Кибервойны. 5 атак, изменивших историю

Кибератаки превратились в мощное оружие, способное парализовать инфраструктуру целых стран и вымогать миллионы долларов.

Подборка Selecty включает самые известные случаи, повлиявшие на политику, экономику и кибербезопасность по всему миру. От вирусов-шифровальщиков до высокотехнологичных атак на промышленные системы.

Сетевой червь, вымогавший биткоины под угрозой удаления данных. По разным оценкам атаке подверглись от 230 тыс. до 500 тыс. компьютеров на ОС Microsoft Windows в 150 странах мира.

Механика

Обнаружив компьютер с уязвимостью, программа устанавливала бэкдор DoublePulsar, через который загружала код, с помощью которого запускала шифровальщик. Вирус кодировал все данные на компьютере и требовал выкуп в биткоинах. Программа–вымогатель пользовалась уязвимостью EternalBlue в системе Microsoft Windows. Ее разработку связывают с Агентством национальной безопасности США (АНБ).

Хронология

Первые жертвы WannaCry подверглись атаке в мае 2017 года. В Испании пострадали компьютеры в компаниях-поставщиках электричества, в Германии — машины основного железнодорожного оператора Deutsche Bahn. В 2018 году главный инженер Boeing сообщил, что вирус заглушил конвейер по сборке узлов модели «777», но не смог добраться до ПО бортовых компьютеров. В России сообщали об атаках на Мегафон, Сбербанк, информационные системы РЖД, «ФинЦЕРТ» Банка России.

Официальный представитель МВД России Ирина Волк сообщила, что ведомство оперативно блокировало около 1 тыс. зараженных устройств, что составило менее 1% всех компьютеров министерства. Серверы МВД избежали атаки, так как на них использовалась отечественная ОС «Эльбрус».

Маркус Хатчинс, исследователь, обнаружил, что перед шифровкой сообщений WannaCry отправляет запрос на несуществующий домен. Он зарегистрировал этот домен и остановил атаку вируса.

Расследование

Международное расследование связало распространение вируса с группой хакеров Lazarus Group, которую подозревают в других актах кибертерроризма и связях с КНДР. Эксперты, проводившие лингвистический анализ, предположили, что родным языком авторов WannaСry был южный диалект китайского.

Выкуп

Первоначально программа была известна как «WannaCrypt» («ХочуКрипты»). В первые недели мошенники требовали выкуп в $ 300, но вскоре стали просить за расшифровку вдвое больше — $ 600. Пользователи массово сообщали о том, что коды расшифровки не работали.

Ущерб

От $ 1млрд до $ 4 млрд — примерные убытки от действий вируса по всему миру. Только больницы Великобритании потеряли около £92 млн. из-за отмены 19 тыс. приемов пациентов и переноса плановых операций.

Волна вирусов, которую некоторые специалисты по кибербезопасности объединяют в одну, а некоторые, как Лаборатория Касперского, говорят только об условном сходстве.

Petya, NotPetya, ExPetr, GoldenEye — это шифровальщики, нацеленный на объекты критической инфраструктуры. Распространение началось в Украине, где пострадали аэропорты и Национальный банк.

Чернобыльская АЭС была переведена на ручной режим управления, так как пострадала система мониторинга радиационной обстановки, а данные на 10% компьютерах в стране оказались стерты. Позже вирус распространился на Россию, Европу, Индию и Китай.

Механика

Как и WannaCry, использовал эксплойт EnternalBlue и бэкдор DoublePulsar. Petya шифровал данные на жестком диске, а также кодировал и перезаписывал MBR — код, необходимый для загрузки операционной системы.

Petya распространялся через зараженные и взломанные сайты, которые маскировали вирус под обновления. Также злоумышленники использовали автоматическое обновление сторонних приложений, например, программу для массовой бухгалтерской отчетности M.E.Doc. Пути распространения стали гораздо разнообразнее, что позволило вирусу целиться не в конкретные машины, а целые системы и организации, максимизируя вред.

Хронология

Первую версию вируса обнаружили в марте 2016 года. Тогда вымогатели просили ₿0,9, что в то время равнялось примерно $ 380. К маю того же года вирус содержал дополнительные файлы: если он не получал доступ к возможностям администратора, то загружал другое вредоносное ПО «Misha», которое шифровало файлы напрямую, без запроса прав администратора, и требовала уже ₿1,93.

После атаки на украинские банки, аэропорты и другие организации, о проникновении вируса стали сообщать и российские организации. В 2017 году Сбербанк, Хоум Кредит, Роснефть, Башнефть рассказали, что подверглись нападению. Тогда же пострадал международный бизнес Merck, Maersk, TNT Express, Saint-Gobain, Mondelez, Reckitt Benckiser, крупные корпоративные сети от США до Австралии.

Выкуп

Несмотря на то, что Petya требовал биткоины, хакеры не предусмотрели сохранение данных и возможность как-либо расшифровать файлы. Поэтому платить было бессмысленно: как только пользователь вводил код, информация автоматически стиралась.

Ущерб$ 10 млрд. — во столько эксперты оценили ущерб, нанесенный вирусом 300-ам украинским компаниям, корпорациям и государственным органам в США, Дании, США, Австралии, Индии, Испании, Франции и других стран.

