Hackerangreb på Ukraine (2017)

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 19. februar 2022; checks kræver 7 redigeringer .
Hackerangreb på Ukraine

Overvågning af en computer inficeret med en virus
datoen 27. juni 2017
Placere først  Ukraine senere  USA Rusland Polen Frankrig Italien Indien Tyskland Storbritannien Spanien Estland Rumænien 

 
 
 
 
 
 
 
 
 
 
 
Resultat aktiviteterne i statslige og kommercielle virksomheder, websteder, udøvende myndigheder er blokeret
Mistænkte  Rusland (ifølge ansøgningen fra Ukraine, USA, Storbritannien, Australien)

Hackerangreb på Ukraine  er målrettet storstilet [1] [2] [3] hackerangreb på netværkene af ukrainske statsvirksomheder, institutioner, banker, medier og lignende, som fandt sted den 27. juni 2017 . Som et resultat af disse angreb blev aktiviteterne for sådanne virksomheder som Boryspil Lufthavn , Chernobyl Nuclear Power Plant , Ukrtelecom , Ukrposhta , Oschadbank , Ukrzaliznytsia og en række store kommercielle virksomheder blokeret [4] [5] .

Hjemmesiden for Ukraines ministerkabinet [6] , tv-kanalen Inter , TRK Lux media holding , som omfatter Channel 24, Radio Lux FM , Radio Maximum , forskellige online-publikationer samt websteder Lviv City Council , Kiev City State Administration og Ukraines særlige kommunikationstjeneste [7] .

Udsendelser af programmer blev stoppet af kanalerne " First Automobile " og TRK "Kyiv" .

Karakteristika ved virussen

Virusinfektionen begyndte ved distribution af en opdatering til MEDoc- programmet den 27. juni 2017. MEDoc-programmet er meget udbredt til indlevering af regnskaber i Ukraine [8] , ifølge informationssikkerhedsspecialister havde virksomheden omkring 400.000 kunder på infektionstidspunktet, hvilket er omkring 90 % af alle organisationer i landet [9] [10 ] . Tilsyneladende var opdateringsserveren kompromitteret og blev brugt til den primære distribution af malwaren [11] . En lignende infektion fandt sted den 18. maj 2017, da en distribueret MEDoc-applikation blev inficeret med XData ransomware [12] .

Selve ransomwaren var baseret på koden til den tidligere kendte 2016 malware Petya, efter at have modtaget sin egen Petya.A fra den. Når først ransomware er i systemet, bruger ransomwaren en kendt sårbarhed i EternalBlue SMB -protokollen til at få fodfæste i systemet, krypterer indholdet på harddisken, ødelægger permanent de originale filer og tvangsgenstarter computeren [13] [14] . Efter genstarten bliver brugeren præsenteret for en skærm, der beder dem om at overføre beløbet i bitcoins , svarende på det tidspunkt til 300 dollars [15] [16] . Samtidig forsøger virussen at søge efter sårbare computere på det lokale netværk og inficerer yderligere gennem EternalBlue-sårbarheden.

Men på trods af det ret høje niveau af implementering af selve virussen brugte dens udviklere en ekstremt sårbar og upålidelig måde at kommunikere med ofre på, hvilket giver indtryk af, at afpresning ikke var hovedmotivet [17] : alle ofre inviteres til at overføre bitcoins værd $ 300 til tegnebogen til forfatteren af ​​virussen og overfør den lange kode vist på skærmen til den angivne e-mailadresse.

Postvæsenet, hvor angribernes postkasse var registreret, blokerede den blot få timer efter angrebets begyndelse (hvilket gjorde det umuligt for ofrene at kommunikere med angriberne) og rapporterede, at det arbejdede aktivt med den tyske forbundsinformationssikkerhedstjeneste i undersøger denne begivenhed [18] . Det vil sige, at betale en løsesum giver ikke mening, da det med garanti ikke giver det ønskede resultat [19] .

Først spekulerede Cyber ​​​​Politiet [20] , og Microsofts computersikkerhedsspecialister bekræftede, at angrebet startede fra MEdocs automatiske programopdateringssystem den 27. juni 2017 omkring kl. 10:30 GMT (13:30 Kyiv-tid, cyberen). politiet hævder, at angrebet startede klokken 10:30 Kiev-tid) [21] . Udvikleren af ​​MEDoc-programmet, IT Expert, postede en besked på sin hjemmeside, der anerkendte kilden til angrebet, men fjernede den hurtigt. Efterfølgende blev der udsendt en ny besked, hvori virksomheden nægtede enhver involvering i spredningen af ​​virussen eller hacking af dets informationssystemer [22] .

