Украинаға хакер һөжүмдәре (2017)

Википедия — ирекле энциклопедия мәғлүмәте
Украинаға хакер һөжүмдәре
Рәсем
Дәүләт  Украина
Урын Украина, Америка Ҡушма Штаттары, Рәсәй, Польша, Франция, Италия, Һиндостан, Германия, Бөйөк Британия һәм Испания
Ваҡиға ваҡыты 27 июнь 2017

Украинаға хакер һөжүмдәре — 2017 йылдың 27 июнендә Украинаның дәүләт предприятиелары, учреждениелары, банктары, медиа селтәрҙәренә һәм башҡаларға маҡсатлы, киң күләмле[1][2][3] хакер һөжүмдәре. Был һөжүмдәр һөҙөмтәһендә «Борисполь» аэропорты, ЧАЭС, Укртелеком, Укрпочта, Ощадбанк, Укрзализныця кеүек предприятиеларҙың һәм башҡа эре коммерция предприятиеларының эшмәкәрлеге боҙола[4][5].

Украина Министрҙар Кабинеты[6], «Интер» телеканалы, составына «24 канал», «Радио Люкс FM», «Радио Максимум» ингән ТРК «Люкс» медиахолдингы сайттары, интернет-баҫмалар, шулай уҡ Львов ҡала советы, Киев ҡала дәүләт хакимиәте һәм Украина Махсус элемтә хеҙмәте сайттары һөжүмгә дусар була[7].

«Первый автомобильный» һәм «Киев» ТРК-һы каналдары тапшырыуҙарын туҡтата.

Вирустың тасуирламаһы[үҙгәртергә | сығанаҡты үҙгәртеү]

Вирус 2017 йылдың 27 июнендә M.E.Doc программаһына яңыртыу менән бергә тарала. M.E.Doc программаһы Украинала бухгалтер отчетлылығын тапшырыу өсөн киң файҙаланыла[8], мәғлүмәт хәүефһеҙлеге белгестәре мәғлүмәттәренә ярашлы, фирманың вирус йоҡтороу мәленә 400 меңләп клиенты була, был ил ойошмаларының 90 проценты самаһын тәшкил итә[9]. Күрәһең, яңыртыуҙар серверының ныҡлығына зыян килгән булғандыр, һәм ул зарарлы программаны тарата башлаусы итеп ҡулланылған[10]. 2017 йылдың 18 майында ла ошоға оҡшаш зарарланыу күҙәтелә, ул саҡта M.E.Doc программаһының таратылыусы ҡушымтаһы шифрлаусы-шантажлаусы XData менән зарарланған була[11].

Шифрлаусы үҙе электән билдәле Petya тигән 2016 йылғы зарарлы программа кодына нигеҙләнгән, уға Petya. A тигән атама бирелгән. Системаға эләккәс, шифрлаусы SMB EternalBlue протоколының йомшаҡ урынын файҙалана, ҡаты дисктағы бөтә мәғлүмәтте шифрлай, төп нөсхәле файлдарҙы кире ҡайтарғыһыҙ итеп юҡҡа сығара һәм компьютерҙы һүнеп тоҡанырға мәжбүр итә[12][13]. Ҡабат йөкләнгәндән һуң файҙаланыусынан биткоиндарҙа күпмелер сумма күсереүҙе талап иткән экран ҡалҡып сыға (ул заманда 300 долларға тиң сумма)[14][15]. Бер юлы вирус локаль селтәрҙәге насар һаҡлаулы башҡа компьютерҙарҙы ла эҙләй һәм EternalBlue йомшаҡлығы аша уларға ла сир йоҡтора.

Антивирус программалары үҙен табып ҡуймаһын өсөн вирустың бинар кодтары Microsoft’тың цифрлы ялған ҡултамғаларын, XOR алгоритмы менән шифрлауҙы (сигнатураға тикшереүҙе урап үтер өсөн) файҙалана.

Вирустың ғәмәлләшеүе ярайһы уҡ юғары кимәлдә барһа ла, уның ҡорбаны менән аралашыуы ышаныслы түгел, шуға вирусты эшләүселәр өсөн шантаж төп маҡсат булмағандыр тигән фекер тыуа[16]: бөтә ҡорбандарға ла вирус авторының аҡса янсығына $300 долларлыҡ биткоин күсерергә һәм экранға сығарылған оҙон кодты ул биргән электрон поча адресына ебәрергә ҡушыла.

