Ukraińskie służby oskarżają Rosję o cyberatak pod przykrywką ransomware

Microsoft uznał nową Petyę, ransomware które w zeszłymtygodniu skutecznie zaatakowało dziesiątki tysięcy komputerów, zaatak znacznie mniejgroźny w skutkach, niż wcześniejsze WannaCry. Zupełnie innegozdania jest Służba Bezpieczeństwa Ukrainy (SBU) – państwa, naktóre przypadło 70% wszystkich infekcji. Oficerowie SBU uznali nowąPetyę za przykrywkę do bezprecedensowego ataku na Ukrainę, atakuza którym stoją oczywiście służby specjalne FederacjiRosyjskiej.

Mimo że do tej pory na Kijów nie spadła ani jedna bomba czypocisk artyleryjski, nie ma tygodnia, by w mediach ukraińskich niemówiono o wojnie z Rosją. W takiej dziwnej wojnie „hybrydowej”bronią może być wszystko. W tym wypadku bronią była Petya.A,którą zdaniem SBU stworzono, aby zaszkodzić ukraińskiminstytucjom państwowym, sektorowi finansowemu, energetycznemu itransportowemu.

Forma ataku – szyfrowanie danych i żądanie okupu – miałabyć jedynie sposobem na odwrócenie uwagi od prawdziwej,niekomercyjnej jego natury. Petya.A w rzeczywistości pozbawiona byłabowiem funkcji ransomware, zaszyfrowanych danych nie można było jużodszyfrować. W dodatku stosowała nie tylko znane już metodyexploitowania Windowsa, ale wykorzystała innowacyjną, sprofilowanąmedotę ataku przez aktualizator oprogramowania księgowegoukraińskiej firmy MeDoc.

Co więcej, czas ataku został precyzyjnie wybrany – przez pięćdni po infekcji szkodnik pozostawał w uśpieniu, by przebudzić siędopiero w przeddzień święta narodowego Ukrainy – DniaKonstytucji. Ciche zainfekowanie dziesiątek tysięcy komputerówpozwoliło na zbudowanie masy krytycznej: atak pomógł w realizacjigłównego celu napastników, tj. destabilizacji życia społecznegoi politycznego Ukrainy, a jego skorelowanie ze świętem narodowymutrudniło przeciwdziałanie zagrożeniu.

Zdaniem ekspertów SBU, za tą nową Petyą stoją te same siły,które ostatniej zimy przeprowadziły cyberatak na ukraińską siećenergetyczną, banki i transport publiczny. Te same, czyli kto? ESETnazwał ich TeleBots – mają oni wykorzystywać unikatowenarzędzia, wcześniej widziane tylko w rękach innej grupyhakerskiej, BlackEnergy. A właśnie BlackEnergy było uważane zagrupę jeśli nie bezpośrednio pozostającą pod kontrolą Kremla,to na pewno polityce Kremla sprzyjającą. Teraz SBU stawia sprawęjasno: TeleBots to po prostu służby specjalne Rosyjskiej Federacji.

To powiązanie nie pochodzi jedynie od Służby BezpieczeństwaUkrainy, która już wielokrotnie oskarżała wschodniego sąsiada oto co najgorsze. Wspomniany ESET przeprowadził analizęataku nowej Petyi w kontekście wcześniejszych akcji grupy TeleBots.Wszelkie znaki w kodzie i zachowaniu pokazują, że to ci samiludzie, wykorzystujący te same serwery dowodzenia i kontroli czywcześniej stworzone furtki.

Szczególnie niepokojące jest to, że Petya.A ma nie być jedynymszkodnikiem, który został wprowadzony do kluczowych celów poprzezmechanizmy aktualizacji oprogramowania. TeleBots ma przechodzić odzwykłych ataków spearphishingowych, wykorzystujących uzłośliwionezałączniki w poczcie elektronicznej, do bardziej zaawansowanychform, znanych jako ataki typu supplychain. Tutaj wyszukuje się najsłabsze ogniwo w sieci czyprocesie przetwarzania informacji, wprowadzając do niego szkodniki,które zostaną przekazane dalej, do ostatecznego celu.