NotPetya – atak, który zatrzymał świat

Dziś chciałbym Ci opowiedzieć o NotPetya – złośliwym oprogramowaniu, którego uderzenie w 2017 roku i sparaliżowało globalne operacje i na kilka dni praktycznie zamroziło światową gospodarkę. I które nadal jest w użyciu, powodując szkody.

Czym jest NotPetya?

Wygląda jak zwykłe oprogramowanie ransomware, ale nim nie jest. Za chwilę dowiesz się, dlaczego.

Twórcy NotPetya naprawdę chcieli, aby wyglądał jak Petya, który został opracowany rok wcześniej. Ale chodziło tylko o powierzchowne podobieństwo – oparli je o nazwę, wyświetlaną na ekranie notatkę o okupie i tzw. Cryptoviral profile, czyli sposób, w jaki się on rozprzestrzenia (tj. przy użyciu exploita EternalBlue). Przestępcy naprawdę chcieli stworzyć zasłonę dymną dla swoich działań i zmylić tych, którzy szukali rozwiązania.

Wiadomo, że był on stworzony i używany przez powiązaną z Kremlem grupę APT o nazwie Sandworm. Najprawdopodobniej była to grupa operatorów GRU (Główny Zarząd Wywiadowczy Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej – jest to rosyjska agencja wywiadowcza).

Jak działa NotPetya?

NotPetya wykorzystywał exploit (podatność w systemie) o nazwie EternalBlue, który został opracowany przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA). Exploit ten pozwala (w skrócie) na to, aby operator z dowolnego miejsca na świecie mógł wykonać dowolną komendę na naszym komputerze. W praktyce odbywało się to za pomocą źle obsłużonych pakietów za pośrednictwem protokołu Server Message Block (SMB) na dowolnej maszynie z systemem Windows starszym niż Windows 10 lub Windows Server 2016.

Ciekawostką  jest to, że NSA nie poinformowała Microsoftu o tej luce, ponieważ chciała mieć przewagę, na wszelki wypadek, i dlatego MS nie mógł naprawić tego problemu. Problem polegał na tym, że rosyjscy hakerzy sponsorowani przez państwo włamali się do archiwów NSA i uzyskali te informacje przed kimkolwiek innym. Więcej informacji na ten temat można znaleźć w rejestrze CVE pod numerem CVE-2017-0144.

Po wykorzystaniu maszyny NotPetya używała Mimikatz – programu który został opracowany przez francuskiego programistę Benjamina Delpy’ego. Mimikatz jest narzędziem open source (czyli każdy może z niego skorzystać bezpłatnie, a nawet zaproponować do niego zmiany i poprawki) i jest swego rodzaju szwajcarskim scyzorykiem. Najczęściej używany jest do wydobywania danych uwierzytelniających na zainfekowanych komputerach z systemem Windows. Może również podszywać się pod kontroler domeny i wyszukiwać poufne dane w usłudze Active Directory. Może również utrzymać kontrolę nad domeną po eksploitacji, naruszając centrum dystrybucji kluczy i kontynuując generowanie nowych biletów Kerberos.

Po zainfekowaniu każdej maszyny w firmie i rozprzestrzenieniu się w sieci, szyfrował dyski i wyświetlał komunikat z żądaniem okupu. Problem polegał na tym, że nawet po zapłaceniu okupu dane nie mogły zostać odszyfrowane, ponieważ klucze szyfrujące zostały wygenerowane losowo, a hakerzy nie mieli zamiaru ich przekazać (nie wiadomo nawet, czy je posiadali). Dlatego na początku powiedziałem, że nie jest to zwykłe oprogramowanie ransomware.

Większość ransomware ma wbudowany wyłącznik awaryjny. Jeśli zapłacisz okup, „etyczni hakerzy”, jak lubią się nazywać, mogą odszyfrować Twoje pliki. Nie mówię, że to zrobią, ale mogą. Tak jak zrobili to z WannaCry w maju 2017 roku – zaledwie kilka miesięcy przed NotPetya.

„Do tej pory było to po prostu najszybciej rozprzestrzeniające się złośliwe oprogramowanie, jakie kiedykolwiek widzieliśmy” – powiedział Craig Williams, dyrektor ds. kontaktów zewnętrznych w oddziale Talos firmy Cisco. Pomysł polegał na zainfekowaniu jak największej liczby komputerów w sieci tak szybko, jak to możliwe, bez wykrycia.

Jak rozprzestrzenił się na całym świecie?

Zaczęło się od zainfekowania M.E.Doc – programu księgowego, o którym wspomniałem wcześniej, używanego przez prawie każdą firmę lub osobę składającą zeznania podatkowe na Ukrainie. Sandworm zainstalował backdoora na serwerach firmy, z których dystrybuował oprogramowanie MeDoc zawierające NotPetya – wszędzie. Oznacza to, że jeśli firma miała jakąkolwiek część swojej działalności w Ukrainie, była podatna na atak. Na przykład ukraiński oddział Maersk miał zainstalowany MeDoc tylko na jednym komputerze. I to wystarczyło, aby sparaliżować ich globalne operacje, ponieważ złośliwe oprogramowanie rozprzestrzeniło się poziomo w sieci.

