Актуальные вакансии
Управление файлами cookie
Мы используем файлы cookie с целью персонализации сервисов и чтобы пользоваться веб-сайтом было удобнее. Продолжив работу с сайтом, вы соглашаетесь с использованием файлов cookie на условиях Пользовательского соглашения и Политики обработки персональных данных. Вы можете отказаться от использования файлов cookie, для этого измените настройки своего интернет-браузера.
Управление файлами cookie
Настройки файлов cookie
Файлы cookie, необходимые для корректной работы сайта, всегда включены.
Другие файлы cookie можно настроить.
Основные файлы cookie
Всегда включен. Эти файлы cookie необходимы для того, чтобы вы могли пользоваться веб-сайтом и его функциями. Их нельзя отключить. Они устанавливаются в ответ на ваши запросы, такие как настройка параметров конфиденциальности, вход в систему или заполнение форм.
Аналитические файлы cookie
Disabled
Эти файлы cookie собирают информацию, чтобы помочь нам понять, как используются наши веб-сайты или насколько эффективны наши маркетинговые кампании, или чтобы помочь нам настроить наши веб-сайты под вас. Смотрите список используемых нами аналитических файлов cookie здесь.
Рекламные файлы cookie
Disabled
Эти файлы cookie предоставляют рекламным компаниям информацию о вашей онлайн-активности, чтобы помочь им предоставлять вам более релевантную онлайн-рекламу или ограничить количество просмотров рекламы. Эта информация может быть передана другим рекламным компаниям. Смотрите список рекламных файлов cookie, которые мы используем здесь.

Кибервойны.
5 атак, изменивших историю

Примерное время чтения: 12 минут

Хотите всегда быть в курсе событий на рынке IT? Подписывайтесь на наш Telegram-канал!
Кибератаки превратились в мощное оружие, способное парализовать инфраструктуру целых стран и вымогать миллионы долларов. Подборка Selecty включает самые известные случаи, повлиявшие на политику, экономику и кибербезопасность по всему миру. От вирусов-шифровальщиков до высокотехнологичных атак на промышленные системы.
СОДЕРЖАНИЕ

05 WannaCry

первое заражение в 2017 году
wannacry
Сетевой червь, вымогавший биткоины под угрозой удаления данных. По разным оценкам атаке подверглись от 230 тыс. до 500 тыс. компьютеров на ОС Microsoft Windows
в 150 странах мира.
Механика
Обнаружив компьютер с уязвимостью, программа устанавливала бэкдор DoublePulsar, через который загружала код, с помощью которого запускала шифровальщик. Вирус кодировал все данные на компьютере и требовал выкуп в биткоинах.

Программа–вымогатель пользовалась уязвимостью EternalBlue в системе Microsoft Windows. Ее разработку связывают с Агентством национальной безопасности США (АНБ).
вирус wannacry
Источник: Securelist
Хронология
Первые жертвы WannaCry подверглись атаке в мае 2017 года. В Испании пострадали компьютеры в компаниях-поставщиках электричества, в Германии — машины основного железнодорожного оператора Deutsche Bahn. В 2018 году главный инженер Boeing сообщил, что вирус заглушил конвейер по сборке узлов модели «777», но не смог добраться до ПО бортовых компьютеров. В России сообщали об атаках на Мегафон, Сбербанк, информационные системы РЖД, «ФинЦЕРТ» Банка России.

Официальный представитель МВД России Ирина Волк сообщила, что ведомство оперативно блокировало около 1 тыс. зараженных устройств, что составило менее 1% всех компьютеров министерства. Серверы МВД избежали атаки, так как на них использовалась отечественная ОС «Эльбрус».

Маркус Хатчинс, исследователь, обнаружил, что перед шифровкой сообщений WannaCry отправляет запрос на несуществующий домен. Он зарегистрировал этот домен и остановил атаку вируса.

Расследование
Международное расследование связало распространение вируса с группой хакеров Lazarus Group, которую подозревают в других актах кибертерроризма и связях с КНДР. Эксперты, проводившие лингвистический анализ, предположили, что родным языком авторов WannaСry был южный диалект китайского.
Выкуп
Первоначально программа была известна как «WannaCrypt» («ХочуКрипты»). В первые недели мошенники требовали выкуп в $ 300, но вскоре стали просить за расшифровку вдвое больше — $ 600. Пользователи массово сообщали о том, что коды расшифровки не работали.
Ущерб
От $ 1млрд до $ 4 млрд — примерные убытки от действий вируса по всему миру. Только больницы Великобритании потеряли около £92 млн. из-за отмены 19 тыс. приемов пациентов и переноса плановых операций.

