Кібератака та вірус «Петя» – що то було ?

27 червня 2017 року достатньо велика кількість державних і приватних структур призупинили роботу внаслідок збоїв у роботі комп’ютерів – вірусом уразилась частина комп’ютерів Кабміну, МВС, Пенсійного фонду, Ощадбанку, аеропорту «Бориспіль», Київенерго, «Нової пошти» та ін. Зараженими комп'ютерним вірусом виявилися численні державні інформаційні ресурси - системи міністерства інфраструктури, Державної фіскальної служби, електророзподільні мережі компанії "Укренерго", загалом  майже 150 стратегічних для економіки країни підприємств, мережі яких підключені і контролюються фахівцями Державної служби спецзв'язку.

Особливі складнощі через кібератаку відчули...

суб'єкти господарювання, які відкладали подання податкової звітності, граничний строк подання якої був 30 червня. При цьому постраждали не лише ті, чия фінансова і бухгалтерська документація була зашифрована та видалена вірусом, а й ті, хто планував подавати звітність через «M.E.doc.», адже за неподання та несвоєчасне подання податкової звітності Податковим Кодексом передбачено штрафи значного розміру.

Для уникнення негативних наслідків Мінфін рекомендує потерпілим звертатися до Торгово-промислової палати для встановлення факту форс-мажору. У такому разі, хоча чинний Податковий Кодекс не дозволяє уникнути штрафів за несвоєчасне подання звітності в разі форс-мажору, платники податків зможуть просити контролюючі органи про списання податкового боргу.

Разом із тим і Мінфін, і ТПП рекомендують передусім звертатися до кіберполіції. Тоді підприємці зможуть отримати сертифікат про форс-мажорні обставини на підставі довідки з ЄРДР. Також Мінфін рекомендує повідомити територіальний підрозділ ДФС про те, що з поданням податкової звітності у встановлені строки виникли складнощі через кібератаку.

Окрім списання податкового боргу, передбачено ще один варіант вирішення проблеми зі штрафами: Мінфін і ДФС підготували проект змін до Податкового кодексу, який дозволить не застосовувати до платників податків штрафні санкції за несвоєчасну реєстрацію податкових накладних, виданих з 1 до 15 червня, якщо вони будуть зареєстровані до 15 липня 2017 року. Цей законопроект було схвалено Кабміном на засіданні 4 липня та передано до Парламенту.

Станом на 28 червня до кіберполіції МВС надійшло понад півтори тисячі скарг на блокування роботи підприємств через комп'ютерний вірус. Правоохоронці порушили кримінальне провадження за фактом несанкціонованого втручання в електронно-обчислювальні системи як державних, так і приватних установ.

Було встановлено, що вірус, який вразив операційні системи, називається Petya. За первинними твердженнями, метою кібератаки було здирництво - зловмисники вимагали гроші за розшифрування даних. Комп'ютерний вірус-вимагач Petya, який вразив в тому числі і українські інформаційні системи, використовує існуючу «діру» в безпеці операційної системи Windows, блокує і шифрує сектор завантаження системи, замінюючи його на власний. За розблокування сектора вірус вимагає від користувача перевести на анонімний рахунок 300 доларів у віртуальній валюті Bitсoin.  За повідомленнями ЗМІ, творці вірусу заробили на ньому всього чотири біткоіни, або близько $ 10 тис. Хоча за повідомленням фахівців ЛІГА:ЗАКОН  - вірус шифрує диск С, а інформація з диску D не страждає.

Цікавим є посилання на записи офіційного сайту «Лабораторії Касперського» - жертви останньої кібератаки, яка була проведена за допомогою вірусу-здирника Petya, не зможуть повернути свої файли. Експерти лабораторії, провівши аналіз тієї частини вірусу Petya, яка пов'язана з шифруванням файлів, з'ясували, що після зараження і шифрування жорсткого диска «у творців вірусу вже немає можливості розшифрувати його назад». Для розшифровки необхідний унікальний ідентифікатор конкретної установки трояна, який не передбачений в цій версії вірусу Petya. У «Лабораторії Касперського» цю версію вірусу Petya назвали Expetr (aka NotPetya). В інших версіях шифрувальників ідентифікатор містив потрібну для розшифровки інформацію.

