«Фонтанка» обращается в правоохранительные органы в связи со взломом 24 октября, ударившим как по редакции, так и по читателям нашей газеты. Опрошенные нами эксперты согласны, что действие вируса не очень похоже на попытку заработать. Скорее на саботаж. Причем для «Фонтанки» был выбран особенный сценарий.
Эксперты в деле кибербезопасности сходятся во мнении, что «Фонтанка» стала мишенью для организаторов вирусной атаки BadRabbit из-за популярности ресурса.
«Атака была организована следующим образом: злоумышленники заблаговременно зарегистрировали домен, на котором разместили вредоносное ПО. Далее в течение некоторого времени они взломали несколько популярных ресурсов, в частности «Фонтанку», – объяснил начальник отдела анализа защищенности компании «Информзащита» Павел Сорокин. – Получив контроль над веб-сайтом, злоумышленники поставили на некоторых страницах сайта переадресацию на свой домен, по переходу на который происходила загрузка вымогательского ПО».
Правда, министр связи и массовых коммуникаций РФ Николай Никифоров назвал атаку шифровальщика именно на российские интернет-СМИ «шальной пулей». Однако ежедневная посещаемость «Фонтанки» составляет около 250 тысяч читателей. Главный редактор «Фонтанки» Александр Горшков считает, что атака на интернет-газету заказана персонами, мечтающими, чтобы Петербург ничего не знал.
Как уточнили в «Информзащите», со стороны пользователя все это выглядело таким образом: он заходил на сайт «Фонтанки», переходил по ссылке на новость (происходила переадресация), и ему предлагалось обновить Adobe Flash Player. Пользователь соглашался, файл скачивался и запускался. Далее вирус начинал распространяться внутри сети, шифровал все скомпрометированные компьютеры и требовал выкуп за расшифровку. За расшифровку файлов злоумышленники требовали по нынешним курсам немало: 0,05 биткойна (283 доллара, или 15 700 рублей).
А вот как выглядело «нападение» хакеров со стороны технической службы «Фонтанки». «Злоумышленники, воспользовавшись уязвимостью в программном обеспечении, разместили ссылку на вредоносное ПО на нашем сайте под видом рекламного модуля, – пояснил руководитель службы информационных технологий «Фонтанки.ру» Дмитрий Олейник. – В течение некоторого времени посетители сайта получали предложение обновить Adobe Flash Player, и приняв это предложение, запускали на своем компьютере вирус, шифрующий их данные. Это обычный способ распространения подобных программ, и авторы вирусов-шифровальщиков стараются не афишировать источник распространения вредоносов – они материально заинтересованы в максимально долгом «сроке жизни» взломанных сайтов. В нашем случае, однако, через полчаса-час распространения вредоноса злоумышленники заменили главную страницу сайта, замаскировав ее под стандартное предупреждение безопасности браузера – «данный сайт распространяет вредоносное программное обеспечение и будет заблокирован». Таким образом, мы имеем основания предполагать, что основной целью злоумышленников был не заработок биткойнов за разблокировку зашифрованных данных, а нанесение ущерба деловой репутации «Фонтанки» и снижение доверия посетителей к сайту».
Дело в том, что ни на одном из взломанных сайтов, кроме «Фонтанки», злоумышленники не размещали подобных предупреждений о небезопасности.
«Анализ файлов на домене в сети TOR показал, что сайт был подготовлен еще 19 октября, а сама вредоносная программа содержала дату подписи сертификатом от 25 октября, хотя атака началась 24 октября. Некоторые из модулей содержат дату компиляции за 22 октября. Все это говорит о том, что атака была тщательно спланирована и, скорее всего, предполагалась 25 октября», – рассказали в Group-IB. В «Лаборатории Касперского» меж тем считают, что группировка готовила атаку BadRabbit как минимум с июля 2017-го. «В июле 2017 года исследователи «Лаборатории Касперского» обнаружили связь между APT BlackEnergy и авторами зловреда ExPetr, – пояснил руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. – Много общего было найдено в коде старой версии KillDisk от BlackEnergy и коде ExPetr. Эти параллели были впервые обнаружены в списке расширений файлов, в которые целились BlackEnergy и ExPetr».
«В самой атаке нет ничего нового, так киберпреступники уже делали раньше, – утверждает директор по продуктовому и технологическому позиционированию Acronis Александр Иванюк. – Очевидно, что работали не новички, потому что смогли скомпилировать функциональность нескольких шифровальщиков в один семпл. Так что, скорее всего, за BadRabbit стоит несколько человек». По словам эксперта Acronis, стоила такая атака минимум несколько тысяч долларов.
