#CyberFiles NotPetya, marul discordiei intre Occident si Kremlin

Luni, 18 Noiembrie 2019, ora 10:37
2186 citiri
#CyberFiles NotPetya, marul discordiei intre Occident si Kremlin
Foto: Pixabay

Recordmenul pagubelor produse in urma unui atac cibernetic masiv este "viermele" ExPetr sau NotPetya (o varianta a virusului Petya), cel care s-a propagat, in 2017, cu repeziciune sub forma de ransomware prin adresele de e-mail ale companiilor din intreaga lume.

Tinta predilecta a celor care au creat acest virus au fost companiile din Ucraina, dar nu au scapat de surprize neplacute nici Belgia, Olanda, Germania si chiar Australia sau Statele Unite ale Americii.

Tipologia unui ransomware deghizat in "stergator"

NotPetya a intrat in actiune in vara anului 2017, sub forma unui ransomware si a vizat in special companiile din Ucraina. Analizele celor de la Kaspersky pe acest subiect au aratat ca, de fapt, era vorba despre un "wiper" (stergator, n.r.) deghizat intr-un ransomware, iar scopul principal era acela sa faca sistemul de operare infectat inaccesibil.

Alti experti in securitate cibernetica sustin ca malware-ul a fost doar un test initial pentru a incerca blocarea infrastructurii IT a intregii tari si ca, in viitor, vor mai fi lansate si alte atacuri.

De asemenea, unii cercetatori au sugerat ideea ca ar fi vorba despre o variatiune a ransomware-ului Petya, dar concluzia echipei Kaspersky a fost ca este o alta familie malware. In varianta de test sau in versiune plina, ExPetr sau NotPetya este considerat cel mai costisitor atac informatic cunoscut pana in prezent, cu pagube in randul companiilor globale de 10 miliarde de dolari.

Modul de actiune al virusului se derula printr-un 'Supply Chain Attack", in timp ce unul dintre vectorii initiali de propagare a fost prin intermediului softului financiar MeDoc. In acest fel, atacatorii au reusit sa controleze serverul de actualizari MeDoc, iar clientii primeau malware-ul sub forma unei actualizari.

In cadrul acestui atac, exploit-urile folosite au fost EternalBlue si EternalRomance.

ExPetr s-a propagat ca un malware de tip "vierme', criptand in mod ireversibil tot ce intalnea in cale. Analizand modul in care s-a facut criptarea, cercetatorii Kaspersky au constatat ca nici macar atacatorii nu mai puteau decripta discurile victimelor, pentru ca nu aveau ID-ul de instalare, necesar pentru a extrage informatiile pentru decriptare, ceea ce inseamna ca victimele nu isi mai puteau recupera datele.

Aceeasi echipa de experti a constatat ca furnizorul german de servicii de e-mail, Posteo, a decis inchiderea adresei de posta electronica la care victimele ar fi trebuit sa-i contacteze pe infractori pentru a trimite monede bitcoin si de la care urmau sa primeasca "cheile" de decriptare, prin urmare plata rascumpararii era perfect inutila si din acest punct de vedere.

Pe urmele lasate de ExPetr/NotPetya

La jumatatea anului 2017, Kaspersky anunta ca investigheaza indiciile unei posibile legaturi dintre ExPetr si BlackEnergy, aceasta ultima grupare fiind studiata timp de mai multi ani, dupa atacurile pe care le-a produs, in 2015 si 2016, in domeniul industrial. Cercetatorii companiei au colaborat cu cei de la Palo Alto Networks pentru a identifica similaritati care le-au permis sa caute orice posibila legatura intre BlackEnergy si ExPetr, iar rezultatele au indicat anumite asemanari in designul codului, intre cele doua familii malware - desi acest lucru nu poate fi considerata dovada unei conexiuni certe.

Cateva luni mai tarziu, tot rusii de la Kaspersky confirma, insa, o legatura noua intre ExPetr si noul atac ransomware Bad Rabbit, in sensul ca ambele atacuri au folosit domenii similare si au incercat sa obtina date de autentificare din memoria sistemului si sa se raspandeasca in reteaua corporate prin WMIC (Windows Management Instrumentation Command - line).

Specialistii in securitate cibernetica ai Eset au analizat, la randul lor, activitatea NotPetya si au ajuns la concluzia ca malware-ul utilizat in cadrul acestui atac a avut capacitatea de a inlocui Master Boot Record (MBR) cu propriul sau cod malitios.

