merevlemez tartalmát, véglegesen megsemmisíti az eredeti fájlokat, és erőszakkal újraindítja a számítógépet [13] [14] . Az újraindítás után egy képernyő jelenik meg a felhasználónak, amely arra kéri, hogy utalja át az összeget bitcoinban , ami akkoriban 300 dollárnak felel meg [15] [16] . Ugyanakkor a vírus megkísérli a helyi hálózaton sebezhető számítógépeket keresni, és az EternalBlue sebezhetőségén keresztül tovább fertőz.

A vírus megvalósításának meglehetősen magas szintje ellenére azonban fejlesztői rendkívül sérülékeny és megbízhatatlan módon kommunikáltak az áldozatokkal, ami azt a benyomást kelti, hogy nem a zsarolás volt a fő indíték [17] : minden áldozatot felkérnek a bitcoinok átutalására. 300 dollár értékben a vírus szerzőjének pénztárcájába, és utalja át a képernyőn megjelenő hosszú kódot a megadott e-mail címre.

A posta, ahol a támadók postafiókját regisztrálták, néhány órával a támadás kezdete után blokkolta (így lehetetlenné tette az áldozatok kommunikációját a támadókkal), és arról számolt be, hogy aktívan együttműködik a Német Szövetségi Információbiztonsági Szolgálattal. ennek az eseménynek a kivizsgálása [18] . Vagyis a váltságdíj fizetésének nincs értelme, hiszen az garantáltan nem hozza meg a kívánt eredményt [19] .

Először a kiberrendőrség spekulált [20] , a Microsoft számítógép-biztonsági szakértői pedig megerősítették, hogy a támadás a MEdoc automatikus programfrissítő rendszerből indult 2017. június 27-én, GMT 10:30 körül (kiberi idő szerint 13:30-kor). a rendőrség szerint a támadás kijevi idő szerint 10:30-kor kezdődött) [21] . A MEDoc program fejlesztője, az IT Expert egy üzenetet tett közzé honlapján, amelyben elismerte a támadás forrását, de hamarosan eltávolította azt. Ezt követően egy új üzenetet tettek közzé, amelyben a cég tagadta, hogy köze lenne a vírus terjedéséhez vagy információs rendszereinek feltöréséhez [22] .

Káros cselekvés

A vírus káros hatása attól függ, hogy milyen jogokkal rendelkezik a folyamata , és milyen folyamatok futnak az operációs rendszerben . A vírus egy egyszerű hash -t számít ki a futó folyamatok nevéből, és ha előre definiált kódokat talál, akkor vagy leállíthatja a terjedést, vagy akár fel is hagyhatja a káros műveletet.

Mindenekelőtt a vírus az indítókóddal megváltoztatja a Master Boot Record -ot (MBR), véletlenszerű időzítőt állít be (legalább 10, de legfeljebb 60 percre) a számítógép újraindításához, és megsemmisíti a rendszernaplók összes bejegyzését. A betöltés után az MBR változásainak köszönhetően az operációs rendszer helyett egy vírus töltődik be, amely hamisítványt rajzol a képernyőre a merevlemez integritását ellenőrző program Chkdsk felülete alatt . Ezzel egyidejűleg elindul az adatok titkosítása egy előre meghatározott típuslistából (több mint 60 van). A titkosítás befejezése után a képernyő sikeres támadási üzenetre vált, amely váltságdíjat követel.

A vírus minden számítógéphez kiszámítja az AES-128 szimmetrikus titkosítási algoritmus új kulcsát , amely 800 bites RSA nyilvános kulccsal titkosítja a támadók kulcspárjait, és elmenti a merevlemezre.

A megszerzett jogoktól függően a vírus megpróbálja törölni a Master Boot Record (MBR) és a Volume Boot Record (VBR) rekordot.

Link a támadáshoz

Kevesebb, mint három órával a hackertámadás kezdete előtt, június 27-én , reggel 8 óra 15 perckor felrobbant egy autó a Solomensky körzetben, amelyet a Hírszerző Főigazgatóság különleges egységének parancsnoka, Maxim Shapoval ezredes vezetett. . Egy erős robbanás következtében a helyszínen meghalt [23] .