Skadelig handling

Den skadelige virkning af en virus afhænger af de rettigheder, dens proces har , og af hvilke processer, der kører i operativsystemet . Virussen beregner en simpel hash af navnene på kørende processer, og hvis foruddefinerede koder findes, kan den enten stoppe med at sprede sig eller endda opgive den skadelige handling.

Først og fremmest ændrer virussen Master Boot Record (MBR) med dens startkode, indstiller en tilfældig timer (mindst 10, men ikke mere end 60 minutter) til at genstarte computeren og ødelægger alle poster i systemloggene. Efter indlæsning, takket være ændringer i MBR, indlæses en virus i stedet for operativsystemet, som tegner en falsk på skærmen under grænsefladen til harddiskens integritetskontrolprogram Chkdsk . Samtidig startes processen med at kryptere data i filer fra en foruddefineret liste over typer (der er mere end 60). Når krypteringen er fuldført, skifter skærmen til en vellykket angrebsmeddelelse, der kræver en løsesum.

For hver computer beregner virussen en ny nøgle til den symmetriske AES-128- krypteringsalgoritme , som krypterer angribernes nøglepar med en 800-bit RSA offentlig nøgle og gemmer den på harddisken.

Afhængigt af de opnåede rettigheder forsøger virussen at slette Master Boot Record (MBR) og Volume Boot Record (VBR).

Link til angrebet

Mindre end tre timer før starten på hackerangrebet, den 27. juni kl. 8.15 om morgenen, eksploderede en bil i Solomensky-distriktet, drevet af chefen for en specialstyrkes afdeling af hovedefterretningsdirektoratet, oberst Maxim Shapoval . Efter en kraftig eksplosion døde han på stedet [23] .

Cirka klokken 10:30 begyndte en bølge af downloads at opdatere MEDoc-programmet, som bar virusprogrammets kode. Inden for få timer ramte virussen en række offentlige netværk.

Sekretær for Ukraines Nationale Sikkerheds- og Forsvarsråd Oleksandr Turchynov [24] fremsatte teorien om, at disse to begivenheder er forbundet og udgjorde et dobbelt russisk angreb dedikeret til Ukraines grundlovsdag.

Angreb uden for Ukraine

Næsten samtidig med Ukraine stoppede Rosneft [25] , Bashnefts [26] computere med at fungere i Rusland , hvilket førte til et stop i olieproduktionen på flere steder.

Store russiske virksomheder viste sig imidlertid at være beskyttet mod spredning af ormen, men ikke tilstrækkeligt beskyttet mod infektion med den (på trods af at de næppe vil bruge programmet til at udarbejde ukrainske skatterapporter) [27] .

Efter Ukraine og Rusland begyndte angreb at blive udført online i Spanien, Indien [28] , Irland, Storbritannien [29] og andre lande og byer i EU og USA [30] . Ifølge McAfee blev der registreret flere inficerede computere i USA end i Ukraine, dog hævder ESETs antivirusstatistikker , at mere end 80 % af de registrerede infektioner fandt sted i Ukraine.

Derefter stoppede byggeforretninger i virksomheden EhituseABC [31] deres arbejde i Estland .

Efterforskning

I løbet af dagen fra begyndelsen af ​​angrebet modtog Cyber ​​​​Police Department of Ukraine mere end 1.000 meddelelser om interferens i driften af ​​computernetværk, hvilket førte til fejl i deres arbejde. Heraf indgav 43 virksomheder officielt klager til politiet. Fra den 28. juni er der indledt 23 straffesager om kendsgerninger om uautoriseret indblanding i elektroniske computersystemer i både offentlige og private institutioner, organisationer, virksomheder (artikel 361 i Ukraines straffelov ). For yderligere 47 kendsgerninger er spørgsmålet om at indføre oplysninger i det fælles register over forundersøgelser [32] ved at blive afgjort .

Fra den 29. juni 2017 henvendte 1.508 juridiske enheder og enkeltpersoner sig til Ukraines nationale politi med rapporter om blokering af driften af ​​computerudstyr ved hjælp af en krypteringsvirus. Heraf henvendte 178 sig til politiet med officielle udtalelser. Især 152 private organisationer og 26 appeller fra den offentlige sektor i landet. Sådanne fakta er registreret i journalen for Unified Record of Committed Criminal Violations and Other Events. Spørgsmålet om deres juridiske kvalifikationer er ved at blive løst. For 63 fakta blev oplysninger inkluderet i ERDR i henhold til artikel 361 i Ukraines straffelov [33] .