Зарарлаусыларҙың почта йәшниге теркәлгән почта хеҙмәте уны һөжүм башланғандан һуң бер нисә сәғәт үткәс тә бикләп ҡуя (шулай итеп, зарарлаусылар менән ҡорбандар аралашыуын туҡтата) һәм был ваҡиғаны тикшереү буйынса немец мәғлүмәт хәүефһеҙлеге федераль хеҙмәте менән хеҙмәттәшлек итеүе тураһында белдерә[17]. Ришүәтте түләүҙең дә мәғәнәһе ҡалмай[18].

Башта Киберполиция фараз итеүенсә[19] һәм Microsoft компанияһының компьютер хәүефһеҙлеге белгестәре раҫлауынса, һөжүм M.E.doc программаһының автоматик яңыртылыуы системаһынан 2017 йылдың 27 июнендә 10:30 GMT сәғәттә (Киев ваҡыты буйынса 13:30 сәғәт, киберполиция иһә һөжүм Киев ваҡыты буйынса 10:30 сәғәттә башланған тип раҫлай)[20] башлана. M.E.Doc программаһын эшләгән «IT Эксперт» компанияһы үҙ сайтында һөжүм сығанағын таныу тураһында хәбәр баҫтыра, тик тиҙҙән уны алып ташлай. Һуңыраҡ тағы бер хәбәр баҫыла, унда вирус таралыуына йә үҙенең мәғлүмәт системаларының ватылыуына бер ниндәй ҡыҫылышы булмауы тураһында белдерә[21].

Зарарлы йоғонто[үҙгәртергә | сығанаҡты үҙгәртеү]

Шифрлау тамамланғас күренә торған хәбәр

Вирустың зарарлы йоғонтоһо уның процесы (әлеге мәлдә эшләп торған программаһы) эйә булған хоҡуҡтарға һәм операцион системала ниндәй процестар эшләүенә бәйле. Вирус эшкә ҡушылған процестарҙың ҡатмарлы булмаған хешын таба, алдан бирелгән кодтар табылһа, үҙенең таралыуын туҡтата ала, хатта зыян килтереүҙән баш тартыуы ла ихтимал.

Вирус бөтәһенән элек төп йөкләү яҙмаһын (MBR) үҙенең тоҡандырыу кодына алмаштыра, компьютерҙы ҡабат йөкләүгә осраҡлы таймер (кәм тигәндә 10, күп тигәндә 60 минут) ҡуя һәм система журналдарындағы бөтә яҙмаларҙы юя. Ҡабат йөкләнгәндән һуң, MBR-ҙағы үҙгәреш арҡаһында операцион система урынына вирус йөкләнә, ул экранда ҡаты дисктың теүәллеген тикшереүсе Chkdsk программаһының ялған интерфейсы һүрәтен сығара. Бер ыңғайҙан файлдарҙағы мәғлүмәттәрҙе алдан билдәләнгән типтар исемлеге (бөтәһе 60-тан ашыу тип) буйынса шифрлау ғәмәле тоҡана. Шифрлау тамамланғас, экран уңышлы һөжүм атҡарылыуы һәм түләү талап ителеүе тураһындағы хәбәргә алмашына.

Һәр компьютер өсөн вирус AES-128 симметриялы шифрлау алгоритмының яңы асҡысын хисаплап сығара, уны 800 битлы асыҡ асҡыс менән шифрлай һәм ҡаты дискта һаҡлап ҡуя.

Ниндәй хоҡуҡтарға эйә булыуына ҡарап, вирус төп йөкләү яҙмаһын (MBR) һәм Volume boot record’ты (VBR) юйҙырырға тырыша.

Теракт менән бәйләнеш[үҙгәртергә | сығанаҡты үҙгәртеү]

27 июндәге хакер һөжүме алдынан иртән 8:15 сәғәттә Соломенский районында автомобиль шартлай, уның рулендә Баш разведка идаралығының махсус тәғәйенләнеш отряды командиры полковник Максим Шаповал була. Көслө шартлауҙан ул шунда уҡ һәләк була[22].