Warto podkreślić, że pracownicy M.E.Doc nie wiedzieli, że ich system został zainfekowany. Dowiedzieli się o tym nieco wcześniej niż opinia publiczna i to w dość nieprzyjemny sposób – kiedy ukraińskie służby specjalne wtargnęły do ich biura, zakuły wszystkich w kajdanki i wycelowały w nich broń. Oczywiście kierownictwo firmy miało później uzasadniony żal. Ale wydaje mi się, że w tak wyjątkowej sytuacji trudno mieć inne podejście niż ukraińskie służby.

Kto został trafiony?

Prawdopodobnie każdy, kto ma jakiekolwiek znaczenie lub świadczy krytyczne usługi. Ale poważnie, lista ofiar jest bardzo długa:

Po pierwsze, na celowniku znalazły się oczywiście ukraińskie firmy i organizacje. Ostrożne szacunki sugerują, że zaatakowanych zostało co najmniej 300 ukraińskich firm, w tym 4 szpitale, 6 firm energetycznych (w tym systemy elektrowni), 2 lotniska, ponad 20 banków, bankomatów i firm przetwarzających płatności. Na domiar złego, Sandworm zaatakował wszystkie władze federalne, a nawet miejsce oczyszczania Czarnobyla. Był to element wojny hybrydowej, którą Rosja prowadzi przeciwko Ukrainie od 2014 roku. Celem było sparaliżowanie całego państwa ukraińskiego. I w dużej mierze Rosjanom się to udało. Lotniska nie działały, szpitale zostały zmuszone do przeniesienia pacjentów do innych placówek, a wyłączenie elektrowni spowodowało poważne przerwy w dostawie prądu w dużej części kraju. Ludzie nie mogli dokonywać płatności ani wypłacać pieniędzy z bankomatów, nie mogli załatwić żadnych oficjalnych spraw. Chociaż wyłączenie niektórych systemów w Czarnobylu nie miało większego wpływu na bezpieczeństwo, ponieważ krytycznymi systemami można było sterować ręcznie, miało to mieć dodatkowy efekt psychologiczny.

Lista nie kończy się jednak na ukraińskich firmach. Być może słyszałeś o biznesach wymienionych poniżej:

1. Maersk – duńska firma odpowiedzialna za 20% światowego transportu morskiego. 3 500 z 6 200 serwerów i prawie 50 000 laptopów zostało nieodwracalnie zniszczonych. Firma nie była w stanie działać globalnie, a wszystkie systemy obsługujące terminale portowe, logistykę i operacje biurowe zostały zniszczone.
2. Mondelez – jedna z największych na świecie firm produkujących przekąski – poinformowała, że zniszczeniu uległo 1700 serwerów i 24 000 laptopów.
3. Merck – gigant farmaceutyczny poinformował, że w wyniku ataku jego sieć została zmniejszona o 40 000 maszyn.
4. Europejska spółka zależna FedEx, TNT Express – firma transportowa musiała przywrócić systemy we wszystkich swoich obiektach, w tym w centrach i magazynach.
5. Nuance Communications – ta firma programistyczna, która tworzy oprogramowanie do rozpoznawania mowy i sztucznej inteligencji, potrzebowała prawie dwóch miesięcy, aby odzyskać siły po ataku.
6. Beiersdorf – niemiecki producent środków higieny osobistej doświadczył problemów z produkcją i wysyłką.
7. Reckitt Benckiser – angielsko-holenderska firma produkująca dobra konsumpcyjne.
8. Saint-Gobain – francuska firma budowlana.

„Dobrą wiadomością” jest to, że NotPetya spowodowała również pewne szkody uboczne. Na przykład, ucierpiały również rosyjski państwowy koncern naftowy Rosneft i bank Sberbank. Jest jednak dyskusyjne, czy był to wypadek, czy też działanie mające na celu stworzenie zasłony dymnej, aby rosyjski rząd mógł zaprzeczyć, że stoi za operacją. Jest to całkowicie wiarygodne wyjaśnienie – Rosjanie mają długą historię podobnych działań.

Ile strat to spowodowała NotPetya?