04 Petya, NotPetya & Misha

первое заражение в 2016 году
petya notpetya
Волна вирусов, которую некоторые специалисты по кибербезопасности объединяют в одну, а некоторые, как Лаборатория Касперского, говорят только об условном сходстве.
Petya, NotPetya, ExPetr, GoldenEye — это шифровальщики, нацеленный на объекты критической инфраструктуры. Распространение началось в Украине, где пострадали аэропорты и Национальный банк.
вирус петя
Источник: Malwarebytes
Чернобыльская АЭС была переведена на ручной режим управления, так как пострадала система мониторинга радиационной обстановки, а данные на 10% компьютерах в стране оказались стерты. Позже вирус распространился на Россию, Европу, Индию и Китай.
Механика
Как и WannaCry, использовал эксплойт EnternalBlue и бэкдор DoublePulsar. Petya шифровал данные на жестком диске, а также кодировал и перезаписывал MBR — код, необходимый для загрузки операционной системы.

Petya распространялся через зараженные и взломанные сайты, которые маскировали вирус под обновления. Также злоумышленники использовали автоматическое обновление сторонних приложений, например, программу для массовой бухгалтерской отчетности M.E.Doc. Пути распространения стали гораздо разнообразнее, что позволило вирусу целиться не в конкретные машины, а целые системы и организации, максимизируя вред.
Хронология
Первую версию вируса обнаружили в марте 2016 года. Тогда вымогатели просили ₿0,9, что в то время равнялось примерно $ 380. К маю того же года вирус содержал дополнительные файлы: если он не получал доступ к возможностям администратора, то загружал другое вредоносное ПО «Misha», которое шифровало файлы напрямую, без запроса прав администратора, и требовала уже ₿1,93.

После атаки на украинские банки, аэропорты и другие организации, о проникновении вируса стали сообщать и российские организации. В 2017 году Сбербанк, Хоум Кредит, Роснефть, Башнефть рассказали, что подверглись нападению. Тогда же пострадал международный бизнес Merck, Maersk, TNT Express, Saint-Gobain, Mondelez, Reckitt Benckiser, крупные корпоративные сети от США до Австралии.
Выкуп
Несмотря на то, что Petya требовал биткоины, хакеры не предусмотрели сохранение данных и возможность как-либо расшифровать файлы. Поэтому платить было бессмысленно: как только пользователь вводил код, информация автоматически стиралась.
Ущерб
$ 10 млрд. — во столько эксперты оценили ущерб, нанесенный вирусом 300-ам украинским компаниям, корпорациям и государственным органам в США, Дании, США, Австралии, Индии, Испании, Франции и других стран.

03 Stuxnet

первый взрыв в 2010 году
червь стухнет
Сетевой червь, предположительно разработанный спецслужбами США и Израиля. Позволил вывести из строя 1,3 тыс. из 5 тыс. центрифуг для обогащения урана в Нантазе (Иран), сорвал сроки запуска ядерной АЭС в иранском Бушере и затормозил ядерную программу страны на несколько лет.
Механика
Stuxnet распространялся офлайн, через флешки. Тем более удивительно, что он смог заразить сотни тысяч машин по всему миру, но проявился только на критических объектах ядерной инфраструктуры Ирана.

Червь перехватывал и модифицировал поток между программируемыми логическими контроллерами Siеmens. Уникален тем, что не только шпионил за данными: задавая слишком большие скорости вращения, вирус смог физически разрушить иранские центрифуги для обогащения урана. Появление Stuxnet позволило специалистам по кибербезопасности впервые заговорить о появлении цифрового оружия.
жертвы червя stuxnet
Источник: Kaspersky
Хронология
Чтобы установить первые зараженные червем организации, расследователям понадобилось два года и более 2 тыс. зараженных файлов. «Нулевым пациентом» с высокой степенью вероятности стала иранская компания FIECO, которая создавала автоматизированные системы для предприятий тяжелой промышленности. Атаки проводились сразу на несколько компаний, в 2009, 2010 и 2011 годах.

Человеческий фактор стал критически важной частью успеха программы. Руководство Siemens признало, что вирус занесли сотрудники компании, хотя и сделали это не зная о последствиях.
Экс-аналитик ЦРУ Мэтью Барроуз:
«Stuxnet смог, пусть и на короткое время, приостановить иранскую ядерную программу. Он нарушил работу почти 1000 центрифуг для обогащения уранового топлива. По мнению экспертов, иранцы, обнаружив вирус и избавившись от 1000 зараженных устройств, смогли предотвратить больший ущерб».
Ущерб
Кроме тех центрифуг, которые вывел из строя сетевой червь, иранцам пришлось остановить еще тысячу, чтобы предотвратить взрывы. Психологические последствия кибертерроризма, возможно, более масштабны, чем физические разрушения. О вирусах нового поколения заговорили во всем мире.

