NotPetya: И все пак рансъмуер?

[You must be registered and logged in to see this image.]

Ама че работа. Лятото се оказва горещо за всички, особено тези, споходени от вълната от рансъмуер атаки, да не говорим за защитната индустрия, която сякаш самата тя не знае вече какво се случва.

Нека припомним, че всичко започна с публикуването на няколко хакерски инструмента на Агенцията за национална сигурност на САЩ (АНС) от група, нарекла се The Shadow Brokers, които твърдяха, че са успели да ги откраднат от американските шпиони. С помощта на само два от инструментите: EternalBlue и DOUBLEPULSAR, неизвестна страна успя да всее хаос по целия свят с разпространението на рансъмуер заплахата с име WannaCry. Благодарение на хакерския арсенал от АНС, заплахата получава функционалност за саморепликиране, и хиляди системи и мрежи бяха засегнати лошо. В края на миналия месец, нова серия атаки заля Интернет. Този път ставаше въпрос за различен тип заплаха.

Специалистите по сигурността побързаха да класифицират заплахата, като кибероръжие, атаките, като киберсаботаж, а не дело на финансово мотивирани престъпници. Зловредната програма използва функционалности на известен преди рансъмуер с името Petya, който презаписва MBR сектора на диска, криптирайки и данните. Въпросната програма бе използвана в ограничен брой атаки, като особено пострадаха системи на територията на Украйна, включително и енергопреносната мрежа на страната. Това накара компаниите от защитната индустрия да дадат име на заплахата от края на миналия месец NotPeya (ExPetr, PetrWrap, Diskcoder.C). Освен Украйна, общо 64 държави пострадаха от NotPetya, но процентът на заразени мрежи и системи в Украйна е непропорционално по-висок от този в другите държави.

В едно от най-подробните разследвания на случая, словашката компания ESET свърза атаките със зловредната програма KillDisk към украински предприятия и енергийната мрежа в страната, NotPetya и Xdata, сложна рансъмуер заплаха, която обаче не получи голямо разпространение. Всички те, според ESET са дело на високопрофилна групировка, чиито цели не са финанси, а по-скоро саботаж. Междувременно, НАТО заговори съвсем сериозно за активиране на Член 5 от вашингтонското споразумение, решение, което, както вече коментирахме, не изглежда сякаш особено добре обмислено, вземайки предвид особеностите на киберпрестъпната сцена и щекотливия въпрос за атрибуцията на атаките в [You must be registered and logged in to see this link.]

Е, тези дни имаме обрат в историята. Може да се окаже, че всъщност наистина става дума за финансово мотивирани хакери. Неизвестна страна е изтеглила събраните досега над 10 000 долара в биткойни от посочения портфейл за декриптиране на последната заплаха и публикува съобщение в DeepPaste и Pastebin с уверението, че срещу сумата от 100 биткойна (около $256 000) ще публикува универсален ключ за декриптирането на всички заключени от NotPetya системи. Без стартиращите дискове, в които информацията е разрушена. Това става ясно от публикация в Motherboard. Журналист от изданието е последвал съобщението на неизвестната страна, свързвайки се с него в защитена чат-стая в Tor. Motherboard са предоставили криптиран от програмата файл, за да докаже неизвестната страна, че наистина може да отключи данните. Дали въпросната страна е наистина за това, което се представя? Или са киберпрестъпници, които искат да се възползват от ситуацията и неизвестността? Специалист по информационна защита, цитиран от изданието е убеден, че някой се опитва да обърка публиката и журналистите. И въпросният специалист сигурно щеше да е прав. Ако няколко часа по-късно хакерите не изпращат декриптирания файл обратно на Motherboard. Освен това, хакерите са доказали, че имат достъп до кода на NotPetya, подписвайки своите съобщения с частния ключ на зловреда. Те са споделили за медията, че вече има заинтересовани страни да платят внушителната сума. Изглежда, че убедените твърдения на множество специалисти все пак ще се окажат доста несигурни.

И тук, може би е добре да се върнем към споменатата възможност за задействане на Член 5 в случай на кибератака. Ако хора с години опит, като специалисти по киберсигурност, работещи в уважавани компании от ранга на ESET и Kaspersky може да бъдат объркани не просто в атрибуцията, но и в мотивите на атакуващата страна, какво остава за генерали и офицери, които разбират единствено от воденето на конвенционални бойни действия? Възможно ли е „шега“ на някое хлапе, докопало се до Kali Linux да доведе до Трета световна? Разбира се, че звучи преувеличено. А дали…?



/kaldata.com