Atak NotPetya (zwany również Petya) – seria cyberataków przeprowadzonych w czerwcu 2017 roku, wykonywanych za pomocą oprogramowania, które udawało ransomware, a tak naprawdę okazało się wiperem[1]. Atak sparaliżował firmy i agencje rządowe na całym świecie[2].
Exploit EternalBlue
Szkodliwe oprogramowanie wykorzystujące exploit (program mający na celu wykorzystanie błędów w oprogramowaniu)[3] o nazwie „EternalBlue” zostało opracowane przez amerykańską agencję bezpieczeństwa (NSA). Zostało ono wykorzystane przez grupę hakerów zwaną Shadow Brokers (TB)[4]. Udostępniła ona publicznie luki, które były ukierunkowane na zapory korporacyjne, oprogramowanie antywirusowe i produkty Microsoftu.
EternalBlue wykorzystał lukę w protokole Microsoft Server Message Block 1.0 (SMBv1), i dzięki niej zyskał dostęp do zdalnego wykonania dostarczonego kodu na komputerze ofiary (użycie Double Pulsar, czyli tak zwanego backdoor). DublePulsar zapewnił cyberprzestępcom wysoką kontrolę nad systemem komputerowym. Backdoor używa trzech poleceń: ping, kill i exec.
Mimikatz
Twórcy NotPetya posłużyli się złośliwym oprogramowaniem EternalBlue w połączeniu z Mimikatz, narzędziem open-source, które zbiera, a następnie wykorzystuje poświadczenia w systemach Windows. Mimikatz zwany jest „szwajcarskim scyzorykiem” hakerskim, ponieważ wykrada on dane, takie jak hasła, a co za tym idzie umożliwia całkowity dostęp do urządzenia. Od czasów jego stworzenia przez Benjamina Delpy[5] liczba ataków wciąż rośnie.
Mimikatz jest możliwy do wykrycia, w tym celu trzeba monitorować procesy i interakcje związane z LSASS.exe[6]. Proces ten zapewnia dostęp do pamięci, gdzie są przechowywane dane uwierzytelniające. Przeskoki między hostami w organizacji, uruchamianie procesów z konta innego użytkownika mogą świadczyć o zainfekowaniu systemu[7].
Mimo wydanej łatki na EthernalBlue przez firmę Windows po ataku WannaCry, oba narzędzia w połączeniu stworzyły kombinację nie do pokonania. Delpy powiedział „Możesz zainfekować komputery, które nie są załatane, a następnie możesz pobrać hasła z tych komputerów, aby zainfekować inne komputery, które są załatane”[8].
Geneza ataków
Seria ataków między 27–28 czerwca 2017 roku wpłynęła negatywnie na finanse wielu firm na całym świecie. Pierwsza o serii ataków poinformowała Ukraina oraz Maersk. Niektórzy twierdzą[kto?], że wydanie NotPetya było aktem cyberwojny, ponieważ malware w ciągu kilku godzin od ujawnienia się, dotarł do wielu punktów na świecie. Najbardziej ucierpiały na tym firmy takie jak: koncern farmaceutyczny Merck[9], spółka FedEx TNT Express[10], francuska firma budowlana Saint-Gobain[11], producent żywności Mondelez[12], Reckitt Benckiser[13] oraz rosyjska spółka naftowa Rosnieft[14].
Ukraina
W Linkos Group tworzone aktualizacje i wszelakie poprawki do oprogramowania księgowego o nazwie MEDoc[15], systemu używanego przez każdą osobę, która rozliczała się z podatków lub prowadziła przedsiębiorstwo. MEDoc został opracowany przez Intellecte Service i obejmował około 400 tys. klientów, co stanowiło 90% krajowych firm. Późniejsze analizy przeprowadzone przez firmę Eset wskazały, że 80% wszystkich infekcji, było skierowanych pod kątem Ukrainy.
Atak nastąpił w przeddzień ukraińskiego Dnia Konstytucji. Puste biura dały pole do niekontrolowanego rozprzestrzeniania się cyberataku. Kontrowersje opinii publicznej budzi śmierć pułkownika Maksyma Shapovala, który został zamordowany poprzez podłożenie bomby samochodowej w Kijowie krótko przed rozpoczęciem ataku.