02 Взлом SolarWinds

первая атака в 2020 году
лого solarwinds
Взлом цепочки поставок SolarWinds, которая предоставляет услуги по развитию инфраструктуры 80% компаний из Fortune 500, государственным и образовательным компаниям.
Механика
Программная среда Orion, разработанная SolarWind, содержала бэкдор, который в свою очередь обменивался данными со сторонними серверами. Эта особенность позволяла вирусу маскировать трафик под протокол Orion Improvement Program (OIP), сохранять данные в легитимных файлах и смешивать их с обычной деятельностью SolarWinds. После установки обновлений, содержащих вредоносный код, злоумышленники получали полный доступ к системам.
Хронология
Атака началась в марте 2020 года, но оставалась незамеченной более 9 месяцев. Первые тревожные сигналы появились в декабре 2020 года, когда компания FireEye сообщила о взломе ее собственных систем.

Расследование выявило, что вредоносный код был внедрен в обновления SolarWinds Orion, распространявшихся с марта по июнь 2020 года. Среди пострадавших оказались правительственные учреждения США, включая Министерство финансов и Министерство торговли, а также крупные корпорации, такие как Microsoft и Cisco.
Ущерб
Миллиарды долларов, но точный ущерб подсчитать достаточно трудно. Хакеры получили доступ к конфиденциальным данным тысяч компаний и агентств по всему миру, а доверие к цепочке поставок программного обеспечения серьёзно пострадало.

Самое дорогостоящее последствие атаки, возможно, в том, что США были вынуждены начать глобальные реформы в области кибербезопасности, направленные на предотвращение подобных атак в будущем.

01 Атака DarkSide

коллапс трубопровода в 2021 году
darkside
Топливный кризис в США разразился в мае 2021 года, когда хакеры из группы DarkSide на 5 дней парализовали работу крупнейшую сеть трубопроводов в стране — Colonial Pipeline. Эта система обеспечивает поток 45% всего топлива для Восточного побережья.
карта системы Colonial Pipeline
Источник: Colonial Pipeline Company
Механика
Злоумышленники смогли проникнуть в инфраструктуру компании через административные сети, связанные с системой управления трубопроводами. Все процессы Colonial Pipeline Company работают в автоматическом режиме: используются датчики давления, термостаты, клапаны и насосы для регулирования потоков топлива. Также в системе задействован робот PIG (pipeline inspection gauge), фиксирующий любые отклонения от нормы.

Такая сложная и интегрированная структура оказалась уязвимой. Вредоносное ПО проникло через фишинг, зашифровало данные и вызвало требование выкупа в биткойнах.
Хронология
Атака началась 7 мая 2021 года, когда DarkSide внедрили свое ПО в системы Colonial Pipeline. Компания была вынуждена остановить работу трубопроводов, что привело к дефициту топлива и панике среди потребителей на восточном побережье США. На автозаправках выстраивались длинные очереди, а цены на топливо показали максимум за 2 года.
Ущерб
Компания согласилась выплатить выкуп в размере $4,4 млн, из которых часть средств позже была возвращена ФБР. Правительство США инициировало пересмотр политики кибербезопасности, направленный на защиту критической инфраструктуры.

Группа DarkSide опубликовала на своем сайте извинения.
извинения darkside
Источник: DarkSide
Хотя напрямую сеть Colonial Pipeline Company не упоминалась, хакеры признались, что цель группы — это заработок денег, а не создание проблем для общества. Благородные разбойники ввели модерацию: каждую компанию, которая могла подвергнуться взлому, собирались проверять, чтобы исключить из списка медицинские, похоронные, образовательные, некоммерческие, государственные организации. DarkSide заявили, что им важна собственная репутация. Ранее они заявляли, что часть денег жертвуют на благотворительность.

Что дальше?

Крупнейшие кибератаки демонстрируют не только техническую сложность современных угроз, но и их влияние на экономику и общество. Они стали стимулом для разработки новых стандартов безопасности и изменений в подходах к защите данных. Мир всё больше зависит от цифровых технологий, что делает нас уязвимыми к кибертерроризму, но и вынуждает искать пути для создания более безопасного будущего.
Ирина Требушинина
не переходит по подозрительным ссылкам

Читайте также

Показать еще