Körülbelül 10:30-kor letöltési hullám kezdődött a MEDoc program frissítéséhez, amely a vírusprogram kódját hordozta. Néhány órán belül a vírus számos kormányzati hálózatot elért.

Az ukrán Nemzetbiztonsági és Védelmi Tanács titkára, Olekszandr Turcsinov [24] azt az elméletet terjesztette elő, hogy ez a két esemény összefügg, és kettős orosz támadást jelent, amelyet Ukrajna alkotmányának napjának szenteltek.

Támadások Ukrajnán kívül

Ukrajnával szinte egyidőben a Rosneft [25] , a Bashneft [26] számítógépei leálltak Oroszországban , ami több telephelyen az olajkitermelés leállásához vezetett.

A nagy orosz vállalatok azonban védettnek bizonyultak a féreg terjedése ellen, de nem kellően védettek az általa okozott fertőzésekkel szemben (annak ellenére, hogy nem valószínű, hogy az ukrán adóbevallások készítésére használják a programot) [27] .

Ukrajnát és Oroszországot követően Spanyolországban, Indiában [28] , Írországban, Nagy-Britanniában [29] , valamint az EU és az USA más országaiban és városaiban [30] kezdtek online támadásokat végrehajtani . A McAfee szerint több fertőzött számítógépet regisztráltak az Egyesült Államokban, mint Ukrajnában, ugyanakkor az ESET víruskereső statisztikái szerint a regisztrált fertőzések több mint 80%-a Ukrajnában történt.

Ezt követően az EhituseABC [31] építőipari műhelyei leállították munkájukat Észtországban .

Vizsgálat

A támadás kezdetétől számított nap folyamán az ukrán kiberrendészeti osztály több mint 1000 üzenetet kapott a számítógépes hálózatok működésében bekövetkezett zavarokról, ami munkájuk kudarcához vezetett. Ebből 43 cég tett hivatalos feljelentést a rendőrségen. Június 28-ig 23 büntetőeljárás indult köz- és magánintézmények, szervezetek, vállalkozások elektronikus számítástechnikai rendszereibe való jogosulatlan beavatkozás tényállása miatt ( Ukrajna Büntető Törvénykönyvének 361. cikke ). További 47 tényállás tekintetében az Egységes Előzetes Nyomozási Nyilvántartásba [32] való információ felvételének kérdése folyamatban van .

2017. június 29- ig 1508 jogi személy és magánszemély fordult az ukrán nemzeti rendőrséghez azzal a bejelentéssel, hogy titkosító vírussal blokkolták a számítógépes berendezések működését. Közülük 178-an fordultak hivatalos nyilatkozattal a rendőrséghez. Különösen 152 magánszektorbeli szervezet és 26 fellebbezés az ország közszférából. 115 ilyen tényt tartanak nyilván az elkövetett bűncselekmények és egyéb események egységes nyilvántartása folyóiratában. Jogi képesítésük kérdése megoldás alatt áll. 63 tényre vonatkozóan az ERDR az ukrán büntetőtörvénykönyv 361. cikke alapján tartalmazott információkat [33] .

Ezen túlmenően az Ukrán Biztonsági Szolgálat, az Állami Érdekelhárítás Állami Érdekelhárítási Minisztériumának szakértőit ​​is bevonták a nyomozásba . Interakciót szerveztek a társrendészeti szervekkel, külföldi államok speciális szolgálataival és a kiberbiztonságra szakosodott nemzetközi szervezetekkel. Az SBU szakemberei az amerikai FBI , az Egyesült Királyság Nemzeti Bűnüldözési Ügynöksége (NCA), az Europol , valamint a vezető kiberbiztonsági intézmények szakembereivel együttműködve összehangolt közös intézkedéseket tesznek a Petya A malware terjedésének lokalizálására , hogy végre meghatározzák a módszereket ennek a kiberterror akciónak a végrehajtása a támadások forrásainak, elkövetőinek, szervezőinek és vásárlóinak feltárása [34] .

A kiberrendészeti osztály vezetője, Szergej Demidjuk elmondta, hogy a kiberrendőrség képviselői elmentek a vírustámadást bejelentő vállalkozásokhoz. Megjegyezte azt is, hogy nemzetközi szinten is folytatódhat az együttműködés a vírustámadások következményeinek felszámolására. Az SBU sajtótitkára, Elena Gitljanszkaja azt javasolta, hogy a támadásokat Oroszország területéről vagy a Donbászról szervezték [35] .