За висновком експертів, поширення шкідливої програми почалося з України, яка найбільше і постраждала від кібератаки. До країн, які постраждали від вірусу, увійшли також Італія, Ізраїль, Сербія, Угорщина, Румунія, Польща, Аргентина, Чехія та Німеччина. Переважно комп'ютери за кордоном були заражені через електронні листи, які надійшли з України.

У результаті вивчення вірусу фахівцями кіберполіції та зарубіжними експертами було встановлено, що державні та приватні структури потрапили під удар вірусу-шифрувальника Diskcoder.C через уразливість програмного забезпечення для звітності та документообігу «M.E.doc.». Експертами було встановлено, що зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп'ютерів компанії-розробника «M.E.Doc.». До одного з оновлень програми вони вбудували бекдор (backdoor) - програму, яка забезпечувала несанкціонований віддалений доступ до комп'ютерів користувачів «M.E.Doc.». Таке оновлення, ймовірно, сталося ще 15.05.2017 року. Виявлений бекдор має можливість збирати коди ЄДРПОУ уражених компаній і відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему й ідентифікаційні дані користувачів. Шкідлива програма також прагнула отримати доступ до мережевого устаткування з метою виведення його з ладу. Тому департамент кіберполіції наполегливо рекомендує всім користувачам змінити паролі й електронні цифрові підписи, оскільки вони могли бути скомпрометовані.

А для приховання незаконного збирання інформації злочинці під час наступного оновлення «M.E.doc.» розповсюдили модифікований ransomware Petya, який зашифрував і видалив файли операційних систем багатьох підприємств.

Свою причетність до розповсюдження вірусу визнали і розробники «M.E.doc.». При цьому їхній представник повідомила, що абсолютно всі комп'ютери, на яких установлено або було встановлено «M.E.doc.», інфіковані вірусом. Пік другого етапу кібератаки було призначено на 16:00 4 липня, тому для запобігання другій хвилі кібератаки правоохоронці вилучили апаратне обладнання, за допомогою якого розповсюджувалося заражене ПЗ «M.E.doc.». Крім того, кіберполіція рекомендувала припинити використання програм від «M.E.doc.» і відключити від мережі комп'ютери, на яких воно встановлене.

На сьогодні розробник програмного забезпечення M.E.Doc наполегливо рекомендує для подальшої безпечної роботи змінити електронну пошту, яку ви використовували для роботи в M.E.Doc. Для чого потрібно змінювати електронну адресу та що загрожує користувачу програми, якщо цього не зробити наразі, - невідомо. Автори повідомлення не вказали такої інформації.

Варто зазначити, що «M.E.doc.» є не єдиним сервісом, що дозволяє подавати податкову звітність в електронному вигляді. Наприклад, надійним сервісом для підготовки та подання звітності є REPORT від ЛІГА:ЗАКОН, яка пропонує хмарний сервіс, тобто без встановлення програми, що потребує постійних оновлень на комп’ютері користувача Хмарні сервіси також піддаються атакам, але в «хмарі» працюють фахівці, прописані процедури, тому атаки відбиваються. Працювати з хмарними продуктами набагато безпечніше.

У будь-якому разі необхідно змінити свої паролі та електронні підписи, оскільки вони можуть бути відомі зловмисникам. На сайті центрального засвідчувального органу (czo.gov.ua) та сервісів онлайн-накладення та перевірки ЕЦП можна ознайомитися з електронним реєстром суб’єктів, які надають послуги, пов’язані з ЕЦП – тобто там є адреси сайтів юросіб, що надають послуги ЕЦП. Тож наполегливо рекомендуємо перевірити та за необхідності звернутися до центру, який надав вам ключі ЕПЦ, для отримання інформації щодо необхідності заміни таких ключів ЕЦП.