"Acest cod a fost imprumutat de la ransomware-ul Win32/Diskcoder.Petya. De aceea, unii cercetatori malware au numit aceasta amenintare ca ExPetr, PetrWrap, Petya sau NotPetya. Cu toate acestea, spre deosebire de originalul ransomware Petya, autorii Diskcoder.C au modificat codul MBR astfel incat recuperarea sa nu poata fi posibila. Mai exact, atacatorul nu poate furniza o cheie de decriptare, iar cheia de decriptare nu poate fi tastata in ecranul de rascumparare, deoarece cheia generata contine caractere inacceptabile", noteaza cei de la Eset.

Acestia mai sustin ca, prin accesul la server, atacatorii au lansat o actualizare malitioasa care a fost aplicata automat fara interactiunea cu utilizatorul.

Ancheta expertilor de la Eset a aratat ca au fost afectate si companii din alte state, in afara de Ucraina, pentru ca acestea au avut conexiuni VPN la sucursalele lor sau la partenerii de afaceri din acea tara.

Acuzatiile Occidentului la adresa Rusiei

Repercusiunile la nivel international ale atacurilor ExPetr/NotPetya, atribuite Rusiei de catre oficiali din Marea Britanie, nu s-au lasat prea mult asteptate. Dupa ce Londra a acuzat, in 15 februarie 2018, Moscova ca se afla la originea atacului cibernetic NotPetya din iunie 2017, pornit din Ucraina si din Rusia inainte de a se raspandi in restul lumii, afectand cateva mii de computere, Casa Alba a amenintat Rusia cu "consecinte internationale" pentru acest atac cibernetic global.

Ulterior, tari ca Australia, Estonia, Danemarca si Lituania au emis declaratii prin care au atribuit Rusiei atacul NotPetya.

Cu o luna inainte de acuzatiile aparute din partea celor doua state, publicatia The Washington Post scria - citand surse apropiate de serviciile secrete americane - ca CIA are informatii conform carora virusul NotPetya ar putea, "cu o mare probabilitate", sa fi fost creat in laboratoarele Directiei Generale de pe langa Statul Major al armatei ruse (Serviciul de informatii al armatei ruse GRU).

Raspunsul Moscovei la sirul de acuzatii nu a intarziat sa apara... Astfel, Kremlin-ul a dezmintit 'categoric' faptul ca Moscova s-ar afla la originea atacului cibernetic NotPetya. Informatiile vehiculate sunt considerate de catre autoritatile ruse "lipsite de probe si nefondate", nefiind vorba decat despre "continuarea unei campanii rusofobe" dusa in unele tari occidentale.

Atacul informatic de tip 'ransomware' ExPetr/NotPetya a contaminat mii de calculatoare din lumea intreaga si a perturbat entitati multinationale si infrastructuri critice, cum ar fi sistemul de control al sitului unde a avut loc accidentul nuclear de la Cernobal, precum si porturile din Mumbai si Amsterdam. Printre companiile afectate figureaza gigantul petrolier rusesc Rosneft, transportatorul maritim danez Maersk, gigantul farmaceutic american Merck, specialistul francez in materiale de constructie Saint-Gobain si agentia de publicitate britanica WPP.

In Ucraina, care a suferit cel mai mult in urma virusului informatic, au fost afectate operatiunile bancare, in timp ce autoritatile au invocat un atac cibernetic fara precedent.

In total, atacul a afectat companii si institutii din 64 de tari, printre care: Belgia, India, Olanda, Australia, Brazilia, Germania, Ucraina si SUA.

Analizand modul de operare al atacatorilor din spatele NotPetya, concluzia care se desprinde este ca acestia au reusit sa atinga un nivel de competenta aproape de perfectiune. Infiltrarea in computerele unor companii din domeniul industrial si, mai ales, capacitatea de a nu-i lasa pe ce afectati sa activeze cheile de decriptare pentru a-si recupera informatiile sensibile au demonstrat pregatirea hackerilor.

Daca ne amintim si de scandalul creat la nivel international, cu acuzatii la tinta directa catre Moscova, avem in prim-plan un tablou in care autorul s-a semnat cu scopul de a fi cunoscut de toata lumea.

#atac cibernetic NotPetya , #Internet hacking