WIRED: Как кибероружие против Украины NotPetya поразило весь мир

WIRED опубликовал отрывок из книги своего главного автора Энди Гринберга, в котором рассказывается история крупнейшей кибератаки с последствиями на $10 млрд. Она была направлена на Украину, но потрясла весь мир и остановила работу крупнейшей в мире судоходной компании. 

Liga.Tech публикует сокращенный перевод статьи, которую обязательно нужно прочесть. Особенно тем, кто все еще не сделал кибербезопасность своего бизнеса приоритетным.

Солнечный летний день

Был прекрасный летний день в Копенгагене, когда крупнейший в мире транспортный конгломерат начал сходить с ума.

Штаб-квартира компании A.P. Møller-Maersk находится рядом с гаванью Копенгагена. Шесть этажей синих тонированных окон смотрят на док, где датская королевская семья паркует яхту. В подвале здания находится сувенирный магазин, где сотрудники могут купить сумки и галстуки марки Maersk. А рядом с кассой сувенирного стоит единственный стол техподдержки. 

Во второй половине дня 27 июня 2017 года сбитые с толку сотрудники Maersk начали собираться у этого стола со своими ноутбуками. У одних на экранах читались сообщения красными и черными буквами: «Восстановление файловой системы на C:» со строгим предупреждением не выключать компьютер. У других: «К сожалению, ваши важные файлы зашифрованы» с требованием выплатить биткойны на $300 за их расшифровку.

Через дорогу, в другой части комплекса Maersk, богато украшенного белокаменного здания, которое в предыдущие века служило королевским архивом морских карт, работал ИТ-администратор по имени Хенрик Йенсен (имя изменено). Йенсен был занят подготовкой обновления программного обеспечения(ПО) для почти 80 000 сотрудников Maersk, когда его компьютер самопроизвольно перезапустился.

Он тихо выругался под нос. Йенсен предположил, что незапланированная перезагрузка была типичным резким шагом со стороны центрального ИТ-департамента Maersk, - малоизвестного подразделения в Англии. Оно курировало большую часть империи из восьми бизнес-единиц - от портов до бурения нефтяных скважин - в 574 офисах в 130 странах.

Йенсен поднял голову и увидел, как экраны в офисе один за другим, волной, становятся черными. Он и его коллеги быстро обнаружили, что компьютеры необратимо заблокированы. Следующие полчаса сотрудники Maersk бегали по коридорам, призывая всех выключить компьютер или отключить их от корпоративной сети до того, как вредоносное ПО их заразит. До них дошло, что каждая минута может обернуться десятками поврежденных компьютеров. Отключение всей глобальной сети Maersk заняло у ИТ-персонала компании более двух панических часов. 

Около 15:00 в комнату к Йенсену и дюжине его коллег вошел руководитель Maersk и сказал идти домой. Сеть компании была настолько сильно повреждена, что даже ИТ-специалисты были беспомощны. И многие сотрудники оказались бесполезными без без компьютеров, серверов и маршрутизаторов.

Йенсен вышел из здания, как и подавляющее большинство сотрудников Maersk, понятия не имея, когда сможет вернуться на работу. Морской гигант, отвечающий за 76 портов со всех сторон земли и около 800 морских судов, включая контейнеровозы, которые перевозят десятки миллионов тонн груза, что составляет почти пятую часть от всех мировых судоходных мощностей, был обездвижен.

Точка отсчета на украинском Подоле

На окраине модного квартала Подол в Киеве находится четырехэтажная штаб-квартира Linkos Group, небольшого семейного украинского бизнеса по разработке ПО.

На третьем лестничном пролете в этом здании находится серверная комната, где стойка компьютеров размером с коробку для пиццы соединена путаницей проводов и помеченными от руки пронумерованными ярлыками. В обычный день эти серверы отправляют обычные обновления - исправления ошибок, патчи безопасности, новые функции - в часть бухгалтерского ПО, называемого M.E.Doc. Он используется почти всеми, кто регистрирует налоги или ведет бизнес в стране.

Но в какой-то момент в 2017 году эти машины послужили точкой отсчета для самой разрушительной кибератаки с момента изобретения интернета - атаки, которая началась, по крайней мере, как нападение на одну страну другой.

В течение последних четырех с половиной лет Украина была вовлечена в необъявленную войну с Россией, которая убила более 10 000 украинцев и вытеснила еще миллионы. Конфликт также привел к тому, что Украина стала испытательной площадкой для российской кибервойны. 

