День, коли загадкова кібератака паралізувала Україну

Очевидно, метою кіберзлочину були не гроші, але що? І чи може він бути передвісником чогось набагато серйознішого?

Вранці у вівторок, 27 червня, голова ради директорів української компанії з інформаційної безпеки ISSP Олег Дерев'янко був на Бессарабському ринку. Він збирався поїхати за місто до своїх батьків, оскільки наступного дня в Україні був вихідний - День Конституції.

Його діти також були за містом - вони щороку проводять два місяці літніх канікул у бабусі з дідусем, - і отже, родині випала рідкісна нагода провести день разом.

Так само, як й Дерев'янко, мільйони українців відпочиватимуть завтра, а компанії та державні установи будуть зачинені.

Той день розпочався з новини про вбивство полковника української військової розвідки Максима Шаповала, в авто якого було закладено вибухівку.

Але подібні випадки в цій частині світу - вже не рідкість. І отже, ранок вівторка навряд чи можна було назвати незвичайним.

Приблизно об 11:00 телефон пана Дерев'янка задзвонив.

Це був представник великої телекомунікаційної компанії, яка обслуговує державний Ощадбанк - одну з найбільших фінансових установ України та один з трьох системно важливих банків.

Ощадбанк нараховує 3650 філій та 2850 банкоматів по всій країні. Хоча вони не були клієнтом ISSP, їм була потрібна термінова допомога: банк зазнав хакерської атаки.

«Я передав завдання своїй команді, - розповідає пан Дерев'янко в інтерв'ю, яке він дав в офісі ISSP одним з найспекотніших (в усіх сенсах) днів літа. - І продовжив подорож до батьків. Хакерські атаки відбуваються постійно, і я не бачив причин змінювати свої плани».

Ані Дерев'янко, ані будь-хто інший в країні й уявити не могли, що станеться незабаром.

Масштабна кібератака вразить українські банки, енергосистеми, поштові служби, державні міністерства, медіа-організації, головний аеропорт Києва, національних провайдерів мобільного зв'язку і навіть Чорнобильську АЕС.

«Десь о першій-другій годині дня стало зрозуміло, що ми зазнали масштабного нападу і атаки продовжуються», - заявив міністр інфраструктури України Володимир Омелян.

Ця кібератака вдарила й по інших країнах світу, а її наслідки відчуваються й досі.

Найцікавіше, що навіть тиждень по тому не до кінця зрозуміло, якою була мета нападу і хто за ним стояв.

Отже, редакція BBC Future спробувала простежити, як розвивалися події того дня в Україні і що відомо про мету кібератаки?

Атака хакерів поширюється

Приблизно тоді, коли Олег Дерев'янко передавав дзвінок від Ощадбанку своїм співробітникам, ознаки нападу почали з'являтися й в інших місцях.

Об 10:30 попередження надійшло до ситуаційного центру Ради національної безпеки і оборони. А вже за 30 хв. експерт з кібербезпеки прийшов до голови РНБО Олександра Турчинова.

Він дав команду застосувати послідовність дій у разі атаки, затверджену Національним координаційним центром кібербезпеки.

«Обладнання в моєму кабінеті дозволяє зв'язатися з усіма керівниками служб безпеки країни», - розповів Олександр Турчинов BBC Future.

На відеоконференції, яка відбулася одразу, були присутні керівники Державної служби спеціального зв'язку та захисту інформації, Кіберполіції, Служби безпеки України та штабів РНБО.

Тим часом начальник Центру кіберзахисту Роман Боярчук доручив спеціальній команді Комп'ютерної аварійної реабілітації України (Cert-UA) з'ясувати все, що відомо про напад.

За кілька годин стало зрозуміло, що атаки зазнала вся країна.

На узбіччі

Поки Олег Дерев'янко їхав до своїх батьків, його телефон не припиняв дзвонити. А коли його співробітники почали доповідати про подробиці нападу, пан Дерев'янко зрозумів, що його вихідний скінчився.

З'їхавши на узбіччя біля найближчої стоянки, він дістав свій ноутбук і почав працювати.

Зразки, зібрані в комп'ютерній системі Ощадбанку, які йому відправили співробітники, збентежили пана Дерев'янка. «Ми одразу помітили деякі ознаки того, що це не атака з метою вимагання», - пояснив він.

У такому випадку злочинці заражають вірусом систему, а потім вимагають викуп за її розблокування. Так було з вірусом WannaCry раніше цього року, який завдав удару по комп'ютерах у всьому світі, зокрема й Національній службі охорони здоров'я Великої Британії.

«Спочатку я подумав, що це постійна загроза підвищеної складності (один із видів кібератак. - Ред.), але незабаром зрозумів, що для цього випадку нам потрібен новий термін», - розповідає Олег Дерев'янко.

Він поїхав з придорожньої стоянки вже ввечері, дістався будинку батьків, поцілував їх і дітей та вирушив до найближчого готелю, де був інтернет. Звідти він працював всю ніч.

Наступного дня компанія ISSP запропонувала термін «масовий координований кібернапад». Він був потрібний, щоб відрізнити хаос, який стався в інформаційних системах країни у вівторок, від попередніх атак проти України в 2015 і 2016 роках.