Derudover var specialister fra afdelingen for kontraspionagebeskyttelse af statslige interesser inden for informationssikkerhedsområdet for Ukraines sikkerhedstjeneste involveret i efterforskningen . Interaktionen blev organiseret med partnerretshåndhævende myndigheder, særlige tjenester fra fremmede stater og internationale organisationer med speciale i cybersikkerhed. SBU-specialister tager i samarbejde med specialister fra US FBI , UK National Crime Agency (NCA), Europol samt førende cybersikkerhedsinstitutioner koordinerede fælles foranstaltninger for at lokalisere spredningen af ​​Petya A malware , for endelig at bestemme metoderne for implementering af denne cyberterrorisme-aktion for at etablere angrebskilder, dens gerningsmænd, arrangører og kunder [34] .

Lederen af ​​Cyber ​​​​Police Department, Sergei Demidyuk, sagde, at repræsentanter for cyberpolitiet gik til de virksomheder, der annoncerede angrebet af virussen. Han bemærkede også, at samarbejdet om at eliminere konsekvenserne af virusangreb kan fortsætte på internationalt plan. Pressesekretæren for SBU , Elena Gitlyanskaya, foreslog, at angrebene var organiseret fra Ruslands territorium eller fra Donbass [35] .

Ifølge rådgiveren for indenrigsministeriet Anton Gerashchenko blev der udført et massivt hackerangreb mod staten Ukraine ved hjælp af en version af WannaCry -virussen modificeret til Ukraine  - "cryptolocker". Efter hans mening var et sådant angreb under forberedelse i mindst en måned. Det ultimative mål med angrebet er at destabilisere situationen i den ukrainske økonomi .

Den 4. juli 2017, for straks at stoppe spredningen af ​​Petya-ormen, blev der truffet en beslutning om at foretage søgninger og beslaglægge virksomhedens software og hardware, som blev brugt til at distribuere ondsindet software. Søgningerne blev udført af repræsentanter for Cyber ​​​​Police Department, efterforskere og med deltagelse af Ukraines sikkerhedstjeneste. Arbejdscomputere med personale og serverudstyr, hvorigennem softwaren blev distribueret [36] , blev konfiskeret .

Angrebstilskrivning

På trods af det faktum, at virussen ser ud til at være et almindeligt eksempel på ransomware , der er skabt for at berige angribere, har en række forskere foreslået, at denne myte faktisk tjener som et dække for et storstilet cyberangreb fra en stat mod en anden. Hovedformålet med virussen kunne således ikke være afpresning, men ødelæggelse af vigtige data og afbrydelse af den normale drift af store offentlige og private institutioner [37] [38] .

Resultater

På grund af det faktum, at alle Bitcoin- transaktioner er fuldstændig offentlige, kan enhver se statistikken over overførsler til ejeren af ​​virussen. New York - journalisten og programmøren Keith Collins oprettede en Twitter - konto , der automatisk opdateres efter hver transaktion og viser den aktuelle status for angriberens konto.

Fra kl. 14.00 Kyiv-tid den 28. juni modtog angriberen mere end $10.000.

Den 28. juni 2017 annoncerede Ukraines ministerkabinet , at et storstilet hackerangreb på virksomheds- og regeringsnetværk var blevet stoppet [39] .

Den 30. juni annoncerede sekretæren for det nationale sikkerheds- og forsvarsråd Turchynov muligheden for, at cyberkriminelle kunne bruge Tor- og VPN- teknologier [40] . I begyndelsen af ​​juli 2017 annoncerede Ukraines sikkerhedstjeneste involveringen af ​​de russiske specialtjenester i angrebet ved hjælp af Petya-virussen [41] .