В 2015 и 2016 годах, когда связанные с Кремлем хакеры, известные как Fancy Bear, были заняты проникновением на серверы Национального комитета Демократической партии США, другая группа агентов, известная как Sandworm, взломала десятки украинских правительственных организаций и компаний. Они проникли в сети жертв - от СМИ до железнодорожных компаний, взорвав логические бомбы, уничтожившие терабайты данных. А зимой они вызвали повсеместные отключения электроэнергии - первые подтвержденные отключения, вызванные хакерами.

Но эти атаки все еще не были грандиозным финалом Sandworm. Весной 2017 года российские военные хакеры незаметно взломали серверы обновлений Linkos Group, чтобы разместить скрытный бэкдор на тысячи компьютеров по всей стране и миру, на которых установлен M.E.Doc. Затем, в июне 2017 года, диверсанты воспользовались бэкдором, чтобы выпустить вредоносное ПО под названием NotPetya, - их самое злобное кибероружие.

Опасная комбинация

Код, который хакеры вытолкнули, был отточен для автоматического, быстрого и беспорядочного распространения. «На сегодняшний день это была самая быстро распространяющаяся часть вредоносного ПО, которую мы когда-либо видели», - говорит Крейг Уильямс, PR-директор Cisco Talos, одной из первых компаний по обеспечению безопасности, которая проанализировала NotPetya. «К моменту, когда вы его увидели, ваш дата-центр уже исчез», - добавляет Уильямс.

NotPetya был вызван двумя мощными хакерскими эксплойтами, работающими в тандеме: один был инструментом проникновения, известным как EternalBlue, созданным Агентством нацбезопасности США, который выплыл в результате утечки в начале 2017 года. EternalBlue использует уязвимость в конкретном протоколе Windows, позволяя хакерам свободно запускать свой собственный код на любой незащищенной машине.

Архитекторы NotPetya объединили этот цифровой ключ со старым изобретением, известным как Mimikatz. Его создали, чтобы продемонстрировать, что Windows оставляет пароли пользователей в памяти компьютеров. Как только хакеры получали доступ к компьютеру, Mimikatz мог извлечь эти пароли из оперативной памяти и использовать их для взлома других компьютеров, доступных с такими же учетными данными. В сетях с многопользовательскими компьютерами это даж еможет позволить автоматизированной атаке переходить от одного компьютера к другому.

EternalBlue и Mimikatz вместе составили опасную комбинацию. 

Целью оружия была Украина. Но радиусом взрыва был весь мир

NotPetya получил свое название от сходства с вымогателем Petya, частью вредоносного кода, который появился в начале 2016 года и вымогал у жертв деньги за ключ, способный разблокировать файлы. Но сообщения NotPetya о выкупе были лишь уловкой: цель вредоносного ПО была просто разрушительной. Оно необратимо зашифровало основные загрузочные записи компьютеров, - глубинную часть машины, которая сообщает ему, где найти собственную операционную систему. Любой выкуп, который пытались выплатить жертвы, был бесполезным. 

Выпуск NotPetya был актом кибервойны, который, вероятно, оказался более взрывоопасным, чем даже задумывали его создатели. Через несколько часов после своего появления червь вылетел за пределы Украины и отправился на бесчисленные машины по всему миру - от больниц в Пенсильвании до шоколадной фабрики в Тасмании. Это нанесло урон многонациональным компаниям, включая Maersk, фармацевтического гиганта Merck, европейское дочернее предприятие FedEx TNT Express, французскую строительную компанию Saint-Gobain, производителя продуктов питания Mondelēz и производителя презервативов Durex - Reckitt Benckiser. В каждом случае это стоило девятизначных сумм. Вирус даже распространился обратно в Россию, нанеся удар по государственной нефтяной компании Роснефть.

NotPetya питался украинскими компьютерами живьем. Он затронул как минимум четыре больницы в одном Киеве, шесть энергетических компаний, два аэропорта, более 22 украинских банков, банкоматы и системы карточных платежей в розничной торговле и на транспорте, а также практически все госагентства. «Правительство было мертво», - резюмировал украинский министр инфраструктуры Владимир Омелян. Атака даже отключила компьютеры, которыми пользовались ученые в районе Чернобыльской зоны. А один высокопоставленный чиновник украинского правительства подсчитал, что 10% всех компьютеров в стране были стерты.