Сетевой червь, предположительно разработанный спецслужбами США и Израиля. Позволил вывести из строя 1,3 тыс. из 5 тыс. центрифуг для обогащения урана в Нантазе (Иран), сорвал сроки запуска ядерной АЭС в иранском Бушере и затормозил ядерную программу страны на несколько лет.

Механика

Stuxnet распространялся офлайн, через флешки. Тем более удивительно, что он смог заразить сотни тысяч машин по всему миру, но проявился только на критических объектах ядерной инфраструктуры Ирана.

Червь перехватывал и модифицировал поток между программируемыми логическими контроллерами Siеmens. Уникален тем, что не только шпионил за данными: задавая слишком большие скорости вращения, вирус смог физически разрушить иранские центрифуги для обогащения урана. Появление Stuxnet позволило специалистам по кибербезопасности впервые заговорить о появлении цифрового оружия.

Хронология

Чтобы установить первые зараженные червем организации, расследователям понадобилось два года и более 2 тыс. зараженных файлов. «Нулевым пациентом» с высокой степенью вероятности стала иранская компания FIECO, которая создавала автоматизированные системы для предприятий тяжелой промышленности. Атаки проводились сразу на несколько компаний, в 2009, 2010 и 2011 годах.

Человеческий фактор стал критически важной частью успеха программы. Руководство Siemens признало, что вирус занесли сотрудники компании, хотя и сделали это не зная о последствиях.

Ущерб

Кроме тех центрифуг, которые вывел из строя сетевой червь, иранцам пришлось остановить еще тысячу, чтобы предотвратить взрывы. Психологические последствия кибертерроризма, возможно, более масштабны, чем физические разрушения. О вирусах нового поколения заговорили во всем мире.

Взлом цепочки поставок SolarWinds, которая предоставляет услуги по развитию инфраструктуры 80% компаний из Fortune 500, государственным и образовательным компаниям.

Механика

Программная среда Orion, разработанная SolarWind, содержала бэкдор, который в свою очередь обменивался данными со сторонними серверами. Эта особенность позволяла вирусу маскировать трафик под протокол Orion Improvement Program (OIP), сохранять данные в легитимных файлах и смешивать их с обычной деятельностью SolarWinds. После установки обновлений, содержащих вредоносный код, злоумышленники получали полный доступ к системам.

Хронология

Атака началась в марте 2020 года, но оставалась незамеченной более 9 месяцев. Первые тревожные сигналы появились в декабре 2020 года, когда компания FireEye сообщила о взломе ее собственных систем.

Расследование выявило, что вредоносный код был внедрен в обновления SolarWinds Orion, распространявшихся с марта по июнь 2020 года. Среди пострадавших оказались правительственные учреждения США, включая Министерство финансов и Министерство торговли, а также крупные корпорации, такие как Microsoft и Cisco.

Ущерб

Миллиарды долларов, но точный ущерб подсчитать достаточно трудно. Хакеры получили доступ к конфиденциальным данным тысяч компаний и агентств по всему миру, а доверие к цепочке поставок программного обеспечения серьёзно пострадало.

Самое дорогостоящее последствие атаки, возможно, в том, что США были вынуждены начать глобальные реформы в области кибербезопасности, направленные на предотвращение подобных атак в будущем.

Механика

Злоумышленники смогли проникнуть в инфраструктуру компании через административные сети, связанные с системой управления трубопроводами. Все процессы Colonial Pipeline Company работают в автоматическом режиме: используются датчики давления, термостаты, клапаны и насосы для регулирования потоков топлива. Также в системе задействован робот PIG (pipeline inspection gauge), фиксирующий любые отклонения от нормы.

Такая сложная и интегрированная структура оказалась уязвимой. Вредоносное ПО проникло через фишинг, зашифровало данные и вызвало требование выкупа в биткойнах.

Хронология

Атака началась 7 мая 2021 года, когда DarkSide внедрили свое ПО в системы Colonial Pipeline. Компания была вынуждена остановить работу трубопроводов, что привело к дефициту топлива и панике среди потребителей на восточном побережье США. На автозаправках выстраивались длинные очереди, а цены на топливо показали максимум за 2 года.

Ущерб

Компания согласилась выплатить выкуп в размере $4,4 млн, из которых часть средств позже была возвращена ФБР. Правительство США инициировало пересмотр политики кибербезопасности, направленный на защиту критической инфраструктуры.

Группа DarkSide опубликовала на своем сайте извинения.

Хотя напрямую сеть Colonial Pipeline Company не упоминалась, хакеры признались, что цель группы — это заработок денег, а не создание проблем для общества. Благородные разбойники ввели модерацию: каждую компанию, которая могла подвергнуться взлому, собирались проверять, чтобы исключить из списка медицинские, похоронные, образовательные, некоммерческие, государственные организации. DarkSide заявили, что им важна собственная репутация. Ранее они заявляли, что часть денег жертвуют на благотворительность.

Крупнейшие кибератаки демонстрируют не только техническую сложность современных угроз, но и их влияние на экономику и общество. Они стали стимулом для разработки новых стандартов безопасности и изменений в подходах к защите данных. Мир всё больше зависит от цифровых технологий, что делает нас уязвимыми к кибертерроризму, но и вынуждает искать пути для создания более безопасного будущего.