A Belügyminisztérium tanácsadója, Anton Gerascsenko szerint hatalmas hackertámadást hajtottak végre Ukrajna állam ellen a WannaCry vírus Ukrajnára módosított változatával  – a „cryptolockerrel”. Véleménye szerint egy ilyen támadást legalább egy hónapja készítettek elő. A támadás végső célja az ukrán gazdaság helyzetének destabilizálása .

2017. július 4- én a Petya féreg terjedésének azonnali megállítása érdekében határozatot hoztak a cég rosszindulatú szoftverek terjesztésére használt szoftvereinek és hardvereinek lefoglalásáról és lefoglalásáról. A keresést a Kiberrendészeti Osztály képviselői, a nyomozók és az Ukrán Biztonsági Szolgálat részvételével hajtották végre. A személyzet munkaszámítógépeit és a kiszolgáló berendezéseket, amelyeken keresztül a szoftvert terjesztették [36] , elkobozták .

Attack attribution

Annak ellenére, hogy a vírus a támadók gazdagítása érdekében létrehozott zsarolóprogramok gyakori példája , számos kutató felvetette, hogy valójában ez a mítosz fedezetül szolgál az egyik állam által a másik ellen irányuló nagyszabású kibertámadáshoz. A vírus fő célja tehát nem a zsarolás lehetett, hanem a fontos adatok megsemmisítése, valamint a nagy állami és magánintézmények normális működésének megzavarása [37] [38] .

Eredmények

Tekintettel arra, hogy minden Bitcoin -tranzakció teljesen nyilvános, bárki láthatja a vírus tulajdonosának történő átutalások statisztikáit. Keith Collins New York-i újságíró és programozó létrehozott egy Twitter - fiókot , amely minden tranzakció után automatikusan frissül, és megmutatja a támadó fiókjának aktuális állapotát.

Június 28-án, kijevi idő szerint 14:00-kor a támadó több mint 10 000 dollárt kapott.

2017. június 28- án az ukrán miniszteri kabinet bejelentette, hogy leállították a vállalati és kormányzati hálózatok elleni nagyszabású hackertámadást [39] .

Június 30-án Turcsinov, a Nemzetbiztonsági és Védelmi Tanács titkára bejelentette, hogy a kiberbűnözők Tor és VPN technológiákat használnak [40] . 2017 júliusának elején az ukrán biztonsági szolgálat bejelentette az orosz különleges szolgálatok részvételét a Petya vírust használó támadásban [41] .