Яҡынса 10:30 сәғәттә M.E.Doc программаһы яңырыуҙары йөкләнә башлай, ул вирус программаһының кодын ташый. Бер нисә сәғәт эсендә вирус күп кенә дәүләт селтәрҙәрен зарарлап өлгөрә.

Украинаның Милли именлек һәм оборона секретары Александр Турчинов[23] был ике ваҡиғаның бер-береһе менән бәйле булыу ихтималлығы һәм Украинаның Конституция көнөнә ҡарата Рәсәй яғынан икеләтелгән һөжүм булыуы мөмкинлеге тураһында фаразын белдерә.

Украинанан ситтәге һөжүмдәр[үҙгәртергә | сығанаҡты үҙгәртеү]

Украина менән бер үк ваҡытта тиерлек Рәсәйҙә лә Роснефть[24], Башнефть[25] компьютерҙары эштән сыға, ошо сәбәпле бер нисә участкала нефть сығарыу туҡтала.

Әммә Рәсәйҙең эре предприятиеларында селәү таралыуға ҡаршы ярайһы уҡ яҡшы кәртә ҡоролған була, әммә зарарланыуға ҡаршы һаҡтары етерлек булмай[26].

Украина менән Рәсәйҙән һуң һөжүмдәр Испания, Һиндостан[27], Ирландия, Бөйөк Британия[28] һәм башҡа илдәргә, Европа берләшмәһе менән АҠШ ҡалаларына ла күсә[29]. McAfee мәғлүмәттәренә ҡарағанда, АҠШ-та вирус эләктергән компьютерҙар Украиналағынан күберәк булып сыға, әммә ESET антивирусы статистикаһы теркәлгән зарарланыуҙарҙың 80 проценттан ашыуы Украинаға тап килеүе тураһында белдерә.


Тикшереү[үҙгәртергә | сығанаҡты үҙгәртеү]

Һөжүм башланғандан алып Украина Киберполиция департаментына компьютер селтәрҙәренең эше боҙолоу тураһында 1000-ләп мөрәжәғәт килә. Шуларҙан 43 компания полицияға рәсми ғариза менән мөрәжәғәт итә. 28 июнгә ҡарата дәүләт һәм хосуси учреждениеларҙың, ойошмаларҙың, предприятиеларҙың электрон-хисаплау системаларына рөхсәтһеҙ ҡыҫылыу факттары буйынса 23 енәйәтселек башҡармаһы (Украина Енәйәтселек кодесының 361-се статьяһы) асыла. Тағы 47 факт буйынса белешмәләрҙе Судҡа тиклемге тикшереүҙәрҙең берҙәм реестрына индереү мәсьәләһе хәл ителә[30].

2017 йылдың 29 июненән Украина Милли полицияһы 1508 юридик һәм физик шәхестән компьютер техникаһының шифрлаусы вирус тарафынан бикләнеүенә бәйле мөрәжәғәт ала. Уларҙың 178-е полицияға рәсми ғариза бирә. Атап әйткәндә, шәхси секторҙан 152 ойошма һәм илдең дәүләт секторынан 26 ғариза килә[31].

Бынан тыш, тикшереү алып барыуға Украина Именлек хеҙмәтенең Мәғлүмәт хәүефһеҙлеге өлкәһендә дәүләт мәнфәғәттәрен контрразведка һаҡлауы департаменты белгестәре лә йәлеп ителә. Кибернетик хәүефһеҙлек буйынса махсуслашҡан партнер хоҡуҡ һаҡлау органдары, сит дәүләттәрҙең махсус хеҙмәттәре менән хеҙмәттәшлек ойошторола.

Эске эштәр министрлығының советнигы Антон Геращенко биргән мәғлүмәт буйынса, Украина дәүләтенә ҡаршы WannaCry — «cryptolocker» вирусының илгә төбәп модификацияланған версияһын ҡулланып киң хакер һөжүме үткәрелгән. Уның фекеренсә, һөжүм кәм тигәндә бер ай буйы әҙерләнгән. Украина иҡтисадын тотороҡһоҙландырыу маҡсаты ҡуйылған.[сығанаҡ 2287  көн күрһәтелмәгән]

2017 йылдың 4 июлендә Petya селәүсенен кисекмәҫтән туҡтатыу маҡсатында зарарлы программа тәьминәтен таратыуға йәлеп ителгән компанияла тентеү үткәрелә һәм уның программа һәм аппараттар базаһы тартып алына[32].