Кто стоит
Увы, эксперты в кибербезопасности не отвечают на этот вопрос «поименно». В Group-IB утверждают, что за атакой вируса-шифровальщика BadRabbit и эпидемией вируса NotPetya стоит одна и та же группа хакеров. «Мы обнаружили, что код BadRabbit был скомпилирован из исходников NotPetya, есть уникальные функции вычисления хеша, способ распространения по сети и удаление журналов, – рассказал эксперт по киберразведке Group-IB Рустам Миркасымов. – Логика извлечения модулей и сами модули также подтверждают эту связь».
«За атакой BadRabbit может стоять как небольшая преступная группа из двух-трех человек, так и более серьезная, возможно, включающая в свой состав создателей NonPetya группировка BlackEnergy, – уточняет Александр Иванюк. – Но очевидно, что это или не профессионалы экстра-класса, так как использованный сертификат фальшивый, много ставок сделано на ошибки со стороны пользователя и сложно было ожидать огромной эпидемии при такой схеме работы шифровальщика. Или же это было тестовое нападение, для того, чтобы проверить готовность пользователей противостоять вымогателям и текущую работоспособность схемы распространения шифровальщиков».
«Располагая только инструментами антивирусной компании, достоверно установить, кто стоит за атакой, невозможно, – были еще более осторожны представители компании ESET. – Назвать причастных можно только при наличии исчерпывающих доказательств».
«Определить настоящий источник проведения компьютерной атаки техническими методами практически невозможно на данный момент времени. Существует обширный набор различных техник сокрытия настоящих адресов, в том числе использование прокси-узлов, TOR-сети, взломанных серверов, грамотное применение которых надежно скрывает следы», – не оставил шансов найти «точку сборки» Павел Сорокин.
«Сейчас необходимо определить цели этой атаки, предположительно это могут быть как финансовая выгода, так и уничтожение данных и саботаж», – ничего не исключает Вячеслав Закоржевский.
Кого задело
Атака началась с распространения вредоносного ПО через российские и украинские СМИ и сторонние порталы, однако стоит отметить, что были зафиксированы заражения в Турции, США, Германии, Болгарии, Японии.
«На Россию пришлось больше половины – 65% всех атак», – уточняет Александр Иванюк (отметим, что в случае с предыдущими инкарнациями вируса звучала версия о его русском следе. – Прим. ред.). «Украина – 12,2%, Болгария – 10,2%, Турция – 6,4%, Япония – 3,8%, другие страны – 2,4%», – продолжает статистику руководитель поддержки продаж ESET Russia Виталий Земских. «Распространение BadRabbit было массовым, хотя жертв оказалось гораздо меньше, чем в случае с NotPetya. На Украине в результате атаки BadRabbit пострадали несколько стратегических объектов (аэропорт, метро, госучреждения), в России — редакции федеральных СМИ. Также были зафиксированы факты попыток заражений банковских инфраструктур, правда, неудачные», – завершили картинку в Group-IB.
Куда бежать
Совет специалистов по кибербезопасности почти всегда одинаков, когда пользователи сталкиваются с вирусом: иметь на компьютере антивирусную защиту и защищённый бекап (резервное копирование данных. – Прим. ред.).
Кроме того, необходимо регулярно обновлять операционную систему и сторонний софт. «Но важно помнить о том, что сторонний софт не обновляется с новостных сайтов, – уточняет Александр Иванюк. – Он или обновляется автоматически сам (данная функция есть сейчас почти во всем популярном софте), или же его нужно обновлять с сайта производителя этого софта». «Для компаний необходимо внедрять системы защиты web и почтового трафика, использовать механизмы песочницы (sandbox) для обнаружения вредоносного ПО», – добавляет менеджер по развитию бизнеса в области информационной безопасности Orange Business Services в России и СНГ Андрей Прошин. Если заражение произошло, Вячеслав Закоржевский предостерегает: «Никогда не платите злоумышленникам выкуп. В случае с Bad Rabbit происходит шифрование как пользовательских файлов, так и диска. Для шифрования диска используется легитимная утилита шифрования – DiskCryptor. Если у вас есть возможность, сохраните образ диска. На данный момент специалисты работают над установлением возможности расшифровки».
И в качестве постскриптума: «Лаборатория Касперского» в ходе анализа образцов угрозы BadRabbit отметила интересную деталь: по всей видимости, авторы вредоносной программы являются поклонниками «Игры престолов». Некоторые строки в коде представляют собой имена персонажей из этой вселенной.
Николай Нелюбин, специально для «Фонтанки.ру»