Видео для тех, кто не любит читать:
https://youtu.be/u-IOu6-wqNM
Вторник, 27 июня 2017 года, 9:00 утра. Киев, Украина. Столичный город живёт своей будничной жизнью. Люди торопятся на работу, пролистывая в смартфонах сводки новостей и погоду. Никто не предвещает беды. Но на горизонте надвигается проблема международного масштаба, которая принесёт огромные финансовые потери по всему миру, и всё это произойдёт буквально за одни сутки. В Киеве находится четырехэтажная штаб-квартира Linkos Group, небольшого семейного украинского бизнеса по производству программных продуктов для обеспечения электронного документооборота.
На третьем этаже этого здания находится серверная, в которой стоит набор оборудования, соединённого между собой сетевыми кабелями, помеченными подписанными от руки бирками. В обычный день эти серверы выдают рутинные обновления — исправления ошибок, патчи безопасности, новые функции — все они предназначены для бухгалтерского программного обеспечения под названием MEDoc (или просто Медок, как его любя называют на Украине). Эта программа установлена практически на каждый компьютер в стране, с которого подаются налоговые декларации или ведутся бизнес-процессы в стране. По данным специалистов информационной безопасности, у фирмы на тот момент было около 400 тысяч клиентов, что составляло порядка 90 % всех организаций страны.
Но именно 27 июня эти компьютеры станут отправной точкой для самой разрушительной кибератаки с момента изобретения Интернета, эпицентром которой станет обновление Медок. Именно оттуда будет запущен исходный код одного из самых известных вирусов-вымогателей последних лет. Сервер обновлений был скомпрометирован и был использован для первичного распространения вредоносной программы. Похожее заражение было проведено месяцем ранее, 18 мая 2017 года, когда распространяемое приложение M.E.Doc было заражено шифровальщиком-вымогателем XData.
Около 11 часов утра началось массовое распространение модификации программы. Он распространялся со скоростью лесного пожара, используя уязвимости в Windows и старые дыры в сетевых протоколах. Итак, что видел обычный пользователь компьютера при действиях вируса. Происходила установка обновления программы Медок. Вместе с ней в систему попадал вирус, который использовал известную уязвимость в протоколе SMB EternalBlue для закрепления в системе. Далее вирус зашифровывал содержимое жёсткого диска, безвозвратно уничтожал оригинальные файлы и выдавал сообщение об отложенном перезапуске компьютера через 1 – 2 часа якобы для завершения процесса установки обновлений. После перезагрузки пользователь видел чёрный экран с сообщением: «Если вы видите это сообщение, ваши файлы больше не доступны». Одновременно с этим вирус предпринимал попытки поиска уязвимых компьютеров в локальной сети и производил дальнейшее заражение через уязвимость EternalBlue всех доступных поблизости компьютеров. Для восстановления данных создатели вируса предлагали перевести на биткойн-кошелёк сумму в 300 долларов в биткойн-эквиваленте с каждого компьютера. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.
После оплаты нужно было отправить письмо на адрес wowsmith123456@posteo.net, чтобы получить инструкции по расшифровке данных. Однако в скором времени платить выкуп стало попросту бесполезно, так как данный адрес был заблокирован администрацией почтового клиента практически мгновенно.
Специалисты компаний по информационной безопасности подтвердили, что для распространения шифровальщик использовал уязвимости протокола SMB и эксплоит, похожий на инструмент ETERNALBLUE, похищенный у АНБ США и обнародованный в открытом доступе хакерской группой The Shadow Brokers. Аналитики «Лаборатории Касперского» также отметили, что авторы вредоноса взяли на вооружение еще один инструмент, украденный у спецслужб, эксплоит ETERNALROMANCE. Также сообщалось, что вымогатель распространялся и посредством почтового спама, скрываясь внутри вредоносных документов Office и эксплуатируя уязвимость CVE-2017-0199.
