«Чорний вівторок» українського IT: яких збитків завдала кібератака, та хто її вчинив

«Наслідки досі важко оцінити»

Ось лише кілька прикладів збоїв у роботі державних та приватних інформаційних систем, які «Громадське” отримало у відповідь на інформаційні запити:

«Внаслідок атаки були проблеми з дзвінками на лінію контакт-центру, та не працювали комп’ютерні системи обслуговування абонентів… Наразі (4 липня — ред.) центри обслуговування відповідають 75% абонентів. Відновлювальні роботи тривають»

Пресс-служба «Укртелекому»

«Було заблоковано декілька десятків персональних комп’ютерів. У зв’язку з цією подією призупинено роботу інформаційної системи «Фінанси і персонал», ведуться роботи щодо відновлення її працездатності»

Державна фіскальна служба

Податківці також визнають, що вірус заблокував роботу автоматизованих систем завантаження податкових накладних, через що тисячі платників ПДВ можуть отримати штрафи за несвоєчасне подання документів.

Деякі держоргани, наприклад Пенсійний фонд, не змогли відповісти через досі уражені сервери електронної пошти.

Другий тиждень українські правоохоронці, держслужбовці та IT-аналітики підраховують втрати від масштабної хакерської атаки, пік якої припав на 27 червня. Тоді внаслідок дії вірусу, який наразі ідентифікований спеціалістами як Diskcoder.C, одночасно вийшли з ладу десятки тисяч комп’ютерів по всьому світу.

За даними словацького виробника антивірусів, компанії ESET, понад 75% уражень стались саме в Україні. Протягом вівторка 27 червня один за одним вимикалися мережі телеком-операторів і АЗС, банків та служб доставки, енергокомпаній та державних органів. Вірус, спочатку ідентифікований як програма вимагач Petya, проникаючи в систему шифрував сектор завантаження жорстких дисків та файли певного типу. Після перезавантаження на екранах уражених комп’ютерів з’являлося повідомлення з вимогою заплатити викуп для відновлення роботи.

За словами заступника голови адміністрації президента Дмитра Шимківа, колишнього керівника українського представництва Microsoft, того дня вийшли з ладу близько 10% усіх приватних, корпоративних та державних комп’ютерів в країні. Близько половини з них не підлягають відновленню.

ЧИТАЙТЕ ТАКОЖ Цифровий апокаліпсис через недбалість: що треба знати про наймасштабнішу хакерську атаку в Україні

Ще більше машин — навіть цілі мережі — були просто вимкнені, щоб запобігти подальшому поширенню вірусу. Так, наприклад, для уникнення зараження в “чорний вівторок” вимикати від мережі довелося навіть сервери МВС і сайт кіберполіції, яка в цей час вже розпочала розслідування інциденту.

Численні аналітики і галузеві експерти, з якими спілкувалось Громадське, досі не беруться оцінити матеріальні втрати корпоративного та держаного сегменту від кібератаки. Найсміливіше припущення в інтерв'ю агенції AP зробив міністр фінансів Олександр Данилюк — за його підрахунками загальні збитки в масштабах країни можуть скласти до 0,5% ВВП, тобто понад 14 млрд гривень.

$300 чи шпигунство?

«Це все досить умовні підрахунки, — припускає в розмові з «Громадським» голова кіберполіції Сергій Демедюк. — Зараз можна лише оцінити вартість виведених з ладу комп’ютерів, якось розрахувати недоотримані прибутки від непрацюючих сервісів. Але насправді, ми досі не знаємо, що саме робив вірус».

Ще в перші дні атаки фахівцям стало зрозуміло: вимога заплатити $300 в криптовалюті біткойн за розшифрування уражених вірусом жорстких дисків — лише ширма для справжніх цілей зловмисників. Постраждалі, які наважувались перерахувати гроші вимагачам, так і не отримали ключів дешифрації. А глибокий аналіз коду вірусу показав, що процес дешифрації уражених файлів максимально ускладнений розробниками.