Liste over angrebne virksomheder

Banker

Virksomheder

Russiske og udenlandske virksomheder

Se også

Noter

  1. Et hidtil uset cyberangreb har netop udryddet store banker, regerings- og lufthavnscomputere i Ukraine  . The Independent (27. juni 2017). Hentet 15. januar 2022. Arkiveret fra originalen 30. august 2019.
  2. Ukrainske banker, elektricitetsfirma ramt af nyt cyberangreb , Reuters  (27. juni 2017). Arkiveret fra originalen den 16. juli 2019. Hentet 15. januar 2022.
  3. På grund af et storstilet virusangreb virker banker, medier, tjenester ikke . ukrainsk sandhed . Hentet 15. januar 2022. Arkiveret fra originalen 22. januar 2021.
  4. I Ukraine har snesevis af virksomheder installeret og angrebet en computervirus | Hromadske tv-station  (ukrainsk) . hrmadske.ua . Hentet 15. januar 2022. Arkiveret fra originalen 27. juni 2017.
  5. Petya.A-virus. Hackere angreb banker, virksomheder, Ukrenergo og Kievenergo . TSN.ua (27. juni 2017). Hentet 15. januar 2022. Arkiveret fra originalen 15. januar 2022.
  6. "Petya"-virussen lammede arbejdet i ministerkabinettet . ukrainsk sandhed . Hentet 15. januar 2022. Arkiveret fra originalen 15. januar 2022.
  7. Hackerangreb på Ukraine: detaljer . RBC-Ukraine . Hentet 15. januar 2022. Arkiveret fra originalen 23. januar 2022.
  8. Kramer, Andrew Ukraine Cyberangreb var beregnet til at lamme, ikke profitere, viser beviser . The New York Times (28. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 29. juni 2017.
  9. Borys, Christian . Ukraine forbereder sig på yderligere cyberangreb  , BBC News (  26. juli 2017). Arkiveret fra originalen den 26. juli 2017. Hentet 11. maj 2021.
  10. Satter, Raphael Ukraine siger, at det afværgede 2. cyberangreb efter politiets razzia . Associated Press (5. juli 2017). Hentet: 5. juli 2017.  (utilgængeligt link)
  11. Frenkel, Sheera Global Ransomware Attack: What We Know and Don't Know . The New York Times (27. juni 2017). Hentet 28. juni 2017. Arkiveret fra originalen 27. juni 2017.
  12. Krasnomovets, Pavel . Alt, hvad vi ved om XData ransomware: hvem er i fare, og hvad skal man gøre  (russisk) , AIN.UA  (24. maj 2017). Arkiveret fra originalen den 28. juni 2017. Hentet 29. juni 2017.
  13. Polityuk, Pavel Globalt cyberangreb sandsynligvis dækning for malwareinstallation i Ukraine: politiembedsmand . Reuters (29. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 29. juni 2017.
  14. Petroff, Alanna Eksperter: Globalt cyberangreb ligner mere 'sabotage' end ransomware . CNN (30. juni 2017). Dato for adgang: 30. juni 2017. Arkiveret fra originalen 1. juli 2017.
  15. Virus "Petya". Sådan beskytter du dig selv mod et cyberangreb . Ukrainsk sandhed (27. juni 2017). Hentet 28. juni 2016. Arkiveret fra originalen 1. oktober 2020.
  16. Hvor meget tjente forfatteren virussen Petya.A, og led landene mest af yoga?  (ukrainsk) , Tokar.ua  (28. dag i 2017). Hentet 28. juni 2017.
  17. Hern, Alex . Ransomware-angreb 'ikke designet til at tjene penge', hævder forskere  , The Guardian (  28. juni 2017). Arkiveret fra originalen den 28. juni 2017. Hentet 28. juni 2017.
  18. Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt . Posteo (27. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 27. juni 2017.
  19. CERT-EU-SA2017-014: Petya-lignende malware-kampagne . CERT-EU (27. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 3. februar 2019.
  20. Oleg Dmitrenko Cyberpoliti: virusangreb udvidet via MEdoc . Watcher (28. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 28. juni 2017.
  21. Ny ransomware, gamle teknikker: Petya tilføjer ormefunktioner . Microsoft Malware Protection Center-blog (27. maj 2017). Hentet 29. juni 2017. Arkiveret fra originalen 28. juni 2017.
  22. Dave Lee 'Vaccine' skabt til et stort cyberangreb . BBC nyheder. Hentet 29. juni 2017. Arkiveret fra originalen 17. august 2019.
  23. Forsvarsministeriet bekræftede: Oberst GUR døde af eksplosionen (utilgængeligt link) . Ukrainsk sandhed (27. juni 2017). Hentet 15. januar 2022. Arkiveret fra originalen 30. juni 2017. 
