Євгенія Гончарук
Андрій Куликов
Олег Дерев’янко
NotPetya не вірус-вимагач, а масована керована атака, - експерт з кібербезпеки
Говоримо про статтю The Washigton Post та мету кібератак в Україні
Гості1
На зв’язку зі студією — cпівзасновник і Голова ради директорів ISSP (Information Systems Security Partners), співзасновник і голова Наглядової ради Kyiv Cyber Academy Олег Дерев’янко.
Андрій Куликов: The Washigton Post опублікувала статтю, у якій твердиться, що за вірусом Petya, згодом названим NotPetya, стояли люди із військової розвідки Росії. Пане Олегу, які підстави у вас є казати, що ідеться не лише про комп’ютери?
Олег Дерев’янко: В цій публікації The Washigton Post дуже багато неточностей. Я не знаю, чи це вони зробили ці неточності, чи у звіті ЦРУ, на який вони посилаються, є неточності. NotPetya — це не вірус, бо вірус — це комп’ютерний код, який додається до програми, з цієї програми розповсюджується по мережах. А NotPetya — це комплексний інструмент.
Основні підстави з технічної точки говорити, що це була фактично атака Росії, це те, що в цій атаці використовувалися інструменти, які до цього використовувалися в інших атаках проти України в 2015 та 2016 роках. Цього разу вони були зібрані в комплексну зброю.
Андрій Куликов: The Washigton Post пише, що основною метою NotPetya був зрив роботи української фінансової системи.
Олег Дерев’янко: Я вважаю, що це неточність. Одним з основних векторів атаки була компрометація української компанії M.E.Doc. Можливо, вони сказали, що проти фінансової системи, тому що серед постраждалих компаній банків була більшість — 22 банки. Але також було 6 великих енергетичних компаній, 6 великих роздрібних мереж, лікарні, 7 державних інституцій, 12 медійних і телеком-компаній. Ми це назвали масованим координованим кібервторгненням.
Євгенія Гончарук: У статі The Washigton Post нагадають, що атаки були також ще й у багатьох європейських країнах, в Індії. Як пояснити, що нібито аналогічні віруси зачепили і інші країни?
Олег Дерев’янко: Коли йде масована кібератака, супутнім ефектом вона може зачепити дуже багато компаній, тому що в них погано налаштовані IT-системи, погано налаштовані або відсустні сучасні системи і процеси захисту від кібератак тощо.
Ми вважаємо, що було 5 цілей цієї атаки:
- Перервати операційну спроможність багатьох українських інституцій;
- Відпрацювати новий інструмент, продемонструвати світу, як вони вміють робити атаки;
- Тестування швидкості реакції українських компаній та організацій, які займаються кібер-захистом;
- Тестування можливості координації дій різних груп, які здійснювали цю атаку;
- Використання атаки разом з іншими елементами гібридної війни.
Я можу сказати, що точно вдалося вивести з ладу діяльність великої кількості компаній практично у всіх ключових секторах на певний час.
Це була не атака-вимагання, а зовсім інша атака. У противників, напевно, була ще мета тестування здатності видати одну атаку за іншу. Це ми запропонували назву NotPetya. Якщо починається атака-вимагання, то дії при ній одні, якщо атака іде на виведення з ладу інфраструктури, то дії інші. Вони взяли частину коду відомого вимагача Petya і вставили її в цю комплексну зброю при кульмінації атаки 27 червня. Побачивши частину коду, антивірусні програми показала, що в Україні розпочалася атака-вимагання. Таким чином противники дезорієнтували велику кількість експертів з кібербезпеки.
Повну версію розмови слухайте у доданому звуковому файлі.