На думку пана Дерев'янка, її головна відмінність полягає в тому, що її метою було обдурити і спантеличити, а також те, що послідовність дій під час нападу була здебільшого автоматизованою.

Дослідниця Леслі Кархарт, яка вже понад десятиріччя спеціалізується в цифровій криміналістиці та реагуванні на кібератаки, додає, що найскладнішою в цій атаці була стратегія.

«Технічні засоби поширення вірусу, які застосували хакери, добре відомі, так само як методи боротьби з ними, - пояснила Леслі Кархарт в інтерв'ю BBC Future. - А от що насправді було геніальним, це - визначення цілей нападу».

Вірус був здатний перехоплювати паролі, заволодівати правами адміністраторів, видаляти дані журналу, шифрувати, а найголовніше - знаходити необхідні йому програми на комп'ютерах і завдавати удару вибірково.

Іншими словами, він діяв набагато більш витончено, ніж типові шкідливі програми.

Саме це турбує пана Дерев'янка найбільше.

«Дивне те, що в організаціях та мережах, які постраждали від вірусу найбільше, були комп'ютери, яких він не торкнувся, - пояснює фахівець. - Це дуже складно пояснити. Як вірусу вдалося їх обійти, а головне - чому?»

Вірус-вимагач або напад на країну?

Поки українські компанії відновлювали роботу своїх комп'ютерних мереж, фахівці з кібербезпеки в Європі та Америці почали поступово усвідомлювати, що це була не звичайна атака і що її наслідки можуть вийти далеко за межі українських кордонів.

Тим часом у Торонто фахівець з питань стратегії глобальної безпеки компанії Gigamon Кевін Мегі отримав перше застереження. Під час наради у фінансовому центрі міста один з його колег подивився в свій телефон і роздратовано вигукнув: «Ну от, знову вірус Petya».

Шкідлива програма-вимагач під назвою Petya відома з 2016 року. Однак, цього разу йшлося про її модифіковану версію.

Спочатку ніхто не звернув на це увагу, але вже за 30 хв. телефони почали «розриватися» в усіх учасників наради. Один за одним вони виходили із зали і вже не поверталися.

«Я зазирнув у свій телефон, у папці «Вхідні» була купа листів із запитаннями та оновленнями, Twitter також блимав сповіщеннями. Стало очевидно, що ми маємо справу з чимось серйозним».

Кібератака, спрямована на Україну, перекинулася на інший бік Атлантики. В офісі міжнародної юридичної компанії DLA Piper у Вашингтоні з'явилось оголошення «НЕ вмикайте комп'ютери!».

Фахівець з питань державної кібербезпеки з американського аналітичного центру «Атлантична рада» Бо Вудс розповів BBC Future, що спочатку припускав кілька сценаріїв розвитку подій.

Це могла бути та сама група хакерів, яка поширювали попередні версії вірусу Petya, або хтось інший, хто замаскував шкідливу програму під цей вірус.

Можливо, головною мішенню була Україна, а за її межами просто відчули відгомін атаки. А може, Україна стала лише першою серед багатьох країн, які постраждають від нападу.

Наступного день картина стала більш зрозумілою.

«Шкідлива програма не була схожа на звичайні віруси-вимагачі, або принаймні це була якась дуже невдала версія такого вірусу. До того ж вона атакувала переважно державні інститути і компанії. Все це вказує на те, що її метою були не гроші», - пояснив Джонатан Ніколс, колишній американський військовий IT-експерт.

Пізніше того ж дня, співробітники Лабораторії Касперського та відомий фахівець із кібербезпеки Метт Суйше підтвердили на своїх сторінках у соцмережах, що вірус був лише замаскованим під програму-вимагача. Те, про що пан Дерев'янко розповів BBC Future ще напередодні.

«Наш аналіз показує, що головна мета атаки - не фінансовий зиск, а масове пошкодження систем, - заявив прес-секретар Лабораторії Касперського. Іншими словами, хакери намагалися створити хаос у цифровій інфраструктурі України, щоб ускладнити роботу підприємств та паралізувати державні інститути.

Метт Суйше пізніше зв'язався з BBC Future і додав, що атака була спрямована «цілком» проти України.

Коли подробиці кібернападу почали прояснятися, Бо Вудс надіслав у редакцію BBC Future повідомлення: «Якщо мотивом були не гроші, тоді що?».

Згубні наслідки

28 червня почали надходити дані про наслідки атаки.

Гігантська міжнародна судноплавна компанія Maersk підтвердила на своїй сторінці в Twitter, що вона також зазнала нападу і що багато послуг компаній «не функціонують так, як треба».

Maersk, як і кілька інших транснаціональних корпорацій, які постраждали від кібернападу, відмовилися дати інтерв'ю.

Ощадбанк, який повідомив про напад одним із першим, на кілька днів зачинив понад три тисячі своїх відділень, хоча онлайн-банкінг функціонував без збоїв.

