Сэм Джонс
04.07.2017

Вирус Petya, ставший причиной выхода из строя компьютеров десятков компаний по всему миру, может быть разработкой враждебного государства, а не криминальной группы.

К такому выводу пришли эксперты информационной безопасности и сотрудники западных разведывательных служб.

Многие из них на фоне появившихся за прошедшую неделю свидетельств указывают на одно государство – Россию. Тактика, технология и процедура (это киберисследователи называют/сокращают до TTPs) разработчиков Petya похожа на игровую схему/игровой сценарий Кремля.

По всей видимости, воздействие кибератаки (Petya повредил системы организаций более чем в 60 странах, от датского судоходного перевозчика Maersk до американской фармацевтической компании Merck) вызывает тревогу у агентств информационной безопасности Европы и США.

Многие опасаются, что это приведет к новой и опасной гонке кибервооружений. Эта атака подчеркивает, насколько враждебные государства, пользуясь своими возможностями, готовятся переступить границы дозволенного несмотря на возможные побочные последствия. К возможностям относятся умение озадачивать и отвлекать внимание, используя традиционные методы работы разведки, в то же время прибегая к технически более оснащенным преступным и криминальным сообществам.

Главный подозреваемый - Россия

"Это убийца, маскирующийся под вирус-вымогатель. И мы вполне уверены, что это дело рук России", – рассказал в пятницу Financial Times Джон Уотерс (John Watters), руководитель FireEye – крупнейшей американской компании, специализирующейся на предоставлении услуг сетевой безопасности.

Уотерс сообщил, что к такому заключению они пришли, основываясь на различных свидетельствах: технических данных сетевого оборудования, данных сетей, непосредственно запускающих кибератаку Petya, объектах, подвергшихся атаке вируса, на сложности кода и выбранной тактике заражения вирусом в целом.

Специалисты продолжают устанавливать организаторов кибератаки. "Мы не останавливаемся на том, что это сделал кто-то конкретный: никогда точно нельзя определить, кто именно, – подчеркивает Джон Уотрес, – максимум, что мы можем сделать, – быть абсолютно уверенными в своих заключениях, и многое указывает на то, что к этому причастна Россия".

Европейские сотрудники разведки приходят к такому же выводу. В четверг вечером Британский национальный центр кибербезопасности, подразделение GCHQ (Правительственная спецслужба Великобритании), сообщил, что целью кибератаки была дестабилизация, а не вымогательство.

"Мы пытаемся выяснить, что это за государство", – заявил британский разведчик, пожелавший остаться анонимным. Он добавил, что Россия сейчас – главная подозреваемая страна. Хотя точная картина атаки пока далеко не ясна.

Больше чем вирус

С самого начала было понятно, что вирус Petya - это больше, чем просто вирус-вымогатель. И в отличие от других вымогателей, Petya не только зашифровывает жесткий диск, но и стирает загрузочную запись компьютера. Восстановить удаленную информацию практически невозможно.

Расшифровка системы за денежный выкуп достаточно посредственный/заурядный способ. Поэтому хакеры воспользовались более незаурядным – потребовали прислать деньги на единый электронный адрес, который был заблокирован провайдерами вскоре после начала кибератаки.

И если технология выкупа выглядит как разработка хакеров-любителей, то сама вредоносная программа отнюдь не выглядела дилетантской.

Petya распространялся, скрываясь внутри лицензионного программного обеспечения M.E. Doc. украинской компании, которая занимается бухгалтерским учетом. Обновление отправлялось клиентам автоматически, что помогло избежать брандмауэров. Такой метод распространения вирусов никогда раньше не использовался криминальными сообществами. Для этого необходимо было тщательное планирование взлома программы M.E. Doc.

Наиболее сильным свидетельством причастности России являются жертвы вируса Petya: 75% атакованных компаний находятся на Украине. По мнению аналитиков, Petya распространился за границы Украины лишь потому, что украинские "дочки" иностранных компаний были непосредственными проводниками для распространения вируса. Украина, воющая с Россией на восточных территориях и в киберпространстве, первой указала на соседа. Россия же отрицает свою причастность к кибератаке.

Если окажется, что вирус Petya – российская разработка, это будет способствовать значительному обострению мирового киберконфликта.

"Поскольку в ходе кибератаки были повреждены важные государственные системы, это может считаться нарушением суверенитета, если окажется, что атака координировалась каким-либо государством, – заявил Томас Минарик (Tomas Minarik), правовой эксперт аналитического центра киберзащиты НАТО (CCDCOE), расположенного в Таллине. – Это вполне можно рассматривать как международно-противоправный акт, поэтому пострадавшие страны могут прибегнуть к ответным мерам".

Стремительное распространение вируса Petya и его негативные последствия позволяют предположить, что организаторов атаки не пугает ни критика пострадавших стран, ни возможность введения санкций.

"Есть большая вероятность того, что ситуация вскоре выйдет из-под контроля", – говорит бывший сотрудник европейской военной киберразведки. – Чаще всего так и начинаются войны".