За повідомленням від 10.07.2017 акредитований центр сертифікації ключів «Україна» пропонує безкоштовно перевидати ключі ЕЦП потерпілим від кібератаки - у разі втрати через вірус Petya ключа ЕЦП можна звернутися до будь-якого регіонального представництва АЦСК «Україна» для їх безкоштовного перевидання. Користувачі мають лише подати нові заявки в електронному (формат .pck) і паперовому вигляді, засвідчені кожним із підписувачів.

До уваги ! - ДФС радить платникам податків під час формування електронних документів самостійно на власний розсуд обрати будь-яке програмне забезпечення, яке формує вихідний файл відповідно до затвердженого формату (стандарту). Тобто краще завжди мати альтернативу з усіх комерційних пропозицій на ринку для зменшення ризику.

Водночас прес-служба Держспецзв'язку попереджає, що власники мереж, уражених вірусом Petya Ransomware, навіть відновивши свої комп'ютери, можуть стати потенційним об'єктом повторної кібератаки.

Зараз представники влади й бізнесу розмірковують про те, як надалі убезпечити операційні системи українців від можливих кібератак. Так, передусім необхідно врегулювати питання кібербезпеки на законодавчому рівні. Раніше вже робилися спроби вирішити цю проблему - законопроект № 2126а «Про основні засади забезпечення кібербезпеки України» було зареєстровано у ВР ще в червні 2015 року й у вересні 2016 року прийнято за основу в першому читанні. За результатами розгляду законопроекту в другому читанні вже у травні 2017 року народні депутати вирішили відправити його на доопрацювання. Якщо ж ВРУ не розгляне його повторно до кінця літньої сесії, країна залишиться у правовому вакуумі у сфері кібербезпеки до осені, а Україна залишатиметься вразливою, поки користуватиметься російськими кодами. При цьому юристи попереджають, що розробникам «M.E.doc.» варто чекати звернень обурених клієнтів із вимогою компенсувати заподіяну шкоду.

А поки що єдиний правовий документ – Кримінальний кодекс, його стаття 361, за змістом якої ініціаторів кібератаки чекає позбавлення волі на строк до трьох років, а у разі заподіяння серйозної шкоди строк позбавлення волі становитиме від 3 до 6 років. Звичайно, якщо суд чи хтось самостійно визнає себе ініціатором.

Це не перший масштабний напад на українські інформаційні системи. У грудні минулого року кіберзлочинці одночасно і цілеспрямовано атакували протягом трьох діб установи Мінфіну, комерційні банки, об'єкти "Укренерго". Наслідки цієї атаки державні фахівці з кібербезпеки усували кілька тижнів.  Фахівці приватного центру протидії кіберзагрозам CyS-Сentrum тоді звертали увагу, що зараження також відбувалося досить примітивним методом - через макроси в документах, які розсилалися по електронній пошті - і підкреслювали недостатній рівень захищеності стратегічних ресурсів.

Кіберполіція підкреслює, що на сьогодні ніхто не може сказати де та які «закладки» ще знаходяться в комп'ютерних системах. Зокрема й тому нові кібератаки цілком ймовірні. Для того щоб не постраждати від вірусу, необхідно врахувати рекомендації, які розробила команда спеціалізованого структурного підрозділу Державного центру кіберзахисту та протидії кіберзагрозам (CERT-UA). Вони дадуть змогу зменшити ризик повторного ураження та мінімізувати наслідки, пов'язані з кібератакою. Тож керівникам закладів і установ, підприємств і компаній необхідно організувати надійне зберігання резервних копій усієї необхідної інформації та вжити інших заходів, які називають «кібергігієною» - копіювати інформацію, обмежувати «гуляння» по інтернету і скачування «іграшок», не відкривати електронні листи від невідомих авторів і ін., а також користуватись ліцензованими системами і програмами та періодично залучати хороших фахівців для налагодження програмного забезпечення.

На основі матеріалів ЛІГА: ЗАКОН та електронних ЗМІ. 10.07.2017