В результате общий ущерб составил более $10 млрд, согласно оценке Белого дома. В феврале прошлого года американские спецслужбы подтвердили, что российские военные - главный подозреваемый в любой кибератаке, направленной на Украину - были ответственны за запуск вредоносного кода. (МИД России отказался отвечать на неоднократные запросы о комментариях, - WIRED)

Даже WannaCry, наиболее известный червь, распространившийся за месяц до NotPetya в мае 2017 года, оценивается в сумму от $4 млрд до $8 млрд. Ничто с тех пор не приблизилось по уровню ущерба к NotPetya. «Хотя гибели людей не было, это было равносильно использованию ядерной бомбы для достижения небольшой тактической победы. Это степень безрассудства, которую мы не можем терпеть на мировой арене», - сказал бывший советник по национальной безопасности США Том Боссерт.

Первый монументальный кризис в глобальных перевозках

Спустя год после того, как NotPetya потряс мир, WIRED углубился в опыт одного корпоративного голиафа, поставленного на колени российским червем: Maersk, чье фиаско с вредоносным ПО однозначно демонстрирует опасность, которую кибервойна представляет для инфраструктуры современного мира. Когда атака, направленная на Украину, наносит удар по Maersk, а атака на Maersk наносит удар повсюду сразу.

В офисе в Одессе, портовом городе на черноморском побережье Украины, финансовый директор украинского подразделения Maersk попросил ИТ-администраторов установить бухгалтерское ПО M.E.Doc на один компьютер. Это дало NotPetya единственную опору, в которой он нуждался.

Судоходный терминал в городе Элизабет, штат Нью-Джерси, США, один из 76, которые составляют портовое подразделение Maersk. В хороший день около 3000 грузовиков прибывают на терминал, чтобы забрать или сбросить десятки тысяч килограммов всего - от подгузников до авокадо и деталей трактора. 

Утром 27 июня сотни 18-колесных грузовиков выстроились в бесконечную шеренгу от ворот терминала. Клиенты Maersk не могли ничего сделать со своими грузами. Многие контейнеры были наполнены скоропортящимися товарами. Какие-то были компонентами для производства, один день простоя которого стоит сотни тысяч долларов. Некоторые контейнеры, которые отправились на корабли Maersk в тот день, останутся потерянными на грузовых складах и в портах по всему миру в течение следующих трех месяцев. 

Та же сцена разыгралась на 17 из 76 терминалов Maersk, от Лос-Анджелеса до Мумбаи. Ближайшие дни одна из самых сложных распределенных машин в мире, лежащих в основе системы кровообращения самой глобальной экономики, будет сломанной. 

Центр скорой помощи сети

Через несколько дней после того, как его экран потемнел Хенрик Йенсен был дома, наслаждаясь бранчем из вареных яиц, тостов и мармелада. Несколько дней он ничего не слышал от своего начальства. Но тут зазвонил телефон: его вызвали в город недалеко от Лондона, чтобы помочь перестроить глобальную сеть Maersk, разрушенную NotPetya.

В центр восстановления сети Maersk прибывали сотрудники со всего мира. Maersk забронировал практически каждый номер в отеле за десятки миль, каждую кровать и завтрак, каждую свободную комнату над пабом. Центром управляла консалтинговая компания Deloitte. По сути, Maersk дал британской фирме незаполненный чек, чтобы устранить проблему NotPetya. Так что вместе с 400 работниками Maersk в офисе постоянно находились до 200 сотрудников Deloitte. 

Все компьютерное оборудование, использовавшееся Maersk до вспышки в NotPetya, было конфисковано из-за опасений, что оно может заразить новые системы. Так что сотрудники компании заходили в каждый доступный магазин электроники и скупали кучу новых ноутбуков и предоплаченных горячих точек Wi-Fi. 

В начале операции ИТ-специалисты, восстанавливающие сеть Maersk, обнаружили резервные копии почти всех отдельных серверов Maersk. Но никто не мог найти резервную копию одного важного уровня сети компании: контроллеров домена, серверов, которые функционируют как подробная карта сети Maersk и устанавливают основные правила, определяющие, кому и куда разрешен доступ.

150 контроллеров домена Maersk были запрограммированы для синхронизации своих данных друг с другом, так что, теоретически, любой из них мог функционировать в качестве резервной копии для всех остальных. Но эта стратегия децентрализованного резервного копирования не учитывала один сценарий: когда все контроллеры домена стирались одновременно. «Если мы не можем восстановить наши контроллеры домена, - вспоминает ИТ-специалист Maersk, - мы ничего не можем восстановить».