A megtámadott vállalkozások listája

Bankok

Cégek

Orosz és külföldi cégek

Lásd még

Jegyzetek

  1. Példátlan kibertámadás érte a nagy bankokat, kormányt és repülőtereket Ukrajnában  . The Independent (2017. június 27.). Letöltve: 2022. január 15. Az eredetiből archiválva : 2019. augusztus 30.
  2. Ukrán bankok, áramszolgáltató cég, amelyet újabb kibertámadás érte , Reuters  (2017. június 27.). Archiválva az eredetiből 2019. július 16-án. Letöltve: 2022. január 15.
  3. Egy nagyszabású vírustámadás miatt nem működnek a bankok, a média, a szolgáltatások . Ukrán igazság . Letöltve: 2022. január 15. Az eredetiből archiválva : 2021. január 22.
  4. Ukrajnában több tucat cég telepített és támadott meg egy számítógépes vírust | Hromadske televízió  (ukrán) . hromadske.ua . Letöltve: 2022. január 15. Az eredetiből archiválva : 2017. június 27.
  5. Petya.A vírus. Hackerek bankokat, cégeket, Ukrenergo-t és Kievenergo-t támadtak meg . TSN.ua (2017. június 27.). Letöltve: 2022. január 15. Az eredetiből archiválva : 2022. január 15.
  6. A „Petya” vírus megbénította a Minisztertanács munkáját . Ukrán igazság . Letöltve: 2022. január 15. Az eredetiből archiválva : 2022. január 15.
  7. Hackertámadás Ukrajna ellen: részletek . RBC-Ukrajna . Letöltve: 2022. január 15. Az eredetiből archiválva : 2022. január 23.
  8. Kramer, Andrew Ukrajna A kibertámadásnak a megbénítása volt a célja, nem pedig a profit, a bizonyítékok bemutatása . The New York Times (2017. június 28.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. június 29.
  9. Borys, Christian . Ukrajna további kibertámadásokra készül  , BBC News (  2017. július 26.). Archiválva az eredetiből 2017. július 26-án. Letöltve: 2021. május 11.
  10. Satter, Raphael Ukraine azt mondja, hogy meghiúsította a második kibertámadást a rendőrségi razzia után . Associated Press (2017. július 5.). Letöltve: 2017. július 5.  (elérhetetlen link)
  11. Frenkel, Sheera Global Ransomware Attack: Mit tudunk és mit nem tudunk . The New York Times (2017. június 27.). Letöltve: 2017. június 28. Az eredetiből archiválva : 2017. június 27.
  12. Krasnomovets, Pavel . Minden, amit az XData ransomware-ről tudunk: ki van veszélyben és mit kell tennie  (orosz) , AIN.UA  (2017. május 24.). Archiválva az eredetiből 2017. június 28-án. Letöltve: 2017. június 29.
  13. Polityuk, Pavel Globális kibertámadás valószínűleg fedezetet nyújt a rosszindulatú programok telepítésére Ukrajnában: rendőrtiszt . Reuters (2017. június 29.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. június 29.
  14. Petroff, Alanna Experts: A globális kibertámadás inkább „szabotázsnak”, mint zsarolóprogramnak tűnik . CNN (2017. június 30.). Hozzáférés dátuma: 2017. június 30. Az eredetiből archiválva : 2017. július 1.
  15. "Petya" vírus. Hogyan védekezhet a kibertámadás ellen . Ukrán igazság (2017. június 27.). Letöltve: 2016. június 28. Az eredetiből archiválva : 2020. október 1..
  16. Mennyit keresett a szerző a Petya.A vírussal, és az országok szenvedtek a legtöbbet a jógától?  (ukrán) , Tokar.ua  (2017. 28. napja). Letöltve: 2017. június 28.
  17. Hern, Alex . A The Guardian (  2017. június 28.) kutatók állítják , hogy a zsarolóvírus-támadás „nem pénzszerzésre készült” .  Archiválva az eredetiből 2017. június 28-án. Letöltve: 2017. június 28.
  18. Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt . Posteo (2017. június 27.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. június 27.
  19. CERT-EU-SA2017-014: Petya-Like Malware kampány . CERT-EU (2017. június 27.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2019. február 3.
  20. Oleg Dmitrenko Cyberpolice: a vírustámadás kiterjesztése a MEdoc segítségével . Figyelő (2017. június 28.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. június 28.
  21. Új ransomware, régi technikák: Petya féregképességeket ad hozzá . Microsoft Malware Protection Center blog (2017. május 27.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. június 28.
  22. Dave Lee „Vaccine” hatalmas kibertámadásokhoz készült . BBC hírek. Letöltve: 2017. június 29. Az eredetiből archiválva : 2019. augusztus 17.
  23. A Honvédelmi Minisztérium megerősítette: GUR ezredes meghalt a robbanásban (hozzáférhetetlen link) . Ukrán igazság (2017. június 27.). Letöltve: 2022. január 15. Az eredetiből archiválva : 2017. június 30. 