Впоследствии этот вирус получит название NotPetya, то есть не Петя. Дело в том, что годом ранее, в марте 2016 года, пользователи столкнулись с шифровальщиком под названием Petya. Петя также блокировал загрузку операционной системы компьютера, и при его включении требовал заплатить выкуп, чтобы получить доступ к системе. В 2016 году Petya преимущественно атаковал специалистов по кадрам. Для этого злоумышленники рассылали фишинговые письма узконаправленного характера. Послания якобы являлись резюме от кандидатов на какую-либо должность. К письмам прилагалась ссылка на полное портфолио соискателя, файл которого размещался на файлообменнике Dropbox. Разумеется, вместо портофлио по ссылке располагался вирус.
Запуск этого файла приводил к падению системы в «синий экран смерти» и последующей перезагрузке. После перезагрузки компьютера жертва видела имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружалась вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщал пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно. Для восстановления доступа к системе и расшифровки данных, жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в даркнете. Если оплата не была произведена в течение 7 дней, сумма выкупа удваивалась. «Купить» у атакующего предлагалось специальный «код расшифровки», вводить который нужно было прямо на экране локера.
Эксперты по информационной безопасности до сих пор не поняли алгоритм работы Petya, но пришли к выводу, что данные он не шифровал, а просто блокировал запуск операционной системы. Тем не менее, после покупки и ввода пользователем специального ключа доступ к данным восстанавливался. В этом и заключалось ключевое отличие старого Petya от нового NotPetya. Новый вирус никак не восстанавливал файлы после покупки ключа за 300 долларов, эти файлы безвозвратно шифровались уже в момент перезагрузки компьютера. И восстановить их никому так и не удалось.
Эксперты, которые представили анализ шифровальщика, писали, что после запуска вредоносного файла создаевалась задача на перезапуск компьютера, отложенная на 1-2 часа. За это время можно было успеть запустить команду bootrec /fixMbr для восстановления MBR и работоспособности ОС. Таким образом, запустить систему даже после ее компрометации было возможно, однако расшифровать файлы при этом не удавалось.
Petya генерировал для каждого диска свой ключ шифрования AES-128, который существовал в памяти до завершения шифрования. После перезагрузки данный ключ удалялся. Восстановление содержимого после завершения требовало знания закрытого ключа, то есть без знания ключа данные восстановить невозможно.
Все чаще можно видеть, что ИБ-специалисты и СМИ называют шифровальщика не Petya, а NotPetya, SortaPetya, Petna, Nyetya, ExPetr. Дело в том, что изучив угрозу более детально, специалисты пришли к выводу, что в новом шифровальщике осталось не так уж много от оригинального Petya. Новый вредонос определенно был построен на основе исходных кодов того самого «Пети», однако новая версия настолько отличалась от оригинала, что многие сочли логичным присвоить ей новое название. Но скорее всего, новый вирус был создан теми же людьми, которые написали вымогателей Petya, Mischa и GoldenEye. Просто это новая ступень их «эволюции». Специалист, известный под псевдонимом The Grugq, напротив полагал, что новая вариация Petya – это не обычный вымогатель, а "детище" правительственных хакеров.
«Несмотря на значительное количество одинакового кода, оригинальный Petya был криминальным предприятием для заработка денег. Эта [новая версия] определенно создана не с целью заработать денег. Она создана, чтобы быстро распространяться и причинять ущерб, и действует под правдоподобным прикрытием, как вымогатель», — писал The Grugq.
Таким образом, NotPetya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.
Каждая зарегистрированная организация на Украине имеет уникальный код ЕДРПОУ. И это очень важно, так как используя бэкдор для указанного ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.
С тех пор, как M.E.Doc получил распространение, его можно было найти на компьютере практически каждого бухгалтера. Один M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЕДРПОУ на этой машине для отправки их злоумышленникам. Кроме ЕДРПОУ, троян также собирал настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.
NotPetya имел множество интересных и уникальных составляющих, у него была выявлена одна наиболее хитрая часть. Троянский модуль не использовал никаких внешних управляющих серверов или центров. Он пользовался стандартными обновлениями приложения от M.E.Doc с официального сервера upd.me-doc.com[.]ua. Единственное отличие от легальных запросов в том, что троянский код отправлял собранную информацию назад на сервер через cookies.