1. Maersk jest gotowy przyznać się do straty 300 milionów dolarów.
2. Mondelez złożył pozew przeciwko swojej firmie ubezpieczeniowej na kwotę ponad 100 milionów dolarów. Rzeczywista strata wynosi prawdopodobnie około 188 milionów dolarów. 
3. Firma Merck twierdzi, że w wyniku ataku straciła 870 milionów dolarów. 
4. TNT Express twierdzi, że jego straty wynoszą 400 milionów dolarów.
5. Tylko w 2017 roku Nuance Communications straciło 92 miliony dolarów przychodów.
6. Beiersdorf twierdzi, że w wyniku ataku stracił 43 miliony dolarów.
7. Reckitt Benckiser szacuje, że atak kosztował go około 100 milionów dolarów.
8. Saint-Gobain twierdzi, że jego strata nie była dużo mniejsza niż TNT – stracił 384 miliony dolarów.

Większość firm (jeśli nie wszystkie) może jedynie szacować swoje straty. Łatwo jest policzyć uszkodzone komputery, osobodni potrzebne do przywrócenia sieci lub potencjalną utratę dochodów. Znacznie trudniej jest jednak policzyć, ile firma straciła na przykład poprzez zawieszenie obrotu akcjami (jak miało to miejsce w przypadku TNT) lub potencjalne straty z powodu utraty zaufania klientów. 

Faktem jest również, że wszystkie te firmy miały wiele mniejszych spółek zależnych i stowarzyszonych, które poniosły poważne straty. Niektóre z nich poszły do sądu (jeśli nadal miały na to środki), ale wiele z nich po prostu straciło wszystkie swoje aktywa lub płynność finansową, ponieważ ich istnienie opierało się na współpracy z jednym z gigantów.

Ważne jest również, aby pamiętać, że mówimy tylko o prywatnych graczach rynkowych. Ataki na szpitale, organizacje pozarządowe czy agencje rządowe również spowodowały ogromne straty, nie tylko finansowe, ale przede wszystkim pod względem jakości życia czy sprawnego funkcjonowania państw.

Ta historia nie ma szczęśliwego zakończenia.

Badania przeprowadzone w 2020 r., 3 lata po pierwszych atakach, wykazały, że NotPetya zainfekowała organizacje w 65 krajach na całym świecie, powodując straty w wysokości miliardów dolarów. Do dziś wiele organizacji pozostaje podatnych na atak. Nie tylko dlatego, że korzystają z przestarzałego oprogramowania, ale także z powodu polityki patchingu („łatania” podatności) i braku segmentacji sieci. Wiele firm, zwłaszcza tych mniejszych, uważa, że nie muszą łatać ani segmentować swojej sieci, ponieważ jest mało prawdopodobne, że zostaną zaatakowane przez złośliwe oprogramowanie. No i jest to kosztowne. W wielu przypadkach nie zdają sobie nawet sprawy, że NotPetya może faktycznie przetrwać w ich infrastrukturze.

Jak już wspomniałem, to złośliwe oprogramowanie nie ma wyłącznika awaryjnego, więc gdy znajdzie się w sieci, to koniec. Jedyne, co możesz zrobić, to spróbować złagodzić szkody poprzez (zgadłeś) odpowiednią segmentację. A jeśli nie chcesz zostać zaatakowany w pierwszej kolejności, łataj, łataj i jeszcze raz łataj.

Ponadto kwoty, o których wspomniałem wcześniej, to tylko wierzchołek góry lodowej. Wiemy o nich, ponieważ były to duże firmy, a artykuły o nich dobrze się klikały. Nie mamy wszystkich danych – tylko przybliżone szacunki w strat poniesionych bezpośrednim następstwie ataku. Departament Stanu USA podał, że bezpośrednie straty w pierwszych tygodniach po atakach wyniosły 10 miliardów dolarów w samym sektorze prywatnym. Jeśli dodać do tego przerwy w dostawie prądu, problemy z systemem opieki zdrowotnej i inne trudności w zaspokajaniu podstawowych potrzeb, prawdziwa skala strat jest prawie niemożliwa do zmierzenia. A zakładając, że instrument ten jest nadal w użyciu, choć na znacznie mniejszą skalę, możemy śmiało założyć, że straty są kilkadziesiąt razy wyższe niż liczba podana przez Departament Stanu USA.

I zanim powiesz, że dziś nie ma to znaczenia, ponieważ nikt nie używa starych wersji systemu Windows, powiem Ci, że to nieprawda. Obecnie prawie 4% komputerów osobistych na świecie nadal korzysta z wersji starszych niż 8, i mówię tu tylko o użytku osobistym. W 2014 roku, 2 lata po premierze Windows 8, 95% bankomatów na całym świecie wciąż działało pod kontrolą Windows XP. Wciąż istnieją też kraje takie jak Armenia czy Kolumbia, gdzie Windows 7 i XP stanowią ponad 50% rynku. A jeśli chodzi o Windows Server, to nie znamy nawet dokładnych danych, ponieważ firmy z oczywistych powodów nie chcą ich publicznie pokazywać.

Z tą myślą Cię zostawiam. Jeśli prowadzisz firmę lub wykorzystujesz komputer prywatny do celów służbowych, przemyśl sobie ten artykuł szczególnie mocno. 🙂