Ucierpiały ministerstwa, banki, systemy metra oraz przedsiębiorstwa państwowe takie jak: Ukrtelecom, Ukrposhta, Państwowy Bank Oszczędności Ukrainy, koleje ukraińskie, międzynarodowe lotnisko Boryspol, Antonov, Kyivstar, Vodafone Ukraine, lifecell, kanały telewizyjne STB, ICTV i ATR, UkrGasVydobuvannya (UGV), stacje benzynowe WOG, DTEK, epicentrum K, Międzynarodowe Lotnisko Kijów (Żuliany), Prominvestbank, Ukrsotsbank, KredoBank, Oshchadbank[16].
W późniejszym czasie Służby Bezpieczeństwa Ukrainy wskazały, że Ci sami sprawcy w grudniu 2016 roku zaatakowali system finansowy, urządzenia transportowe i energetyczne.
Maersk
27 czerwca przy biurku do rozwiązywania problemów IT zaczęli zbierać się zdezorientowani pracownicy. Na ich laptopach widniały wiadomości, między innymi o naprawie systemu plików na dysku C, bądź prosto z mostu z żądaniem okupu w wysokości 300$. W międzyczasie inny pracownik Maerska, przygotowywał aktualizację oprogramowania dla 80 tys. pracowników, kiedy jego komputer uruchomił się ponownie. Pomyślał, że pewnie ktoś z głównej siedziby IT w Anglii przerwał jego pracę, jednak wtedy dostrzegł migający ekran kolejnego komputera. Problem nie dotyczył tylko sprzętu w ich siedzibie. Ekrany migały na czarno, a pracownicy biegali przerażeni, krzycząc do innych kolegów z pracy, by czym prędzej odłączali sprzęt od sieci, gdyż każda minuta zwłoki może równać się z nieodwracalnymi zmianami. Odłączenie całej sieci Maersk zajęło dwie godziny. Po odłączeniu od sieci sprzętu, pracowników odesłano do domów, nikt z nich nie wiedział, kiedy powrót do pracy będzie możliwy. Gigant morski, odpowiedzialny za 76 portów, około 800 statków oraz prawie 1/5 zdolności przewozowej na świecie był sparaliżowany[17].
Kilka dni po fakcie wystąpienia NonPetya, pracownik z siedziby w Kopenhadze, który odpowiadał za aktualizację, został wysłany do biura w Anglii. Cel był jeden i nadrzędny – odbudowanie globalnej sieci Maerska. By ukazać potęgę tego krachu, wystarczy odnieść się do wspomnień pracownika, który opowiadał, że biuro w Anglii zostało przemienione na centrum przywracania. Okoliczne hotele zostały wynajęte na potrzeby firmy, gdyż zdarzało się, że pracownicy spali w biurze na podłodze. Tak bardzo była potrzebna intensywna praca około 600 osób (400 z Maerska oraz 200 z firmy doradczej Deloitte).
Sprzęt, na którym pracowano przed atakiem został skonfiskowany z obawy przeniesienia się wirusa na nowe systemy[18].
Technicy mieli problemy z lokalizacją kontrolera domeny. Z wielu możliwości oraz miejsc na świecie udało się zlokalizować jeden punkt w Ghanie. Sukces okazał się możliwy, przez awarię zasilania, która chwilę przed atakiem nastąpiła. Dzięki temu udało się uratować jedyną znaną kopię danych – nietkniętą przez złośliwe oprogramowanie. Jak w szybkim czasie przesłać kilkaset gigabajtów danych? Rozwiązanie byłoby może proste, gdyby pracownicy z Ghany mieli wizy brytyjskie, jednak tak nie było. Operacja Maidenhead przypominała zorganizowaną akcję, gdzie jeden pracownik leci do Nigerii, by przekazać drugiemu dysk z danymi, po czym ten udaje się do Londynu, by przekazać przesyłkę centrali. Przyjmowali zamówienia za pomocą Gmaila, WhatsApp i tym podobnych[17].
Przywracanie porządku w Maersku zajęło dwa tygodnie. W przeciągu tego czasu udało się odbudować sieć składającą się z 4 tys. serwerów oraz 45 tys. komputerów[17].
W celu lepszej ochrony swojej sieci wprowadzono wielostopniowe uwierzytelnianie oraz opóźnianie aktualizacji Windows[19].
Polska
Ataki zostały odnotowane około godziny 13:00. Problem dotknął sektora logistycznego oraz spółki usługowo-handlowe.