Һөҙөмтәләр[үҙгәртергә | сығанаҡты үҙгәртеү]

Bitcoin транзакциялары тулыһынса асыҡ башҡарылғанға күрә вирус хужаһына күсерелгән аҡсалар статистикаһын теләгән бер кеше ҡарай ала. Нью-Йорк журналисы һәм программисы Кейт Коллинз Твиттерҙа һәр операциянан һуң яңыра торған һәм зарар килтереүсенең счетының ағымдағы торошон күрһәтеп барған аккаунт булдыра.

28 июндә Киев ваҡыты буйынса 14:00 сәғәттә зарар килтереүсе $10 меңдән ашыу аҡса ала.

2017 йылдың 28 июнендә Украина Министрҙар Кабинеты корпоратив селтәрҙәгә һәм власть органдары селтәрҙәренә хакерҙар һөжүме туҡтатылыуы тураһында иғлан итә[33].

30 июндә Милли хәүефһеҙлек һәм оборона хеҙмәте секретары Турчинов зарар килтереүселәрҙең Tor һәм VPN технологияларын ҡулланыу ихтималлығы тураһында белдерә[34]. 2017 йылдың июль башында Украина Именлек хеҙмәте Petya вирусын ҡулланып һөжүм итеүгә Рәсәй махсус хеҙмәттәре ҡатнашлығы булыуын әйтә[35].

Һөжүмгә дусар булған предприятиелар исемлеге[үҙгәртергә | сығанаҡты үҙгәртеү]

Банктар[үҙгәртергә | сығанаҡты үҙгәртеү]

  • Ощадбанк
  • Банк Пивденный
  • ОТП Банк
  • Кредобанк
  • Укргазбанк[36]
  • Укрсоцбанк
  • Проминвестбанк
  • Приват24

Компаниялар[үҙгәртергә | сығанаҡты үҙгәртеү]

  • Укрзализныця
  • Халыҡ-ара «Борисполь» аэропорты
  • Халыҡ-ара «Киев» аэропорты
  • «Эпицентр» магазиндар селтәре
  • «Новая Линия» магазиндар селтәре
  • Укрпочта
  • Новая почта
  • ДТЭК
  • Укрэнерго
  • Киевэнерго
  • ТНК автозаправкалар селтәре
  • «Ковальская» компанияһы
  • «Люкс» ТРК-һы
  • Киевводоканал
  • Rozetka
  • WOG автозаправкалар селтәре
  • Укргаздобыча
  • Киев метрополитены
  • ATR телеканалы
  • ICTV телеканалы[37]
  • СТБ телеканалы
  • Авангард агрохолдингы[38]
  • UkrLandFarming[38]
  • Concert.ua
  • Lifecell
  • Vodafone (Украина)
  • Киевстар
  • «Документ» дәүләт предприятиеһы
  • «Антонов» дәүләт предприятиеһы
  • «Национальное газетно-журнальное издательство» дәүләт предприятиеһы [39]

Рәсәй һәм сит ил компаниялары[үҙгәртергә | сығанаҡты үҙгәртеү]

Иҫкәрмәләр[үҙгәртергә | сығанаҡты үҙгәртеү]

