Кибератака: версии, причины, виновники
Масштабная кибератака не так давно вывела из строя десятки тысяч серверов и рабочих станций в сетях украинских государственных и коммерческих предприятий.
Киберпреступление было произведено с помощью вредоносной программы, которая маскировалась под шифровальщик, вымогающий деньги. На самом же деле злоумышленники преследовали цель невосстановимого уничтожения данных.
Кибератака была уже не первой за этот год. Высока вероятность, что и не последней. Необходимо понять, как предотвратить подобные преступления или хотя бы минимизировать их последствия.
После атаки в некоторых средствах массовой информации активно обсуждался вопрос о причастности разработок «M.E.Doc» к распространению вируса. Действительно, злоумышленники использовали программный продукт «M.E.Doc» как одно из средств доставки вредоносного кода. Для этого они получилинесанкционированный доступ к сервису распространения обновлений программы.
ХРОНОЛОГИЯ АТАКИ
Был модифицирован пакет обновления – киберпреступники добавили в него удаленнуюзагрузку и выполнения кода (BackDoor). Ни один пакет обновления «M.E.Doc» сам по себе не содержал вредоносного кода. По сути, «M.E.Doc»стал первой целью поражения вирусом.
27 июня злоумышленники взломали сервера обновлений и перенаправили трафик с него на другой сервер, содержащий вредоносный код. Используя BackDoor в программном обеспечении «M.E.Doc», они загрузили на компьютеры жертв вредоносную программу и запустили её на выполнение.
Некоторые эксперты высказывали предположение, что вредоносный код находился на компьютерах жертв продолжительное время и был активирован в заранее заданную дату. Но эта версия не соответствует действительности. Вирус попал на компьютеры жертв 27.06.2017 и сразу же был запущен на выполнение.
Вместе с сервисом автоматического обновления «M.E.Doc» одним из первичных источниковраспространения стали сообщения электронной почты с вложениями и уязвимости на некоторых веб-ресурсах. Этим объясняется почти одновременный запуск вредоносного кода на большом количестве компьютеров.
МАСШТАБЫ АТАКИ МОЖНО УМЕНЬШИТЬ!
Во многих случаях вирус поразил не только компьютеры, на которых был установлен «M.E.Doc», но и целые корпоративные сети, уничтожая данные на серверах и рабочих станциях.При этом использовались уже вторичные способы распространения, заложенные в самой вредоносной программе – использование уязвимостей в операционной системе Windows и перехваченных учетных данных пользователей.
Исходя из этого, нельзя переносить всюответственность за кибератаку на программный продукт «M.E.Doc». Ответственность также лежит на администраторах информационно-телекоммуникационных систем, которые вовремя не установили обновления операционных систем, разрешали работу пользователей с правами администратора (в том числе привилегиями администратора домена), не обеспечили разделение корпоративных сетей на отдельные подсети.
Если бы необходимые меры безопасности были предприняты, то вредоносная программа не смогла распространиться по сети. Пострадали бы только немногочисленные отдельные рабочие станции, на которые вредоносный код попал через первичные векторы распространения. Масштаб кибератаки можно было уменьшить в тысячи раз!
«M.E.DOC» – БЕЗОПАСЕН!
В настоящее время разработчик программного продукта «M.E.Doc» принял меры по устранению уязвимостей в программном обеспечении.Дистрибутивы и пакеты обновления были перенесены на защищенную площадку государственного предприятия "Украинские специальные системы", чтобы защитить их от несанкционированного вмешательства и заражения вирусами.
Информационно-телекоммуникационная система ГП "Украинские специальные системы" надежно защищена от внешних атак и вредоносного кода. Во время последней кибератаки ни один информационный ресурс, размещенный в ГП "Украинские специальные системы", не пострадал.
Сервис автоматического обновления сейчас отключен. Разработчик проводит технические работы, чтобы гарантировать целостность и аутентичность доставляемых обновлений. В частности, будет реализован механизм электронной цифровой подписи пакетов обновлений.
Таким образом, разработчик предпринял все зависимое от него, чтобы не допустить повторениякибератаки. На данный момент программное обеспечение «M.E.Doc» не может быть использовано злоумышленниками для доставки вредоносного кода.
Необходимо понимать, что «M.E.Doc» стал каналом распространения вредоносного кода в первую очередь из-за своей популярности в крупных государственных и частных организациях. Аналогичные программы не были затронуты не потому, что они имеют какую-то дополнительную защиту – в первую очередь они намного менее распространены. Любая достаточно популярная программа может пострадать от подобных действий.
СЕРТИФИКАЦИЯ ПРОГРАММ – ГДЕ ВЫДАЮТ СЕРТИФИКАТЫ?
После кибератаки начали звучать заявления о том, что программные продукты, такие как «M.E.Doc», должны быть сертифицированы и проверены на наличие уязвимостей в них.
На сегодняшний день в Украине нет уполномоченного органа, в компетенции которого была бы проверка программных продуктов на наличие уязвимостей и их сертификация. Все существующие государственные органы действуют исключительно в рамках своих полномочий, установленных законодательством, и поэтому не могут производить такую проверку.
Государственная служба специальной связи и защиты информации имеет полномочия проводить гос экспертизу в сфере технической защиты информации. Однако такая экспертиза проводится в отношении средств защиты информации, а программное обеспечение для подачи электронной отчетности и электронного документооборота не входит в эту категорию. Сегодня разработчикам попросту негде проходить какую-либо сертификацию – нет ни определенной законом процедуры, ни уполномоченных органов.
АНТИВИРУСЫ И «M.E.DOC» – ЛОЖНЫЕ СРАБАТЫВАНИЯ
"Вирусы" и "троянские программы" в различных модулях программного продукта «M.E.Doc», якобы найденные разработчиками антивирусов – это не более, чем ложные срабатывания. Дело в том, что помимо определений сигнатур вирусов многие антивирусные продукты имеют эвристические алгоритмы анализа для обнаружения новых неизвестных угроз.
Такие алгоритмы часто считают какую-либо программу вредоносной или подозрительной на основании того, что она имеет сходство с каким-либо известным образцом вредоносного кода (например, схожее имя или размер файла, одинаковые участки кода, похожее поведение).
«M.E.Doc» не содержит и никогда не содержал вредоносного кода. В одной из версий злоумышленники встроили BackDoor – возможность удаленного управления, которая сама по себе не повреждает данные на компьютерах, а была использована как механизм доставки вредоносной программы.
В последней версии разработчик удалил этот BackDoor, и сейчас можно пользоваться программой без опасений. Однако модуль, ранее содержащий BackDoor, имеет прежнее название, и его код на 90 % остался без изменений. Этим и объясняются частые ошибочные срабатывания антивирусных продуктов.