Скорее всего, центральный сервер обновлений был скомпроментирован. Поэтому мы можем только подозревать, что атакующие смогли подпатчить сервер обновлений, чтобы различать запросы от зараженных и не зараженных машин и в дальнейшем пользоваться этим. И конечно, атакующий должен был добавить способ контроля зараженной машины. Этот код получал бинарные данные с официального сервера обновления M.E.Doc, расшифровывал их алгоритмом Triple Des, распаковывал из GZip, в результате получался XML файл с набором инструкций. Таким образом, этот троян превращался в полномасштабную платформу для кибершпионажа и киберсаботажа.
В первый день атак, стало известно, что в первую очередь от Petya пострадали Россия и Украина. Так, шифровальщик заразил компьютерные системы кабинета министров и сайта правительства Украины, сотовых операторов «Киевстар», Vodafone и lifecell, аэропорт Борисполь, метрополитен в Киеве, МВД Украины, целый ряд банков и даже компьютеры Чернобыльской атомной электростанции. Согласно данным Государственного агентства по управлению зоной отчуждения, радиационный мониторинг в итоге перевели в ручной режим. Также стало известно о заражениях компьютеров «Роснефти», «Башнефти», «Татнефти», Магнитогорского металлургического комбината, Mondelēz International, TESA, Nivea, Mars и так далее. Но наибольший вред от вируса получила всё же Украина.
Еще 27 июня 2017 года украинская киберполиция сообщила, что по предварительным данным шифровальщик распространился на территории Украины так быстро «благодаря» программному обеспечению компании M.E.Doc. Специалисты Microsoft, в свою очередь, писали, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya. При этом на официальном сайте M.E.Doc появилось сообщение, гласившее, что «на сервера осуществляется вирусная атака», которое вскоре исчезло и впоследствии было доступно только в кеше Google.
Вечером 27 июня представители M.E.Doc опубликовали на своей странице в официальное сообщение, в котором опровергали свою причастность к распространению NotPetya.
Месяцем ранее, в мае 2017 года распространение вируса-вымогателя WannaCry удалось сдержать благодаря усилиям одного независимого специалиста по информационной безопасности. Тогда британский исследователь MalwareTech обнаружил в коде вируса своеобразный «аварийный рубильник»: перед началом работы вымогатель обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не был зарегистрирован, вирус начинал шифровать файлы. Однако если домен существовал, вымогатель останавливал процесс заражения. Исследователь поспешил зарегистрировать этот домен, чем резко затормозил распространения WannaCry.
К сожалению, подобных особенностей в коде NotPetya обнаружено не было, однако исследователь Cybereason Амит Серпер создал своего рода «вакцину» от NotPetya. Он обнаружил, что превентивно защитить свои данные можно создав на жестком диске файл с определенным именем. Дело в том, что перед началом процесса шифрования вымогатель проверяет наличие файла perfc по адресу C:\Windows. Если файл уже существует, Petya прекращает работу и не шифрует данные.
Менее чем за три часа до начала хакерской атаки, 27 июня в 8:15 утра в Соломенском районе произошёл взрыв автомобиля, за рулём которого был командир отряда специального назначения Главного управления разведки — полковник Максим Шаповал. От мощного взрыва он погиб на месте. Примерно в 10:30 началась волна загрузок обновления программы M.E.Doc, которое несло в себе код вирусной программы. За несколько часов вирус поразил ряд государственных сетей. Секретарь СНБО Украины Александр Турчинов выдвинул теорию, что эти два события связаны между собой и составляли двойную российскую атаку, посвящённую Дню Конституции Украины.
Почти одновременно с Украиной в России перестали работать компьютеры Роснефти, Башнефти, что привело к остановке добычи нефти на нескольких участках. Однако крупные российские предприятия оказались защищёнными от распространения червя, но недостаточно защищёнными от заражения им (при том, что они вряд ли пользовались программой для составления украинской налоговой отчётности).
Вслед за Украиной и Россией атаки начали осуществляться в сети в Испании, Индии, Ирландии, Великобритании и других странах и городах ЕС и США. По данным McAfee, в США было зафиксировано больше инфицированных компьютеров, чем на Украине, однако, статистика антивируса ESET утверждает, что более 80 % зафиксированных заражений произошли именно на Украине. После атаки в Эстонии прекратили свою работу строительные магазины фирмы EhituseABC.
