Как один вирус остановил работу корпорации Maersk и сотни других компаний
В июне 2017 года одна кибератака на несколько часов перевела глобальную экономику на «ручное управление»: перестали работать терминалы в портах, остановились офисные домены, встали цепочки поставок и бухгалтерия международных корпораций. Вредоносная программа NotPetya внешне выглядела как обычный шифровальщик с требованием выкупа, но на практике оказалась инструментом разрушения без возможности восстановления данных.
Вход через бухгалтерию
По данным американского агентства по кибербезопасности CISA, первым шагом в распространении вируса NotPetya стала компрометация украинского бухгалтерского ПО M.E.Doc. Злоумышленники использовали уязвимость, за счет которой смогли подменить обновления в оригинальном софте на зараженный код. В CISA отдельно отмечалось, что компрометация среды разработки M.E.Doc могла начаться задолго до дня атаки — как минимум с апреля 2017 года. Аналогичный вывод сделала и Microsoft в своем отчете от 2017 года.
Эффект домино не заставил долго ждать: каждое зараженное устройство в сети начинало передавать вирус дальше. В техническом анализе Microsoft от 2017 года подчеркивалось, что NotPetya не только выводил из строя целые системы, но и инициировал утечки корпоративных данных со всех зараженных устройств. После первичного заражения вирус использовал так называемое боковое перемещение — распространение внутри корпоративной сети с использованием легитимных учетных данных и системных инструментов, что позволяло поражать даже уже обновленные системы.
Для пользователя вирус выглядел как сообщение на экране с предложением восстановить доступ к файлам за $300 в биткоинах. В инструкции вируса было указано, что пользователь может отправить свой идентификатор на указанный адрес электронной почты с доказательством оплаты.
Но внутренняя архитектура NotPetya не предполагала восстановления файлов. В 2017 году «Лаборатория Касперского» выявила, что вирус перезаписывал главную загрузочную запись (MBR) и повреждал структуру файловой системы таким образом, что восстановление данных стандартными средствами было невозможно. Тогда же «Лаборатория» в своем официальном сообщении призывала пользователей не переводить деньги хакерам, поскольку дешифровальщика для вируса нет.
Почти военный ущерб
Одной из крупнейших жертв NotPetya стал датский грузоперевозчик Moller-Maersk. Как писал «Коммерсантъ» в 2017 году (см. публикацию «Ъ» от 16.08.2017), Maersk сообщила о полной остановке компьютерной системы подразделения APM Terminals, которое на тот момент управляло терминалами в 76 портах 59 стран мира. По официальным сообщениям компании, убытки, связанные с атакой вируса-вымогателя NotPetya, составили от $200 млн до $300 млн. В целом же экономические издержки Maersk от атаки оценили в размере $850 млн.
Среди жертв кибератаки оказались сети российских «Башнефти», «Роснефти», украинских «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы, писал «Коммерсантъ» (см. публикацию «Ъ» от 27.06.2017). Также в России атаке подверглись Mondelez International, Mars и Nivea. Помимо этого, по данным Group-IB, на Украине были атакованы правительственные компьютеры, Киевский метрополитен, магазины «Ашан», операторы связи «Киевстар», LifeCell, «Укртелеком», Приватбанк, Чернобыльская АЭС и, предположительно, аэропорт Борисполь.
Представитель «Роснефти» тогда сообщал «Ъ», что атака была очень мощной и, если бы производственные подразделения не были сразу переведены на резервные системы управления, ущерб мог бы быть значительным. Благодаря оперативной реакции работу всех производственных активов удалось сохранить в штатном режиме и минимизировать ущерб.
Основатель и генеральный директор «Лаборатории Касперского» Евгений Касперский в своем блоге от 2022 года уточнял, что атака NotPetya стала одной из самых разрушительных за всю «цифровую» историю человечества. Одной из самых значимых жертв атаки и была американская фармацевтическая Merck, напоминал он со ссылкой на издание Bloomberg. Первых 15 тыс. компьютеров компания «лишилась» за 90 секунд от начала заражения. В совокупности компания потеряла более 30 тыс. рабочих станций и 7,5 тыс. серверов, а ущерб оценили в $1,4 млрд.
Виновных не нашли
Группировка, стоявшая за NotPetya, никак не заявила о себе. Тем не менее, издание The Washington Post со ссылкой на секретные доклады ЦРУ сообщало, что ЦРУ считает, что за атакой вируса стояло Главное управление Генштаба РФ.
В публикации WP подчеркивается, что более половины пострадавших от NotPetya объектов — украинские. По данным, на которые ссылалось издание, российская разведка использовала вирус-вымогатель, чтобы создать видимость атаки обычными хакерами, а не правительством конкретной страны. В ЦРУ отказались комментировать эту информацию.
«Атака была частью продолжающихся усилий Кремля по дестабилизации ситуации на Украине и все более явной демонстрацией участия России в продолжающемся конфликте», — говорилось в статье. «Ответ международного сообщества на кибератаку последует, последствия неизбежны», — заявили WP в Белом доме.
В феврале 2018 года правительство Великобритании также официально возложило ответственность за атаку на Россию, назвав произошедшее актом киберсаботажа. Выводы США и Великобритании публично поддержали Канада, Австралия, Дания, Украина и другие союзники НАТО. В своем официальном заявлении Белый дом охарактеризовал атаку как одну из самых разрушительных и дорогостоящих в истории и оценил ущерб от NotPetya в $10 млрд.
Россия опровергла подобные заявления. «Мы категорически отвергаем подобные обвинения, мы считаем их бездоказательными, беспочвенными, и, собственно, это ни что иное как продолжение такой не основывающейся на каких бы то ни было доказательствах русофобской кампании», — сказал тогда пресс-секретарь президента РФ Дмитрий Песков.
Вирус, запущенный через обновление бухгалтерской программы в одной стране, за считанные часы остановил работу портов, заводов и офисов по всему миру, нанеся корпорациям ущерб в миллиарды долларов. При этом NotPetya стал первым широко признанным примером кибератаки, последствия которой государства начали сравнивать с военными операциями. Инцидент закрепил за киберпространством статус полноценного поля конфликта, где ущерб измеряется остановленными производствами и нарушенными цепочками поставок.
Вероника Читанава
Держите новости при себе. Присоединяйтесь к Telegram «Коммерсанта».