  1. Ukraine cyber attack: Chaos as national bank, state power provider and airport hit by hackers
  2. Ukrainian banks, electricity firm hit by fresh cyber attack
  3. Из-за масштабной вирусной атаки не работают банки, медиа, сервисы
  4. Україною поширюється комп’ютерний вірус: атаковано десятки компаній та установ
  5. Вирус Petya.
  6. Вирус «Петя» парализовал работу Кабмина
  7. Хакерская атака на Украину
  8. Kramer, Andrew Ukraine Cyberattack Was Meant to Paralyze, not Profit, Evidence Shows. The New York Times (28 июнь 2017). Дата обращения: 29 июнь 2017.
  9. Satter, Raphael Ukraine says it foiled 2nd cyberattack after police raid. Associated Press (5 июль 2017). Дата обращения: 5 июль 2017.(недоступная ссылка)
  10. Frenkel, Sheera Global Ransomware Attack: What We Know and Don’t Know. The New York Times (27 июнь 2017). Дата обращения: 28 июнь 2017.
  11. Красномовец, Павел. Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать (Russian), AIN.UA (24 May 2017). 29 июнь 2017 тикшерелгән.
  12. Polityuk, Pavel Global cyber attack likely cover for malware installation in Ukraine: police official. Reuters (29 июнь 2017). Дата обращения: 29 июнь 2017.
  13. Petroff, Alanna Experts: Global cyberattack looks more like 'sabotage' than ransomware. CNN (30 июнь 2017). Дата обращения: 30 июнь 2017.
  14. Вірус "Петя". Як вберегтися від кібер-атаки (27 червня 2017). Дата обращения: 28 июнь 2016.
  15. Скільки заробив автор вірусу Petya.A і які країни найбільше постраждали від його дій? (uk-UA), Tokar.ua (28 июнь 2017). 28 июнь 2017 тикшерелгән.
  16. Hern, Alex. Ransomware attack 'not designed to make money', researchers claim (en-GB), The Guardian (28 июнь 2017). 28 июнь 2017 тикшерелгән.
  17. Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt. Posteo (июнь 2017).
  18. CERT-EU-SA2017-014: Petya-Like Malware Campaign. CERT-EU (27 червня 2017).
  19. Олег Дмитренко Кіберполіція: вірусна атака поширювалась через M.E.doc. Watcher (28 Червня 2017).
  20. New ransomware, old techniques: Petya adds worm capabilities. Microsoft Malware Protection Center blog (27 червня 2017 року).
  21. Dave Lee 'Vaccine' created for huge cyber-attack. BBC News.
  22. Минобороны подтвердило: от взрыва погиб полковник ГУР
  23. Збіг кібератаки і вбивства полковника Шаповала не є випадковим, — Турчинов 2017 йыл 27 июнь архивланған.
  24. Мощная атака: в серверы «Роснефти» проник клон вируса WannaCry
  25. Клон вируса WannaCry парализовал компьютеры «Башнефти»
  26. The Grugq. Pnyetya: Yet Another Ransomware Outbreak. Medium.com (27 червня 2017).
  27. Хакерская атака на Украину распространяется по всему миру
  28. Global cyber attack hits IT systems in Ireland and the UK
  29. [1]
  30. У ПОЛІЦІЇ ВІДКРИТО 23 КРИМІНАЛЬНИХ ПРОВАДЖЕННЯ ЗА ФАКТАМИ ВТРУЧАННЯ В РОБОТУ КОМП'ЮТЕРНИХ МЕРЕЖ. Департамент кіберполіції (28 червня 2017 р. 16:00).
  31. За дві доби до поліції надійшло 1,5 тисячі повідомлень про вірусне зараження комп'ютерних мереж. Департамент кіберполіції (29 червня 2017).
  32. Прикриттям наймасштабнішої кібератаки в історії України став вірус Diskcoder.C - кіберполіція (укр.). Департамент кіберполіції Національної поліції України (5 июль 2017).
  33. Кібератаку на корпоративні мережі та мережі органів влади зупинено
  34. Турчинов: вирус Petya провел через VPN украинский провайдер 2017 йыл 29 июнь архивланған.
  35. СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya. СБУ (1 июль 2017). 2017 йыл 5 июль архивланған.
  36. Пострадавшие от кибератаки банки и компании: перечень
  37. Телеканал ICTV подвергся хакерской атаке 2018 йыл 17 ғинуар архивланған.
  38. 38,0 38,1 "Укрлендфарминг" и "Авангард" Бахматюка подверглись хакерской атаке
  39. Євген Букет. Вітання Петру О. від “Пєті А.” до Дня Конституції(недоступная ссылка)
  40. Вирус Petya распространился по всей Европе — The Guardian
  41. Наталья Селиверстова. Информационная система Evraz подверглась хакерской атаке, РИА Новости (27 июнь 2017). 17 июль 2017 тикшерелгән.

Һылтанмалар[үҙгәртергә | сығанаҡты үҙгәртеү]