Через сутки после начала атаки в Департамент киберполиции Украины поступило более 1000 сообщений о вмешательстве в работу компьютерных сетей, что привело к сбоям в их работе. Из них официально с заявлениями в полицию обратились 43 компании. По состоянию на 28 июня были начаты 23 уголовных производства по фактам несанкционированного вмешательства в электронно-вычислительные системы как государственных, так и частных учреждений, организаций, предприятий (статья 361 Уголовного кодекса Украины). Ещё по 47 фактам решался вопрос о внесении сведений в Единый реестр досудебных расследований.
По состоянию на 29 июня 2017 года в Национальную полицию Украины обратились 1508 юридических и физических лиц с сообщениями о блокировании работы компьютерной техники с помощью вируса-шифровальщика. Из них 178 обратились в полицию с официальными заявлениями. В частности, 152 организации частного сектора и 26 обращений от государственного сектора страны. 115 таких фактов были зарегистрированы в журнале Единого учёта совершенных уголовных нарушений и других событий. Решается вопрос об их правовой квалификации. По 63 фактам сведения были внесены в ЕРДР по статье 361 УК Украины.
Кроме того, к расследованию были привлечены специалисты Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности Службы безопасности Украины. Было организовано взаимодействие с партнёрскими правоохранительными органами, специальными службами иностранных государств и международными организациями, специализирующимися на кибернетической безопасности. Специалисты СБУ во взаимодействии со специалистами ФБР США, Национальным агентством по борьбе с преступностью (NCA) Великобритании, Европолом, а также ведущими учреждениями по кибербезопасности принимают скоординированные совместные меры по локализации распространения вредоносного программного обеспечения PetyaA, окончательного выяснения методов реализации этой акции кибертерроризма, установление источников атаки, её исполнителей, организаторов и заказчиков.
Глава Департамента киберполиции Сергей Демидюк заявил, что представители киберполиции выехали к предприятиям, которые заявили об атаке вируса. Он также отметил, что сотрудничество по ликвидации последствий вирусных атак может идти на международном уровне. Пресс-секретарь СБУ Елена Гитлянская предположила, что атаки организованы с территории России или из Донбасса.
По информации советника МВД Антона Геращенко, против государства Украина была произведена массовая хакерская атака с использованием модифицированной под Украину версии вируса WannaCry — «cryptolocker». По его мнению, такая атака готовилась по меньшей мере месяц. Конечной целью атаки является дестабилизация ситуации в экономике Украины.
4 июля 2017 года, через неделю после начала атаки, с целью немедленного прекращения распространения червя Petya было принято решение о проведении обысков и изъятии программного и аппаратного обеспечения компании, с помощью которого распространялось вредоносное программное обеспечение. Обыски были проведены представителями Департамента киберполиции, следователями и при участии Службы безопасности Украины. Были изъяты рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение.
Благодаря тому, что все транзакции Bitcoin являются полностью публичными, статистику переводов владельцу вируса может увидеть любой. Нью-йоркский журналист и программист Кит Коллинз создал аккаунт в Твиттере, который автоматически обновлялся после каждой из операций и показывает текущее состояние счета злоумышленника. По состоянию на 14:00 по Киевскому времени 28 июня злоумышленник получил более 10 тыс. $.
28 июня 2017 года Кабинет Министров Украины сообщил, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена. 30 июня секретарь СНБО Турчинов заявил о возможности использования технологий Tor и VPN злоумышленниками. В первых числах июля 2017 года Служба безопасности Украины заявила о причастности спецслужб РФ к атаке с использованием вируса Petya.
В масштабах страны NotPetya буквально пожирал компьютеры Украины заживо. Он поразил не менее четырех больниц только в Киеве, шесть энергетических компаний, два аэропорта, более 22 украинских банков, банкоматы и системы карточных платежей в розничной торговле и на транспорте, а также практически все федеральные агентства. «Правительство было мертво», — резюмировал министр инфраструктуры Украины Владимир Омелян. Пострадало не менее 300 компаний, а один высокопоставленный чиновник украинского правительства подсчитал, что 10 процентов всех компьютеров в стране были обнулены. Атака даже отключила компьютеры, которые использовались учеными на объекте ликвидации последствий аварии на Чернобыльской АЭС, в 100 км к северу от Киева. «Это была масштабная бомбардировка всех наших систем», — сказал тогда Омелян.