За перші дні атаки на вказані у повідомлені вірусу адреси перевели близько 4 біткойнів або $10 тис, свідчать данні блокчейну. За кілька днів ймовірні розробники вірусу заявили про себе на одному з галузевих ресурсів у дарквебі — таємній і максимально анонімній частині світової Мережі. За викуп у 10 біткойнів або близько $24,7 тис. вони пропонували універсальний ключ для розшифровки будь-яких уражених файлів.

Журналісти видання Motherboard  зв’язалися з авторами та змогли безкоштовно розшифрувати один уражений файл.

На думку представників компанії Acronis, розробника систем резервного копіювання, яких цитує російське видання «Ведомости» на створення вірусу рівня Diskcoder.C зловмисники повинні були витратити кілька місяців роботи та близько $80 тис. Це робить окупність атаки досить сумнівним питанням. Тож на думку старшого дослідника ESET Антона Черепанова, насправді зловмисники і не мали на меті отримувати викуп за дешифрацію уражених файлів.

«Рівень проникнення в уражені мережі відкривав для них значно ширші можливості, — погоджується Сергій Маковець, директор компанії ISSP Ukraine, що спеціалізується на IT-безпеці, — Цілком імовірно, що це було прикриття для відходу після справжньої атаки, яка мала на меті шпигунство чи викрадення даних».

Маковець розповідає, що його компанії наразі відомо принаймні про один випадок витоку даних з внутрішньої мережі одного з комерційних банків ураженого вірусом Diskcoder.C.

«Скільки можуть коштувати такі дані і для чого вони знадобилися — це запитання, на які поки немає відповідей», — каже фахівець.

Голова кіберполіції Сергій Демедюк поки не готовий назвати справжню мету атаки. За його словами, поряд із кібершпигунством наразі розглядається версія про цифровий саботаж — диверсію, метою якої було саме одночасне виведення з ладу багатьох комп’ютерних систем для створення ефекту хаосу та дестабілізації ситуації в країні.

До цієї версії схиляються і в СБУ, розповідає «Громадському» співрозмовник, який працює у нещодавно створеному в її структурі центрі протидії кібератакам. Ця версія була швидко підхоплена багатьма українськими політиками і дозволяє розглядати останню атаку, як елемент нової, кібернетичної війни з Росією.

«Однак беззаперечних доказів цього в нас поки немає. Коли мова йде про кіберзлочини, докази збирати дуже важко», — визнає заступник голови АП Дмитро Шимків.

TeleBot повертається

Утім ретельний аналіз атаки, типи уражених файлів, та специфічні деталі коду вірусу, на думку Антона Черепанова дозволяють пов’язати червневу атаку із таємничою групою хакерів, яку в ESET називають TeleBot. Саме вона, за версією розробників антивірусів, причетна до попередньої масштабної атаки у грудні 2016 року. Тоді внаслідок дії вірусу KillDisk на кілька днів були виведені з ладу численні державні IT-системи, в тому числі Держказначейства, Мінфіну, “Укразалізниці”, Пенсійного фонду, комерційних банків. Також на кілька годин вночі була відключена від електроенергії частина Києва.

Останній факт, в купі з використанням вірусу KillDisk  дозволяє ESET пов’язувати TeleBot з іншою хакерською групою — BlackEnergy. Вона в свою чергу може стояти за попередніми атаками на українську енергосистему в грудні 2015 року та в січні 2016 року. Тоді зловмисникам, зокрема, вдалося захопити управління розподільчими мережами Прикарпаттяобленерго та на кілька годин залишити без електроенергії 230 тисяч мешканців Івано-Франківщини.

Під час першої хвилі атак у грудні 2016 TeleBot не залишали ніяких повідомлень для власників уражених комп’ютерів окрім цитати з американського телесеріалу  «Mr.Robot» — історії про групу хакерів, що веде боротьбу проти могутньої фінансової корпорації:

«Привіт, друже. Ми знову тут. Битва почалася, але до кінця війни ще далеко… », — зокрема зазначалось на сайті Держказначейства.

Однак під час другої хвилі, яка пройшла менш поміченою, зловмисники залишили реквізити для переказу 222 біткойнів (наразі близько $550 тис.), які вони вимагали за відновлення доступу для систем.

У 2017 році група TeleBot не припинила своїх кібератак. Навпаки, вони стали більш витонченими. У період з січня по березень 2017 року нападники скомпрометували одну з компаній-розробників програмного забезпечення в Україні і вже звідти отримали доступ до внутрішніх мереж декількох фінансових установ, зазначають у ESET.

