За вирусом Petya стоит Украина

27 июня Европу накрыла вторая волна вируса-вымогателя, очень похожего на вирус WannaCry, который недавно по такой же схеме атаковал множество объектов на территории Украины, России и Европы. На этот раз специалистам понадобилось меньше суток, чтобы определить производителя этого вируса, а также источник заражения. По мнению исследователей кибербезопасности, опубликованному изданием Fortune, основным источником заражения и распространения вируса является продукция малоизвестной украинской фирмы MeDoc, чей сайт также в данный момент недоступен. Харьковская фирма служит основным источником глобальной атаки вымогательства, которая распространяется через корпоративные сети.

MeDoc – финансово-технологическая компания, которая создает бухгалтерское программное обеспечение с целью обработки и уплаты налогов. Исследователи безопасности заявили, что вирус был прописан в последние обновления программного обеспечения, которое было разослано клиентам фирмы 22 июня.

К концу дня новый вирус парализовал деятельность таких гигантов, как судоходную компанию Moller-Maersk, Британское рекламное агентство WPP, российский нефтяной гигант «Роснефть», американский фармацевтический гигант Merck. После заражения компьютеров потребителей программного обеспечения MeDok, вредоносное ПО распространялось скрытно в сетях через уязвимость в Windows, которую Microsoft закрыла, выпустив обновления в марте месяце. Компании, которые не сделали патч-герметизацию существующих дыр в программном обеспечении, которое, в свою очередь, использовало для своих целей Агентство Национальной Безопасности США (National Security Agency, NSA), были уязвимы для атак новым вирусом.

Помимо вымогательства вредоносное ПО собирает пользовательские имена и пароли с зараженных компьютеров. Если один из этих компьютеров имеет административные привилегии в сети, то эта информация для входа может быть использована для передачи его другим компьютерам в сети, управляемым под теми же учетными данными.

Время и начальные цели атаки MeDoc наверняка спровоцируют спекуляции, что виноваты в ней противники Украины. Требования выкупа не были активированы в течение пяти дней после заражения, а сам вирус был активирован за день до украинского праздника – ратификации страной новой Конституции в 1996 году.

Глава подразделения разведки Cisco Talos Крейг Уильямс сказал:

«Вчера вечером в Украине, накануне Дня Конституции, кто-то нажал кнопку детонатора. Поэтому атака вируса выглядит больше политическим актом, нежели экономическим. Совершенно ясно, что тот, кто стоит за атакой, больше выиграет от значительного негатива именно на День Конституции».

Вся атака выглядит так, что главными выгодоприобретателями являются пророссийские и русские хакеры, которые уже получили обвинения от официальных лиц Украины. Однако, по словам Крейга Уильямса, более подробная информация выяснятся в ближайшие дни, когда исследователи безопасности проанализируют подробно коды вируса и атаки преступников. Уилямс добавил, что у его команды нет других кандидатов на инициаторов вируса, кроме MeDoc. Исследователи из российской антивирусной фирмы «Лаборатория Касперского» также отметили ссылку на MeDoc в своем отчете об инциденте, как и несколько других исследователей.

Видимо украинские инициаторы не ожидали такого широкого распространения вируса Petya и того громадного ущерба, который он может принести европейским гигантам, что в дальнейшем чревато громадными исками к компании MeDoc. Промышленные гиганты не склонны играть в политические игры, и счета инициаторам атаки будут предъявлены очень жестко.

Сейчас, по всей видимости, идет зачистка связей между компанией MeDoc и украинским СБУ. Украина, которая в последнее время судорожно пытается сфальсифицировать максимум фактов, подтверждающих «российскую агрессию», попала по своей вине в очень неприятное положение. Поэтому, скорее всего, информационная волна, вызванная атакой вируса Petya, будет вскоре погашена, а ее последствия постараются спустить на тормозах. Однако это не отменяет возможной скорой большой провокации на Украине, в которой обвинят Россию, что послужит поводом для отмены переговоров в нормандском формате, Минских соглашений и возобновления масштабных боевых действий на Донбассе.

Александр Никишин