Спецоперация в Гане

После безумного поиска, специалисты нашли один выживший контроллер в Гане, Западная Африка. Его спасло отключение электричества, которое случилось перед нападением NotPetya и вырубило из сети местный офис. 

В Гане плохая пропускная способность интернета, и передача копии в несколько сотен гигабайт заняла бы несколько дней. Быстрее всего получить копию можно было физически: если бы ганский сотрудник прилетел в Лондон вместе с жестким диском. Однако ни у кого в ганском офисе не было британской визы. 

Maersk провела целую спецоперацию: один сотрудник вылетел из Ганы в Нигерию, чтобы передать другому сотруднику компании ценный жесткий диск, с которым тот полетит в Лондон. 

Пройдет еще неделя, прежде чем терминалы Maersk по всему миру начнут более-менее нормально функционировать. Все это время компания будет работать со всеми доступными средствами, а клиенты будут заказывать 500 транспортных контейнеров через WhatsApp. Компания занялась вопросами безопасности своей сети, в которой до атаки некоторые серверы все еще работали под управлением Windows 2000.

Maersk был только одной из жертв. Фармацевтическая компания Merck, чья способность производить некоторые лекарства была временно остановлена NotPetya, потеряла $870 млн. FedEx, чья европейская дочерняя компания TNT Express нуждалась в месяцах для восстановления некоторых данных после атаки, получила удар в $400 млн. Французский строительный гигант Saint-Gobain потерял примерно столько же. Reckitt Benckiser, британский производитель презервативов Durex, потерял $129 млн, а Mondelēz влетел на $188 млн. Неисчислимое количество жертв без публичных акционеров посчитало свои потери в тайне.

Дистанция не является защитой

Через неделю после вспышки NotPetya украинская полиция, одетая в полный камуфляж SWAT и вооруженная автоматами, перебежала из фургонов в скромную штаб-квартиру Linkos Group, разработчика M.E.Doc, взбегая вверх по лестнице, как команда SEAL Six вторгалась в дом бен Ладена.

По словам основательницы компании Олеси Линник, они направили винтовки на недоумевающих сотрудников и выстроили их в линию в коридоре. На втором этаже, рядом с ее офисом, полицейские взломали дверь в одну комнату. Отряд нашел то, что искал: стойку серверов, сыгравшую роль нулевого пациента в чуме NotPetya. Они конфисковали машины-нарушители и положили их в полиэтиленовые пакеты.

Даже сейчас, спустя более года после катастрофического распространения NotPetya, эксперты по кибербезопасности до сих пор спорят каковы были истинные намерения хакеров. Киевские сотрудники фирмы ISSP утверждают, что нападение было предназначено не только для уничтожения, но и для очистки. Наряду с паникой и разрушениями NotPetya, возможно, также стер доказательства шпионажа или даже разведки для будущего саботажа. 

Между тем, похоже, Россия вряд ли была наказана санкциями правительства США за NotPetya, которые прибыли через восемь месяцев после атаки и были перепутаны с другими сообщениями, осуждающими Россию за все: от дезинформации на выборах 2016 года до хакерских проверок энергосистемы США. 

Однако почти каждый, кто изучал NotPetya, соглашается с одним: что это может произойти снова или даже повториться в более широком масштабе. Глобальные корпорации просто слишком взаимосвязаны. Информационная безопасность слишком сложна. А поверхности атак слишком широки, чтобы защитить их от подготовленных государством хакеров, готовых выпустить следующего червя, способного буквально потрясти мир.

Но самым предметным уроком NotPetya может быть просто запутанная география кибервойны: призраки внутри серверной комнаты M.E.Doc в уголке Киева распространяют хаос в позолоченные конференц-залы столичных госагентств, в порты, разбросанные по земному шару, в величественные штаб-квартиры Maersk в гавани Копенгагена и по всей мировой экономике. 

NotPetya напоминает нам, что расстояние не является защитой. И что запутанная сеть, которая объединила и возвела мир за последние 25 лет, может за несколько часов в летний день привести его к краху.

Автор материала: Andy Greenberg, главный автор WIRED. Эта история взята из его книги Sandworm. Оригинал текста - The Untold Story of NotPetya, the Most Devastating Cyberattack in History

Перевод - Маша Ксендзик