Нинішня ж атака розпочалася щонайпізніше в середині травня, коли TeleBot почали розсилати новий вірус.

Справа бухгалтерів

За словами Сергія Демедюка, кіберполіція наразі перевіряє інформацію щодо причетності хакерських груп TeleBot чи BlackEnergy до кібератаки 27 червня. Однак поки говорить про ймовірне притягнення до відповідальності співробітників української компаніїї «Інтелект-Сервіс» — розробника популярної програми для електронного документообігу та бухгалтерської звітності M.E.Doc. Саме з її допомогою українськими мережами в травні-червні 2017 року ширився вірус, який призвів до масштабного краху систем.

Згідно з даними держреєстру юридичних осіб, основним власником створеного в 2001 році ТОВ «Інтелект-Сервіс» є Сергій Линник, а міноритаріями — Юнна Тисячна і Михайло Марченко. Виручка компанії в 2015 році склала 5,76 млн грн, чистий збиток — 1,26 млн грн.

Сама програма M.E.Doc створена у 2010 році. Її ліцензіатами є компанії «Український спеціальний оператор» та «IT Експерт». Кінцевими бенефіціарними власниками «IT Експерт» виступають кияни Святослав Крижевич і Неоніла Линник, а «Українського спеціального оператора» — кіпріот Андреас Франгос через кіпрську компанію «Дорефіна Лтд».

За словами директорки «Інтелект-Сервісу» Олесі Білоусової, користувачами програми є близько півмільйона компаній та фізичних осіб-підприємців, вона встановлена на близько мільйон комп’ютерів по всій країні.

За даними аналітиків ESET, зловмисники почали використовувати M.E.Doc не раніше першої половини травня. Тоді, разом із підробленим оновленням вони розіслали так званий бекдор — програму, яка відкривала несанкціонований віддалений доступ до уражених комп’ютерів.

ЧИТАЙТЕ ТАКОЖ Комп'ютерний вірус-вимагач Petya: як захиститись

«Вже потім, вони проникали з одного зараженого комп’ютера по всій мережі, отримували права адміністратора, та поступово брали під контроль усю IT-інфраструктуру компаній», — розповідає архітектор систем безпеки компанії «ІТ-Інтегратор» Олексій Швачка.

В ESET зазначають, що ще у травні помітили підозрілу активність в M.E.Doc, повідомили про неї розробників та випустили оновлення (патч), яке закривало запущений хакерами несанкціонований доступ. Однак це оновлення не набуло поширення серед користувачів.

4 липня загін автоматників увірвався до київського офісу «Інтелект-Сервісу» — кіберполіція розпочала обшук, вилучення серверів та допити співробітників компанії. Олеся Білоусова обурюється такими діями правоохоронців і звинуваченнями у причетності до поширення вірусу.

«Ми самі стали жертвами нападу, наша програма та сервери були зламані. Та ми, як і інші компанії, співпрацюємо зі слідством», — пояснює вона.

Водночас, в кіберполіції стверджують, що розробники M.E.Doc проігнорували численні попередження розробників антивірусів та спеціалістів з безпеки, що мало не призвело до повторної атаки 4 липня. Наразі в Державній фіскальній службі зокрема не рекомендують використовувати цю програму для роботи з електронною звітністю.

«Робота M.E.Doc  викликає в нас багато запитаннь, — розповів Громадському голова кіберполіції Сергій Демедюк. — Поки що ми розцінюємо їхню поведінку як недбалість, яка призвела до катастрофічних наслідків. За це має хтось відповідати. Якщо ж встановимо, що ці дії були умисними, розмова буде вже зовсім інша».

Такі серйозні наслідки для «Інтелект-Сервісу» дають можливість припустити, що метою вірусної атаки зокрема була дискредитація популярної бухгалтерської програми, що має значну частку на українському ринку.

«Це цікава версія, такі замовлення на хакерському ринку трапляються. Однак вона поки що не підкріплена ніякими доказами», — говорить директор ISSP Ukraine Сергій Маковець.

Підписуйтесь на наш канал в Telegram