В течение нескольких часов после своего первого появления червь вырвался за пределы Украины и поразил бесчисленное множество машин по всему миру, от больниц в Пенсильвании до шоколадной фабрики в Тасмании. Он парализовал транснациональные компании, включая Maersk, фармацевтического гиганта Merck, европейское подразделение FedEx TNT Express, французскую строительную компанию Saint-Gobain, производителя продуктов питания Mondelēz и производителя Reckitt Benckiser. В каждом случае он нанес убытки на 9-значные суммы долларов и евро.
В результате общий ущерб составил более 10 миллиардов долларов. Американские разведывательные службы тогда также заявили, что российские военные — главный подозреваемый в любой кибератаке, направленной на Украину, — были ответственны за запуск вредоносного кода. При этом МИД России отказался отвечать на неоднократные запросы о комментариях.
Чтобы получить представление о масштабе ущерба NotPetya, рассмотрим довольно крупную, но более типичную атаку с использованием вируса-вымогателя, которая парализовала городское правительство Атланты в марте 2018 года: она обошлась в 10 миллионов долларов, что составляет десятую часть процента от стоимости ущерба NotPetya. Даже WannaCry , более известный червь, который распространился за месяц до NotPetya в мае 2017 года, по оценкам, обошелся от 4 до 8 миллиардов долларов.
Но самый крупный ущерб NotPetya нанёс транспортному гиганту Maersk, чье фиаско с вредоносным ПО однозначно демонстрирует опасность, которую кибервойна теперь представляет для инфраструктуры современного мира. На фоне этой эпидемии одна инфекция стала особенно роковой для Maersk: в офисе в портовом городе Одессе, на побережье Черного моря, финансовый директор украинского подразделения Maersk попросил местных айтишников установить бухгалтерское программное обеспечение MEDoc на свой компьютер. Это дало NotPetya единственную необходимую точку опоры, чтобы он смог развернуть свою деятельность.
Терминал отгрузки в Элизабет, штат Нью-Джерси, — один из 76 терминалов, которые составляют портовое подразделение Maersk, известное как APM Terminals, — раскинулся в заливе Ньюарк на искусственном полуострове, охватывающем целую квадратную милю. Десятки тысяч сложенных друг на друга грузовых контейнеров покрывают его обширный асфальтовый ландшафт, а огромные синие краны нависают над заливом.
В среднем в день на терминал прибывает около 3000 грузовиков, каждый из которых должен забрать или выгрузить десятки тысяч тонн всего на свете: от подгузников до авокадо и запчастей для трактора. Грузоперевозчики начинают этот процесс, как и пассажиры авиалиний, регистрируясь у ворот терминала, где сканеры автоматически считывают штрихкоды их контейнеров, а служащий Maersk разговаривает с водителем грузовика через громкоговоритель. Водитель получает распечатанный пропуск, в котором указано, где припарковаться, чтобы огромный кран мог перетащить его контейнер с шасси грузовика на штабель на грузовой площадке, где его загружают на контейнеровоз и перевозят через океан — или же весь этот процесс происходит в обратном порядке.
Утром 27 июня Пабло Фернандес ожидал, что десятки грузовиков с грузом будут отправлены из Элизабет в порт на Ближнем Востоке. Фернандес — так называемый экспедитор — посредник, которому платят владельцы грузов, чтобы гарантировать, что их имущество благополучно прибудет в пункт назначения на другом конце света. (Фернандес — это не его настоящее имя.).
Около 9 утра телефон Фернандеса начала разрывать череда звонков от разгневанных владельцев грузов. Все они только что услышали от водителей грузовиков, что их машины застряли у терминала Maersk's Elizabeth. Они не могли ввезти и вывезти свои контейнеры через ворота. Вскоре сотни 18-колесных грузовиков выстроились в очередь, которая растянулась на мили за пределами терминала. Один сотрудник на соседнем терминале другой компании в том же порту Нью-Джерси наблюдал, как грузовики собирались бампер к бамперу, и эта цепочка уходила за горизонт. Через несколько часов, так и не получив никаких известий от Maersk, Управление порта выдало предупреждение о том, что терминал компании в Элизабет будет закрыт до конца дня. «Вот тогда мы начали понимать», вспоминает сотрудник соседнего терминала, «что это было нападение». Полиция начала подходить к водителям в их кабинах, приказывая им развернуть свои огромные грузовики и убраться.
