Снимка: © European Union

Европейският съюз за първи път наложи санкции заради кибератаки. Обект на санкциите са физически лица и компании от Северна Корея, Китай и Русия, включително руското военно разузнаване. Те са уличени в организирането и извършването на най-мащабните като обхват, продължителност и последици кибер атаки в последните години.  

“NotPetya” е най-скъпата кибер атака, щетите се оценяват на 10 милиарда долара.
 
Свързаната с руското военно разузнаване хакерска група “Sandworm” („Пясъчен червей“), известен още като ”Sandworm Team”, “BlackEnergy Group”, “Voodoo Bear”, “Quedagh”, “Olympic Destroyer” и “Telebots” е отговорна за множество кибер атаки срещу украински институции и компании, а през зимите на 2015 и 2016 г. предизвика изключване на части от украинската енергийна система. 

Но най-големият удар на “Sandworm” е атаката, известна като .“NotPetya” или “EternalPetya” през юни 2017 г. В книгата си „Sandworm“ журналистът от WIRED Анди Грийнбърг разказва невероятната история на “NotPetya”, определена като „кибер инвазия“, заради мащаба на проникването си и нанесените поражения.

Името “NotPetya” (НеПетя) е избрано, за да се подчертае разликата с кибер атаката „Петя“ от 2016 г., когато жертвите са били принудени да платят, за да получат отново достъп до файловете си. Само  че този път не става дума за пари.

Руските военни хакери изпозват сървърите на украинска компания като „задна врата“, през която проникват в хиляди компютри в страната и по целия свят. Създали са невиждано дотогава кибер оръжие – малуер, който прониква с невероятна скорост и не съществува начин да бъде спрян, нито да се възстановят щетите. Пълно и необратмо разрушение. 

Целта отново е Украйна, но жертвата е целият свят. Това беше все едно да използваш ядрена бомба, за да постигнеш малка тактическа победа, смята бившият съветник по вътрешната сигурност в Белия дом Том Босърт.

„NotPetya“ буквално „изяжда живи“ компютрите в Украйна, пише Гриййнбърг. Ударени са най-малко четири болници в Киев, шест енергийни компании, две летища, повече от 22 банки, банкомати и системи за картово разплащане, както и всички институции.

„Правителството беше мъртво“, спомня си бившият украински министър на инфрактруктурата Владимир Омелян. 10 процента от компютрите в страната са „заличени“, включително тези, използвани от учените, разчистващи площадката на „Чернобил“. 

Само за няколко часа „червеят“ вече е проникнал далеч извън Украйна, в безброй компютри по целия свята – болници, училища, компании, включително едни от най-големите мултинационални корпорации.

Според оценката на Белия дом щетите надхвърлят 10 милиарда долара. За сравнение, другата прословута атака, известна като „WannaCry“ и случила се само месец преди „NotPetya“, е причинила два пъти по-малко загуби. 

Фармацевтичната компания „Мерк“ понася загуби в размер на 870 милиона долара, куриерската компания „Ти Ен Ти Експрес“ – 400 милиона долара, френската строителна компания „Сен-Гобен“ – 384 милиона долара, датският превозвач „Мерск“ – 300 милиона долара.

Историята на транспортния гигант „Мерск“ е достойна за филм. Компанията отговаря за 76 пристанища и управлява над 800 плавателни съда, които превозват една пета от товарите в света. Червеят прониква в мрежата на „Мерск“ през техния офис на пристанище Одеса и за няколко часа всички компютри на компанията са поразени.

Над 150 сървъра в различни офиси по света, всеки един от които би могъл да служи като бекъп за възстановяване на системата, са мъртви. Дни наред стотици служители се борят да открият поне един оцелял компютър. И накрая успявят. 

Малко преди атаката, сървър в офис на компанията в Гана се изключва от мрежата заради токов удар. Така, докато червеят изяжда всички останали сървъри от системата на „Мерск“, щастливецът от Гана оцелява, заедно с всички данни, необходими да се възстанови базата данни на компанията. 