Директор департаменту інформаційних технологій банку ПУМБ Андрій Бегунов заявив, що за 23 роки роботи в банківській та ІТ-галузі України це була найгірша ситуація, яку він коли-небудь бачив. Хоча ПУМБ не постраждав від нападу, хаос у мережах конкуруючих банків вразив пана Бегунова.

Навіть у США вірус завдав шкоди одній з мереж охорони здоров'я, в якій працюють 3500 співробітників і до якої належать дві лікарні, 60 лікарських кабінетів та 18 комунальних об'єктів. Багато пацієнтів не отримали необхідні процедури вчасно.

Міністр охорони здоров'я України Уляна Супрун заявила BBC Future, що вони працюють, як 30 років тому, ручкою на папері.

Серед важливих завдань міністерства - централізований розподіл медикаментів по всіх 24 регіонах України, коли в лікарнях виникає потреба в тих чи інших ліках.

«Тепер ми можемо робити це тільки вручну і спілкуватися лише телефоном, що дуже уповільнює і ускладнює роботу», - розповідала пані Супрун.

«Люди не можуть отримати медичну документацію, оскільки наша комп'ютерна система не працює. Я не можу зібрати статистику для конференції з проблем СНІДу, на якій я маю бути цього тижня. Я навіть не можу сказати вам, які лікарні також постраждали від нападу, оскільки вони просто не можуть зв'язатися з нами», - пояснювала ситуацію міністр.

Принаймні в одній лікарні комп'ютери не працювали. Це був заклад, до якого Олег Дерев'янко приїхав на процедуру.

Мотиви незрозумілі

Протягом тижня після нападу редакція BBC Future провела понад 25 інтерв'ю з експертами з кібербезпеки. Всі вони погоджувалися в двох речах: метою нападу були не гроші, і він був спрямований саме проти України.

Але ці два висновки порушують цілу купу інших питань.

По-перше, чи свідчить умисне руйнівний характер атаки про використання кіберзброї?

Для фахівця з Торонто Кевіна Мегі це очевидно. «Я впевнений, що це було щось на кшталт випробування. Хтось будує арсенал кіберзброї і, щоб відволікти людей, завуалював напад під атаку звичайного вірусу-вимагача».

Інші не погоджуються з цієї гіпотезою. «Якщо ціла держава планує напад на ворога, навіщо надсилати попереджувальні постріли і створювати розглос», - запитує Брайан Гонан, незалежний консультант з питань інформаційної безпеки з Ірландії.

Досвідчений експерт із кібербезпеки Ніколас Вівер, який спеціалізується на «хробаках» (шкідливому програмному забезпеченні, яке поширюється на інші комп'ютери, самостійно дублюючи себе), також вважає, що руйнівність цього вірусу дозволяє віднести його до зброї.

«Якщо хтось хотів завдати удару по бізнесу в Україні, - каже експерт, - кращого хробака й не вигадати».

Отже, чи була мета нападу політичною, і в такому разі чи був він спланований, організований і профінансований на державному рівні?

2 липня Cлужба безпеки України повідомила, що має докази участі Росії в кібератаці. Москва заперечила будь-яку причетність, назвавши твердження «необґрунтованими».

Війна нового рівня

Якщо за нападом стоїть ціла держава, і якщо дійсно йдеться про використання кіберзброї, тоді, можливо, ми вступаємо в нову добу геополітики.

Як тоді цей напад класифікувати в загальноприйнятих воєнних та шпигунських термінах? І чи можна це вважати актом агресії?

А якщо через нього постраждали заклади охорони здоров'я та громадянські інститути, чи можна назвати його воєнним злочином?

«Це важливі питання, - зазначає Бо Вудс. - Солдати не стріляють у працівників Червоного Хреста на полі бою, тому що це - прямий шлях до Гааги. Я не юрист, але мені здається, що цей випадок був серйозним правопорушенням».

«Десятиліттями, навіть століттями надання медичної допомоги вважалося невід'ємним і недоторканним правом людини. Лікарня - це святе. І отже, ми не можемо не відреагувати на те, що сталося», - додав він.

Експерти, з якими ми поспілкувались, також зазначили, що для здійснення такої кібератаки потрібно 10-20 осіб.

«Щоби повністю провернути таку операцію, - пояснює Роберт Лі, фахівець з кібербезпеки компанії Dragos, - потрібне керівництво, допоміжний підрозділ, спеціалісти з охорони здоров'я та фінансисти. Команда десь з 10 осіб. Але щоб написати шкідливу програму вистачить і п'яти програмістів».

Для Олега Дерев'янка ця атака стала черговим підтвердженням того, про що він попереджав представників влади ще три роки тому.

«Ще 2014 року я казав багатьом вищим чиновникам, що ми маємо готувати фахівців, здатних реагувати на кібератаки такого рівня, - каже пан Дерев'янко. - Я попереджав, що якщо ми не розпочнемо прямо зараз, за три роки масштабні кібератаки державного рівня стануть регулярними».

Якщо Олег Дерев'янко не помиляється, такі дні, як 27 червня, в Україні можуть повторюватися. А наслідки від непередбачуваних кібернападів відчуватимуться по всьому світу.