Фернандес и бесчисленное множество других обезумевших клиентов Maersk оказались перед неприятным выбором: они могли попытаться переправить свой драгоценный груз на другие суда по премиальным ценам в последнюю минуту. Или, если их груз был частью плотной цепочки поставок, как компоненты для завода, простой Maersk мог означать необходимость раскошелиться на непомерную доставку авиатранспортом или риск остановки производственных процессов, где один день простоя обходится в сотни тысяч долларов. Многие из контейнеров, известных как рефрижераторы, были электрифицированы и заполнены скоропортящимися товарами, требующими охлаждения. Их нужно было куда-то подключить, иначе бы их содержимое попросту сгнило.
Такой же сценарий разыгрывался на 17 из 76 терминалов Maersk, от Лос-Анджелеса до Альхесираса в Испании, до Роттердама в Нидерландах, до Мумбаи в Индии. Ворота были опущены. Краны замерли. Десятки тысяч грузовиков не могли попасть на терминалы по всему миру.
Новые заказы не могли быть сделаны, что фактически лишило Maersk основного источника дохода от судоходства. Компьютеры на судах Maersk не были заражены. Но программное обеспечение терминалов, разработанное для получения файлов электронного обмена данными с этих судов, которые сообщают операторам терминалов точное содержимое их огромных грузовых трюмов, было полностью стерто. В течение нескольких дней одна из самых сложных и взаимосвязанных распределенных машин в мире, лежащая в основе кровеносной системы всей мировой экономики, оставалась сломанной. «Было ясно, что эта проблема имеет масштабы, невиданные ранее в мировом транспорте», — вспоминает один из клиентов Maersk. «В истории судоходных IT никто никогда не сталкивался с подобным по масштабам колоссальным кризисом».
Центром восстановления инфраструктуры Maersk стал Мейденхед, Англия, где базируются IT-владельцы конгломерата, Maersk Group Infrastructure Services. Центром восстановления управляла консалтинговая компания Deloitte. Maersk по сути выдала британской фирме карт-бланш, чтобы она устранила проблему NotPetya, и в любой момент времени в офисе в Мейденхеде находилось до 200 сотрудников Deloitte, а также до 400 сотрудников Maersk. Все компьютерное оборудование, использовавшееся Maersk до вспышки NotPetya, было конфисковано из-за опасений, что оно может заразить новые системы,а также были вывешены плакаты с угрозами дисциплинарного взыскания в отношении любого, кто его использовал. Вместо этого сотрудники зашли во все доступные магазины электроники в Мейденхеде и скупили горы новых ноутбуков и предоплаченных точек доступа Wi-Fi.
В начале операции сотрудники IT-отдела, восстанавливавшие сеть Maersk, пришли к болезненному осознанию. Они обнаружили резервные копии почти всех отдельных серверов Maersk, датированные периодом от трех до семи дней до появления NotPetya. Но никто не смог найти резервную копию для одного важнейшего слоя сети компании: ее контроллеров доменов, серверов, которые функционируют как подробная карта сети Maersk и устанавливают основные правила, определяющие, каким пользователям разрешен доступ к каким системам.
Около 150 контроллеров домена Maersk были запрограммированы на синхронизацию своих данных друг с другом, так что теоретически любой из них мог бы функционировать как резервная копия для всех остальных. Но эта децентрализованная стратегия резервного копирования не учитывала один сценарий: когда все контроллеры домена стираются одновременно.
После лихорадочных поисков, в ходе которых пришлось обзвонить сотни IT-администраторов в центрах обработки данных по всему миру, отчаявшиеся администраторы Maersk наконец нашли единственный выживший контроллер домена в удаленном офисе — в Гане, Западная Африка. В какой-то момент до того, как атаковал NotPetya, отключение электроэнергии отключило ганскую машину, и компьютер остался отключенным от сети. Таким образом, на нем находилась единственная известная копия данных контроллера домена компании, не тронутая вредоносным ПО, — и все благодаря отключению электроэнергии.