Atak NotPetya był na tyle poważny, że pierwszy raz w Polsce miało miejsce spotkanie Rządowego Zespołu Zarządzania Kryzysowego, na którym podjęto decyzję o współpracy z CERT-ami, o szkoleniach pracowników, kwestiach wykonywania kopii bezpieczeństwa oraz aktualizacji systemów[20].
Lista zaatakowanych przedsiębiorstw w Polsce: Firma Raben, InterCars, TNT (Katowice), Saint-Gobain (Kronospan), Modelez (Wrocław)[21].
Przebieg ataku
NotPetya za pomocą MEDoc podczas startu pobrał uaktualnianie serwera upd.me-doc.ua[22].
Po uruchomieniu NotPetya/ExPetr infekował MBR i podmieniał go na swój „payload”, następnie zmieniał zawartości rejestru, szyfrował MFT (patrz poniżej), a pod koniec wymuszał restart systemu zainfekowanego użytkownika.
Po zakończeniu szyfrowania Master File Table (MFT – umożliwia dostęp do plików na komputerze) wyświetlone zostało żądanie okupu. Jak się później okazało, backdoor był obecny w systemie aktualizacji już od kwietnia. NotPetya została rozpowszechniona poprzez wykradzenie exploitów z NSA takich jak: Eternalblue i Eternalromacne, Doublepulsar (podobnie jak WannaCry)[22].
MEDoc
NotPetya nie była typowym ransomware. Był to wiper, który nie dawał gwarancji na odzyskanie danych. Po opłaceniu żądanego okupu w Bitcoinach, poszkodowani nie widzieli nic na ekranach swoich maszyn poza ciemnym ekranem. Złośliwe oprogramowanie zostało stworzone tak, by nie mogło przywrócić utraconych zmian[1].
Backdoor znajdował się w pliku ZvitPublishedObjects.dll, co wskazuje, że atakujący mogli mieć dostęp do kodu źródłowego oprogramowania. Sprawcy wiedzieli jakie spółki zostały zainfekowane, gdyż backdoor odczytywał numery EDRPOU (odpowiednik REGONU). Informacje pobrane z klucza HKEY_CURRENT_USER\SOFTWARE\WC mówiły o używanych serwerach proxy i kontach pocztowych (wraz z loginami i hasłami)[23].
NotPetya dotkliwie sparaliżowała gospodarkę na Ukrainie. Zaatakowany został nawet komputer wicepremiera Ukrainy, Pawła Rozenko. Wykradzione informacje były przesyłane w żądaniu jako ciasteczka[23].
Wygenerowane straty
Ogólne straty liczone są jako zdecydowanie większe od WannaCry[24].
Maersk oszacował stratę na około 200–300 mln USD. FedEx koszta wycenił na 400 milionów USD. Saint-Gobain 384 miliony USD, koncern farmaceutyczny Merck na 870 milionów USD[17].
Podczas ataku został odłączony system monitorowania promieniowania w ukraińskiej elektrowni w Czarnobylu.
W ocenie Białego Domu wartość szkód jaką przyniosła infekcja szacuje się na 10 miliardów dolarów[25].
Odpowiedzialność za atak
Biały Dom oskarża Rosję, że ta jest odpowiedzialna za atak. Z wydanego oświadczenia wynika, że rosyjskie wojsko przeprowadziło najbardziej niszczycielski oraz kosztowny atak w historii. Ponadto zwraca się uwagę na fakt chęci dalszej destabilizacji Ukrainy oraz rozniecenia konfliktu na linii Kreml-Kijów[26]. Dwie firmy zajmujące się bezpieczeństwem: ukraińska ISSP oraz słowacki ESET wykryły zależność między atakami, a grupą zwaną jako Sandworms lub Telebots.
Washington Post powołując się na CIA, wskazał za sprawcę rosyjskie GRU, jednak nie zostało to podane do oficjalnej wiadomości publicznej[27].
Rosję dodatkowo oskarżyły cztery inne państwa: UK, Kanada, Australia, Nowa Zelandia[23].
Przypisy
- ↑ a b ExPetr/Petya/NotPetya is a Wiper, Not Ransomware [online], securelist.com [dostęp 2020-04-29] .
- ↑ Tłumacz Google [online], www.wired.com [dostęp 2020-04-29] .
- ↑ ABC Cyberbezpieczeństwa: E jak exploit [online], bitdefender.pl [dostęp 2020-04-23] (pol.).
- ↑ Shadow Brokers threaten to unleash more hacking tools [online], the Guardian, 17 maja 2017 [dostęp 2020-04-29] (ang.).