Но се оказва, че интернет връзката с Гана е толкова слаба, че данните ще се точат дни наред и ще е по-бързо хард дискът просто да се донесе в офиса на компанията във Великобритания. Никой от служителите в Гана обаче няма британска виза. Затова хард дискът пътува до съседна Нигерия, откъдето пристига в Обединеното кралство. 

„WannaCry“ – кражбите като източник на средства за Северна Корея
 
За разлика от „NotPetya“, атаката „WannaCry“ от май 2017 г. има ясна финансова цел. Само за няколко часа са заразени стотици компютри в над 150 държави по света. Данните на компютрите са криптирани и за да си върнат достъпа до тях, потребителите трябва да платят откуп в криптовалута.

Подобно на „NotPetya“, хакерите се възползват от слабост в операционната система Microsoft Windows, като използват хак, създаден от американската Агенция за национална сигурност.

Атаката е извършена от група, наречена APT38 (“Advanced Persistent Threat 38”), известна още като „Групата Лазарус“. Групата е получавала финансова, материална и техническа подкрепа от севернокорейско дружество, което също е сред обектите на европейските санкции. Освен за „WannaCry“, то е отговорно и за други атаки и банкови кражби.

Миналата година световните медии съобщиха, че по данни от секретен доклад на ООН Северна Корея е използвала поне 2 милиарда долара от кибер-кражби, за да финансира военните си програми. В допълнение към кражбите от банки и борси за криптовалути, Северна Корея разработва и собствени ферми за копаене на криптовалути. 

„Cloud Hopper“ – китайските духове в облака 

„Cloud Hopper“ е китайска операция за корпоративен шпионаж, която се смята за най-дълго продължилата известна кампания за кражба на интелектуална собственост, чувствителна информация, търговски тайни и всякакви други данни от стотици компании по света. Двамата китайски граждани и китайската компания в списъка на санкционираните от ЕС са свързани с група, известна като APT10 (“Advanced Persistent Threat 10”), която стои зад „Cloud Hopper“.

Групата е известна на специалистите от десетилетие, а според разследването, проведено от американските власти, част от хакерите са наети от китайското министерство за държавна сигурност.

Китайските хакери проникват в т.нар. облаци, които компаниите използват, за да съхраняват данните си, откъдето идва и името на операцията. Първите данни за проникването са от 2013 г., с множество пробиви след това, макар че все още не са известни всички пострадали компании. Разследване на „Уол Стрийт Джърнъл“ установява, че сред „жертвите“ са „Американ Еърлайнс“, „Дойче банк“, „Алианс“, „ГлаксоСмитКлайн“, „Филипс“, „Рио Тинто“ и др.

Все още няма отговор на въпроса дали хакерите продължават да имат достъп до мрежите на компаниите, пише вестникът в разследването, публикувано в края на 2019 г.

Китайските хакери са като „духове в облака“ – напълно незабележими и неразличими от останалия трафик, разказват експертите.

Американските власти са особено разтревожени, когато става ясно, че сред целите на хакерите е „Ай Би Ем“, защото компанията предоставя облачни услуги както на редица от най-големите бизнеси, така и на публичната администрация, министерството на вътрешните работи и армията на САЩ. Много малко се знае за това какво точно се е случило с „Ай Би Ем“, защото хакерите стават все по-добри в прикриването на следите си.

В крайна сметка, разследването уличава двама китайски хакери (единият фигурира и в европейския списък), които обаче се намират в Китай и няма как да бъдат съдени. Според американските власти и компании в сферата на сигурността активността на APT10 в последната година е намаляла, макар че е напълно възможно китайските хакери все още да дебнат в мрежите на компаниите.

За сметка на това, „Гугъл“ съобщава за опити на руски хакери с държавна подкрепа да повторят успеха на китайските си колеги. 

ПРОЧЕТЕТЕ ОЩЕ

Европа наложи санкции на ГРУ и на 4-ма висши офицери заради хакерски атаки

Хакерски пробив във фирми за отбрана чрез LinkedIn

Напрежение във Великобритания: Имало ли е руска намеса в референдума за "Брекзит"?

 

Прочети