Однако когда напряженные инженеры в Мейденхеде настроили соединение с офисом в Гане, они обнаружили, что его пропускная способность была настолько слабой, что потребовались бы дни, чтобы передать резервную копию контроллера домена объемом в несколько сотен гигабайт в Великобританию, на расстояние в 8 000 км. В головах возникла новая идея: посадить сотрудника с жёстким диском с копией системы из Ганы на ближайший самолет в Лондон. Но ни у кого из сотрудников западноафриканского офиса не было британской визы.
Поэтому операция в Мейденхеде организовала своего рода эстафету: один сотрудник из офиса в Гане вылетел в Нигерию, чтобы встретиться с другим сотрудником Maersk в аэропорту и передать ему очень ценный жесткий диск. Затем этот сотрудник сел на шестичасовой рейс в Хитроу.
После завершения спасательной операции офис Maersk в Мейденхеде смог начать возвращать основные услуги Maersk в онлайн. После первых дней портовые операции Maersk снова получили возможность читать файлы инвентаризации судов, поэтому операторы больше не были слепы к содержимому огромных судов с 18 000 контейнеров, прибывающих в их порты. Но прошло уже несколько дней после первоначального отключения, прежде чем фирма Maersk начала принимать заказы через Maerskline.com на новые поставки, и прошло больше недели, прежде чем терминалы по всему миру начали функционировать в более или менее нормальном режиме.
Тем временем сотрудники Maersk работали с теми инструментами, которые им еще были доступны. Они прикрепляли бумажные документы к контейнерам для перевозки в портах APM и принимали заказы через личные учетные записи, мессенджеры и таблицы Excel. Примерно через две недели после атаки сеть Maersk наконец достигла точки, когда компания могла начать перевыдавать персональные компьютеры большинству сотрудников. Кафетерий в подвале здания превратился в сборочную линию переустановки. Компьютеры были выстроены по 20 штук на обеденных столах, пока сотрудники службы поддержки ходили по рядам, вставляя USB-накопители, которые они клонировали десятками, и просматривали часами одни и те же уведомления.
Через несколько дней после возвращения из Мейденхеда сотрудники находили свои ноутбуки в алфавитной стопке сотен машин, их жесткие диски были очищены, установлены чистые образы Windows. Все, что сотрудники Maersk хранили локально на своих машинах, от заметок до контактов и семейных фотографий, исчезло навсегда.
Пять месяцев спустя Maersk оправилась от атаки NotPetya, председатель Maersk Джим Хагеманн Снабе сидел на сцене Всемирного экономического форума в Давосе, Швейцария, и восхвалял «героические усилия», которые были приложены к операции по спасению ИТ-систем компании. Он сказал, что с 27 июня, когда его впервые разбудил телефонный звонок в 4 утра в Калифорнии перед запланированным выступлением на конференции в Стэнфорде, компании потребовалось всего 10 дней, чтобы восстановить всю свою сеть из 4000 серверов и 45 000 ПК. Полное восстановление заняло гораздо больше времени: некоторые сотрудники на предприятии в Мейденхеде продолжали работать день и ночь в течение почти двух месяцев, чтобы восстановить настройку программного обеспечения Maersk. «Мы преодолели проблему благодаря человеческой устойчивости», — сказал Снабе собравшимся.
С тех пор Maersk работала не только над улучшением своей кибербезопасности, но и над тем, чтобы сделать ее «конкурентным преимуществом». Действительно, после NotPetya IT-сотрудники говорят, что практически каждая функция безопасности, которую они просили, была почти немедленно одобрена. Многофакторная аутентификация была развернута по всей компании, наряду с долго откладываемым обновлением до Windows 10.
Сотрудники службы безопасности Maersk рассказали, что некоторые серверы корпорации вплоть до атаки все еще работали под управлением Windows 2000 — операционной системы, настолько старой, что Microsoft больше ее не поддерживала. В 2016 году одна группа руководителей IT-отдела настаивала на упреждающей перестройке безопасности всей глобальной сети Maersk. Они обратили внимание на неидеальное исправление программного обеспечения Maersk, устаревшие операционные системы и, прежде всего, недостаточную сегментацию сети. Они предупредили, что именно эта последняя уязвимость может позволить вредоносному ПО с доступом к одной части сети широко распространиться за пределы своего первоначального плацдарма, что и сделал NotPetya в следующем году.