  24. Zbіg kibertámadások és Shapoval ezredes beütése nem vipadkovim, - Turchinov (hozzáférhetetlen link) . Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. június 27. 
  25. Erőteljes támadás: a WannaCry vírus klónja behatolt a Rosneft szervereire . NTV (2017. június 27.). Letöltve: 2022. január 15. Az eredetiből archiválva : 2022. január 15.
  26. A WannaCry vírus klónja megbénította a Bashneft számítógépeket . Vedomosti (2017. május 27.). Letöltve: 2022. január 15. Az eredetiből archiválva : 2022. április 1..
  27. A Grugq. Pnyetya: Még egy Ransomware-járvány . Medium.com (2017. június 27.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. június 28.
  28. Az Ukrajna elleni hackertámadás az egész világon terjed, - The Independent . RBC-Ukrajna . Letöltve: 2022. január 15. Az eredetiből archiválva : 2018. október 21..
  29. Globális kibertámadás érte az IT-rendszereket Írországban és az  Egyesült Királyságban . független (2017. május 27.). Letöltve: 2022. január 15. Az eredetiből archiválva : 2022. január 15.
  30. A „Petya” zsarolóvírus-támadás Európa és az  Egyesült Államok vállalatait sújtja . a Guardian (2017. június 27.). Letöltve: 2022. január 15. Az eredetiből archiválva : 2022. január 27.
  31. A Petya vírus elérte Észtországot: minden Ehituse ABC üzlet bezárt támadás miatt  (orosz) , Rus.Postimees.ee . Archiválva az eredetiből 2017. július 1-jén. Letöltve: 2017. július 5.
  32. A RENDŐRSÉG VIDKRITÓ 23 BŰNÜGYI TERMÉK A SZÁMÍTÓGÉPES MEREG ROBOTTÁBAN ÉRINTETT TÉNYEKÉRT . Kiberrendészeti Osztály (2017. június 28.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. december 22.
  33. Két dobiért a rendőrségre 1,5 ezer bejelentés érkezett számítógépes hálózatok vírusfertőzéséről . Kiberrendészeti Osztály (2017. június 29.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. október 3..
  34. Az SBU a külföldi partnerekkel együttműködve továbbra is dolgozik a PetyaA roaming szoftverének lokalizálásán (hozzáférhetetlen link) . Ukrajna Biztonsági Szolgálata (2017. június 29.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. július 4. 
  35. Masszív hackertámadások szervezhetők Oroszországban, - SBU . Volinsky hírek . Letöltve: 2022. január 15. Az eredetiből archiválva : 2017. június 27.
  36. Ukrajna történetének legnagyobb kibertámadásáról, amelyből vírus lett Diskcoder.C - cyberpolice  (ukr.) . Az ukrán nemzeti rendőrség kiberrendészeti osztálya (2017. július 5.). Hozzáférés dátuma: 2017. december 20. Az eredetiből archiválva : 2017. július 5.
  37. Russell Brandom A Petya ransomware kezd úgy kinézni, mint egy álruhás kibertámadás . The Verge (2017. június 28.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. június 29.
  38. Andy Greenberg. Az ukránok szerint a Petya Ransomware államilag támogatott támadásokat rejt . The Wired (2017. június 28.). Letöltve: 2017. június 29. Az eredetiből archiválva : 2017. június 29.
  39. Kibertámadás a kormány vállalati hálózatai és szervezetei ellen  (ukr.)  (hozzáférhetetlen link) . kmu.gov.ua (2017. június 28.). Letöltve: 2022. január 15. Az eredetiből archiválva : 2017. július 1..
  40. Turchinov: A Petya vírust VPN Ukrán szolgáltatón keresztül tesztelték  (ukr.) . TÉNYEK ICTV (2017. június 30.). Letöltve: 2022. január 15. Az eredetiből archiválva : 2022. január 15.
  41. Az SBU a Vimagach Petya vírus elleni támadás előtt megállapította az orosz különleges szolgálatok elszámoltathatóságát. (nem elérhető link) . SBU (2017. július 1.). Letöltve: 2017. július 14. Az eredetiből archiválva : 2017. július 5.. 
  42. Kibertámadások által érintett bankok és cégek: lista . Letöltve: 2017. június 29. Az eredetiből archiválva : 2022. február 25.
  43. Az ICTV csatornát feltörték . Hozzáférés időpontja: 2018. január 16. Az eredetiből archiválva : 2018. január 17.
  44. 1 2 "Ukrlandfarming" és "Vanguard" Bakhmatyuk feltörték . Hozzáférés időpontja: 2018. január 16. Az eredetiből archiválva : 2018. január 17.
  45. Evgen csokor. Vitannia Petru O. a „Peti A.”-ból. az alkotmány napja előtt  (elérhetetlen link)
  46. A Petya vírus Európa-szerte elterjedt - The Guardian . Letöltve: 2017. június 29. Az eredetiből archiválva : 2022. február 18..
  47. Natalia Seliverstova . Az Evraz információs rendszert feltörték , RIA Novosti  (2017. június 27.). Archiválva az eredetiből 2017. augusztus 1-jén. Letöltve: 2017. július 17.

Linkek