  24. Zbіg cyberangreb og banker ind af oberst Shapoval er ikke vipadkovim, - Turchinov (utilgængeligt link) . Hentet 29. juni 2017. Arkiveret fra originalen 27. juni 2017. 
  25. Kraftfuldt angreb: en klon af WannaCry-virussen trængte ind på Rosnefts servere . NTV (27. juni 2017). Hentet 15. januar 2022. Arkiveret fra originalen 15. januar 2022.
  26. WannaCry virus klon lammet Bashneft computere . Vedomosti (27. maj 2017). Hentet 15. januar 2022. Arkiveret fra originalen 1. april 2022.
  27. Grugq. Pnyetya: Endnu et Ransomware-udbrud . Medium.com (27. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 28. juni 2017.
  28. Hackerangreb på Ukraine spreder sig over hele verden, - The Independent . RBC-Ukraine . Hentet 15. januar 2022. Arkiveret fra originalen 21. oktober 2018.
  29. Globalt cyberangreb rammer it-systemer i Irland og  Storbritannien . uafhængig (27. maj 2017). Hentet 15. januar 2022. Arkiveret fra originalen 15. januar 2022.
  30. 'Petya' ransomware-angreb rammer virksomheder i hele Europa og  USA . the Guardian (27. juni 2017). Hentet 15. januar 2022. Arkiveret fra originalen 27. januar 2022.
  31. Petya-virus nåede Estland: alle Ehituse ABC-butikker lukkede på grund af angreb  (russisk) , Rus.Postimees.ee . Arkiveret fra originalen den 1. juli 2017. Hentet 5. juli 2017.
  32. POLITIET VIDKRITO 23 KRIMINELLE PRODUKTER FOR DE FAKTA, DER ER INDRIVET I COMPUTERENS ROBOT MEREG . Cyberpolitiets afdeling (28. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 22. december 2017.
  33. For to dobi til politiet var der 1,5 tusinde underretninger om virusinfektion af computernetværk . Cyberpolitiets afdeling (29. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 3. oktober 2017.
  34. SBU fortsætter i samråd med udenlandske partnere med at arbejde på lokaliseringen af ​​PetyaA's roamingsoftware (utilgængeligt link) . Ukraines sikkerhedstjeneste (29. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 4. juli 2017. 
  35. Massive hackerangreb kan organiseres i Rusland, - SBU . Volinsky nyheder . Hentet 15. januar 2022. Arkiveret fra originalen 27. juni 2017.
  36. Om det største cyberangreb i Ukraines historie, der blev en virus Diskcoder.C - cyberpolice  (ukr.) . Cyberpolitiafdelingen i Ukraines nationale politi (5. juli 2017). Dato for adgang: 20. december 2017. Arkiveret fra originalen 5. juli 2017.
  37. Russell Brandom Petya ransomware begynder at ligne et cyberangreb i forklædning . The Verge (28. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 29. juni 2017.
  38. Andy Greenberg. Ukrainere siger, at Petya Ransomware skjuler statssponsorerede angreb . The Wired (28. juni 2017). Hentet 29. juni 2017. Arkiveret fra originalen 29. juni 2017.
  39. Cyberangreb på virksomhedernes netværk og organisationer i regeringen  (ukr.)  (utilgængeligt link) . kmu.gov.ua (28. juni 2017). Hentet 15. januar 2022. Arkiveret fra originalen 1. juli 2017.
  40. Turchinov: Petya-virus testet gennem VPN ukrainsk udbyder  (ukr.) . FAKTA ICTV (30. juni 2017). Hentet 15. januar 2022. Arkiveret fra originalen 15. januar 2022.
  41. SBU etablerede ansvaret for de russiske specialtjenester før angrebet på virus-vimagach Petya. (utilgængeligt link) . SBU (1. juli 2017). Hentet 14. juli 2017. Arkiveret fra originalen 5. juli 2017. 
  42. Banker og virksomheder berørt af cyberangreb: liste . Hentet 29. juni 2017. Arkiveret fra originalen 25. februar 2022.
  43. ICTV-kanalen blev hacket . Dato for adgang: 16. januar 2018. Arkiveret fra originalen 17. januar 2018.
  44. 1 2 "Ukrlandfarming" og "Vanguard" Bakhmatyuk blev hacket . Dato for adgang: 16. januar 2018. Arkiveret fra originalen 17. januar 2018.
  45. Evgen Bouquet. Vitannia Petru O. fra "Peti A." før grundlovsdagen  (utilgængeligt link)
  46. Petya-virus spredte sig over hele Europa - The Guardian . Hentet 29. juni 2017. Arkiveret fra originalen 18. februar 2022.
  47. Natalia Seliverstova . Evraz informationssystem blev hacket , RIA Novosti  (27. juni 2017). Arkiveret fra originalen den 1. august 2017. Hentet 17. juli 2017.

Links