Немногие компании заплатили более высокую цену за затягивание с безопасностью. В своем выступлении в Давосе Снабе утверждал, что компания понесла только 20-процентное сокращение общего объема перевозок во время сбоя NotPetya, благодаря своим быстрым усилиям и ручным обходным путям. Но помимо потерянного бизнеса компании и простоя, а также расходов на восстановление всей сети, Maersk также возместила многим своим клиентам расходы на изменение маршрута или хранение их застрявшего груза. Один клиент Maersk рассказал, что получил от компании чек на семизначную сумму для покрытия расходов на отправку своего груза на чартерном самолете. «Они заплатили мне целый миллион, не задавая лишних вопросов», — говорит он.
В целом, по оценкам Снабе, NotPetya обошелся Maersk в сумму от $250 млн до $300 млн. Большинство сотрудников, подозревали, что бухгалтеры компании занизили цифру. Гораздо сложнее оценить более масштабную стоимость сбоя Maersk в глобальной цепочке поставок в целом, которая зависит от своевременной доставки продукции и производственных компонентов. И, конечно же, Maersk была лишь одной жертвой. Merck, чья способность производить некоторые лекарства была временно остановлена NotPetya, сообщила акционерам, что потеряла ошеломляющие 870 миллионов долларов из-за вредоносного ПО. FedEx, чья европейская дочерняя компания TNT Express была парализована в результате атаки и ей потребовались месяцы для восстановления некоторых данных, понесла убытки в размере 400 миллионов долларов. Французский строительный гигант Saint-Gobain потерял примерно такую же сумму. Reckitt Benckiser, британский производитель презервативов Durex, потерял 129 миллионов долларов, а Mondelēz, владелец производителя шоколада Cadbury, понес убытки в размере 188 миллионов долларов. Неисчислимое количество жертв без публичных акционеров подсчитывали свои убытки, не афишируя суммы.
В то время как многие в сообществе безопасности по-прежнему считают международных жертв NotPetya сопутствующим ущербом, Крейг Уильямс из Cisco утверждает, что злоумышленник прекрасно знал, какую боль червь причинит на международном уровне. Он утверждает, что эти последствия были направлены на то, чтобы явно наказать любого, кто осмелится хотя бы открыть офис на территории врага. Организатором атаки Уильямс считает спецслужбы России. «Любой, кто думает, что это было случайностью, принимает желаемое за действительное», — говорит Уильямс. «Это была вредоносная программа, предназначенная для отправки политического сообщения: если вы ведете бизнес на Украине, с вами случится что-то плохое».
Однако почти все, кто изучал NotPetya, сходятся в одном: это может произойти снова или даже в большем масштабе. Глобальные корпорации слишком тесно взаимосвязаны, информационная безопасность слишком сложна, поверхности атак слишком обширны, чтобы защититься от обученных государством хакеров, стремящихся выпустить следующего червя, который потрясет мир.
Но самым стойким предметным уроком NotPetya может быть просто странный, внепространственный ландшафт поля битвы кибервойны. Это запутанная география кибервойны: способами, которые все еще бросают вызов человеческой интуиции, фантомы внутри серверной комнаты MEDoc в грязном углу Киева распространяют хаос в позолоченных конференц-залах федеральных агентств столицы, в портах, усеивающих земной шар, в величественной штаб-квартире Maersk в гавани Копенгагена и по всей мировой экономике. «Каким образом уязвимость этого украинского бухгалтерского программного обеспечения влияет на поставки вакцин для национальной безопасности США и мировые грузоперевозки?» — спрашивает Джошуа Корман, научный сотрудник по кибербезопасности в Атлантическом совете, как будто все еще разгадывая форму червоточины, которая сделала эту причинно-следственную связь возможной. «Физика киберпространства полностью отличается от любой другой области войны».
В этой физике, напоминает нам NotPetya, расстояние не является защитой. Здесь враг уже находится у всех ворот. И сеть запутанностей в этом эфире, которая объединяла и возвышала мир последние 35 лет, может за несколько часов летним днем привести его к краху.