- ↑ https://www.blackhat.com/us-18/speakers/Benjamin-Delpy.html benjamin deply.
- ↑ Czym jest lsass.exe? [online], usunwirusa.pl [dostęp 2020-04-29] (pol.).
- ↑ Mimikatz – najpopularniejszy złodziej poświadczeń [online], kapitanhack.pl [dostęp 2020-04-29] (pol.).
- ↑ AndyA. Greenberg AndyA., The Untold Story of NotPetya, the Most Devastating Cyberattack in History [online], 22 sierpnia 2018 [dostęp 2020-04-27] .
- ↑ Bloomberg – Are you a robot? [online], www.bloomberg.com [dostęp 2020-04-29] .
- ↑ NotPetya cyber attack on TNT Express cost FedEx $300m [online], www.zdnet.com [dostęp 2020-04-29] (ang.).
- ↑ Cyber Attack Likely Cost Saint-Gobain 1% of First Half Sales [online], www.thestreet.com [dostęp 2020-04-29] (ang.).
- ↑ What Mondelez v. Zurich May Reveal About Cyber Insurance in the Age of Digital Conflict [online], www.lawfareblog.com [dostęp 2020-04-29] (ang.).
- ↑ Massive cyber-attack could cost Nurofen and Durex maker £100m [online], www.theguardian.com [dostęp 2020-04-29] (ang.).
- ↑ Maersk, Rosneft hit by cyberattack – Offshore Energy [online], www.offshoreenergytoday.com [dostęp 2020-04-29] (ang.).
- ↑ The Untold Story of NotPetya, the Most Devastating Cyberattack in History, „Wired”, ISSN 1059-1028 [dostęp 2020-04-27] (ang.). Brak numerów stron w czasopiśmie
- ↑ Cyber attack on Ukrainian government and corporate networks halted [online], www.ukrinform.net, 28 czerwca 2017 [dostęp 2020-04-28] (ang.).
- ↑ a b c d The Untold Story of NotPetya, the Most Devastating Cyberattack in History | WIRED [online], www.wired.com [dostęp 2020-04-29] (ang.).
- ↑ The Untold Story of NotPetya, the Most Devastating Cyberattack in History, „Wired”, ISSN 1059-1028 [dostęp 2020-04-29] (ang.). Brak numerów stron w czasopiśmie
- ↑ NSA wykryła podatność w Windows 10. Tym razem powiadomiła Microsoft, „Wired”, ISSN 1059-1028 [dostęp 2020-04-29] (ang.). Brak numerów stron w czasopiśmie
- ↑ » [AKTUALIZACJA #10] Kolejny groźny globalny atak: ransomware Petya (NotPetya). Ofiary także w Polsce. Dotyczy również zaktualizowanych Windowsów! [online], niebezpiecznik.pl [dostęp 2020-04-29] .
- ↑ KrzysztofK. Majdan KrzysztofK., 28 Cze 17 12:38, 2358, Hakerzy wywołali chaos na Ukrainie. Jak doszło do ataku ransomware? [online], Business Insider, 28 czerwca 2017 [dostęp 2020-04-22] (pol.).
- ↑ a b „Petya/NotPetya – analiza tajemniczego malware’u który zaatakował Ukrainę” (SCS 2017) [online], www.cyberdefence24.pl [dostęp 2020-04-23] (pol.).
- ↑ a b c » [AKTUALIZACJA #10]; Kolejny groźny globalny atak: ransomware Petya (NotPetya). Ofiary także w Polsce. Dotyczy również zaktualizowanych Windowsów! [online], niebezpiecznik.pl [dostęp 2020-04-29] .
- ↑ WannaCry i Petya/Not Petya. Lekcja na przyszłość: Potrzebujemy cybernetycznego centrum epidemiologii [ANALIZA] [online], www.cyberdefence24.pl [dostęp 2020-04-29] .
- ↑ WannaCry i Petya/Not Petya. Lekcja na przyszłość: Potrzebujemy cybernetycznego centrum epidemiologii [ANALIZA] [online], www.cyberdefence24.pl [dostęp 2020-04-22] .
- ↑ AndyA. Greenberg AndyA., The White House Blames Russia for NotPetya, the 'Most Costly Cyberattack In History’ [online], 15 lutego 2010 [dostęp 2020-05-10] (ang.).
- ↑ The Washington Post [online], www.washingtonpost.com [dostęp 2020-04-29] (ang.).