Введите верный e-mail адрес
Подписаться
Вы успешно подписались на нашу рассылку

Нерассказанная история вируса NOTPETYA – самой разрушительной кибератаки в истории

Яна Гончарова
15 февраля 2019 Года

Вышедшие из строя порты. Парализованные корпорации. Застывшые государственные учреждения. Как один код сломал весь мир. 

В ОДИН ИЗ прекрасных солнечных дней в Коппенгагене самый крупный в мире морской транспортный конгломерат начал сходить с ума. 

Главный офис компании A.P. Møller-Maersk находится у открытой, вымощенной камнями набережной в гавани Копенгагена. Флагшток, на котором установлен флаг Дании, находится у северо-восточного угла здания, а шесть этажей с синими окнами выглядывают на причал, где датская королевская семья швартует свою яхту. На цокольном этаже сотрудники могут посетить корпоративный сувенирный магазин, где в наличии имеются сумки и галстуки Maersk. Тут также можно найти редкую модель Lego — гигантское контейнерное судно, такое же большое, как Эмпайр-стейт-билдинг на боку и способное перевозить груз, весом как этой здание. 

Здесь также находится центр технической помощи — один стол рядом с кассиром, за котором работают IT-специалисты по устранению неполадок. Днем 27 июня 2017 г. озадаченные сотрудники начали по два-три человека собираться возле стола, почти каждый из них держал ноутбук. На экранах устройств были надписи, сделанные черными и красными буквами. Одни надписи гласили «восстановление системы файлов на диске С:» и настоятельно предупреждали не выключать компьютер. На других экранах было написано «Упс, ваши важные файлы засекречены» и требование заплатить за расшифровку сумму, эквивалентную 300$ в биткоинах. Через дорогу IT-администратор по имени Хенрик Дженсен работал в другой части Maersk — изысканно украшенном белокаменном здании, ранее служившим королевским архивом морских карт и схем. (Хенрик Дженсен это не настоящее имя. Как и почти каждый сотрудник, клиент или партнёр Maersk, у которых я брал интервью, Дженсен боялся последствий публичного заявления об этой истории). Дженсен был занят подготовкой обновления программного обеспечения для порядка 80 000 сотрудников компании, когда его компьютер внезапно перезапустился. 

Он тихо выругался. Дженсен предположил, что перезагрузка была вызвана центральным IT-отделом Maersk — нелюбимой структурой, расположенной в Англии и контролировавшей большую часть копрорации, во владении которой находились восемь бизнес блоков от портов и логистики до бурения нефтяных скважин, в 574 офисах в 130 странах по всему миру. 

Дженсен поднял голову, чтобы спросить чей компьютер был также резко выключен. Как только он вытянул голову, мужчина увидел, как компьютеры в комнате стали резко отключаться. 

«Я увидел как экраны один за другим становились черными. Чёрный, чёрный, чёрный. Чёрный, чёрный, чёрный, чёрный, чёрный». Дженсен и его коллеги вскоре выяснили, что компьютеры были бесповоротно заблокированы. Перезагрузка лишь возвращала их в то же состояние. 

Становился очевиден масштаб кризиса на уровне штаб-квартиры. В течение получаса сотрудники Maersk бегали по этаж, крича своим коллегам, чтобы те отключали компьютеры от питания или сети Maersk до того, как их заразит вредоносное ПО. В тот момент их осенило, что каждая минута могла стоить десятки или сотни поврежденных ПК. Технические работники вбегали в конференц-залы и выключали компьютеры посреди встреч. Вскоре, пытаясь предупредить остальные части здания, сотрудники натолкнулись на турникеты, заблокированные все еще неизвестной вредоносной программой. 

Отключение всей глобальной сети Maersk заняло у IT-работников компании более двух панических часов. Под конец этого процесса каждому сотруднику было приказано выключить свой компьютер и оставить его на столе. При аварийном отключении сети цифровые телефоны, стоящие в каждой кабинке, также были бесполезными. 

Около 3-х часов дня Исполнительный директор Maersk вошел в комнату, где Дженсен и десяток его коллег с тревогой ожидали новостей, и велел им идти домой. Сеть Maersk была настолько повреждена, что даже IT-персонал был бессилен. Несколько руководителей более старой школы попросили свои команды остаться в офисе. Но многие сотрудники, не способные работать без компьютеров, серверов, маршрутизаторов и настольных телефонов, просто ушли домой. 

Дженсен вышел из здания навстречу теплому воздуху позднего июньского вечера. Как и подавляющее большинство сотрудников Maersk, он не имел никакого понятия, когда он вернется на работу. Нанявший его на работу морской гигант, несущий ответственность за 76 портов по всей планете и почти 800 морских суден, включая контейнерные судна, перевозящие десятки миллионов тонн груза, и представляющий собой почти 1/5 всей судоходных мощностей мира, тонул.

MIKE MCQUADE для WIRED

НА ОКРАИНЕ модного квартала Подол в столице Украины Киеве кофейни и парки внезапно переходят в мрачный индустриальный ландшафт. Под мостом автострады, напротив усыпанных мусором железнодорожных путей, за бетонными воротами стоит четырехэтажный штаб Linkos Group, небольшого семейного украинского IT-бизнеса. 

На третьем этаже этого здания находится серверная комната, где куча компьютеров, размерами с коробку пиццы, подключены клубком проводов и помечены рукописными пронумерованными ярлыками. В обычный день эти сервера запускают рутинные обновления: исправление багов, обновление системы безопасности, новые функции для бухгалтерского ПО под названием M.E.Doc, которое в той или иной степени является украинским аналогом TurboTax или Quicken. Это ПО использует почти каждый, кто платит налоги или занимается бизнесом в стране. 

Но в тот момент в 2017 г. эти сервера стали точкой отсчета для самой разрушительной кибератаки с момента изобретения интернета — атаки, которая, по меньшей мере, началась, как нападение одной нации на другую. 

Последние четыре с половиной года Украина оказалась в ловушке тяжелой, необъявленной войны с Россией, которая унесла жизни более 10 000 украинцев, и вынудила миллионы покинуть свои дома. Во время конфликта Украина также стала испытательным полигоном для российских кибератак. В 2015 г. и 2016 г., когда связанные с Кремлем хакеры, известные как Fancy Bear, были заняты проникновением на сервера Демократической партии США, другая группа агентов, Sandworm, взламывала десятки украинских правительственных организаций и компаний. Они проникли в сети своих жертв, начиная от средств массовой информации и заканчивая железнодорожными фирмами, используя «логические бомбы», которые уничтожили терабайты данных. Атаки приняли жёсткий сезонный темп. Зимой того и другого года саботажники завершили свои разрушительные «шалости», вызвав повсеместное отключение электричества, — первое подтвержденное прекращение электроснабжения из-за хакеров.  

Однако эти атаки не были грандиозным финалом группировки Sandworm. Весной 2017 г., втайне от кого-либо из Linkos Group, российские военные хакеры взломали сервера обновления компании, что предоставило им скрытые бэкдоры в тысячи компьютеров, на которых был установлен M.E.Doc, расположенных по всей стране и миру. Затем, в июне 2017 г. злоумышленники использовали эти бэкдоры для распространения части вредоносного ПО, известного как NotPetya, — их самого вредоносного кибероружия на сегодняшний день.  

Код, который запустили хакеры, был заточен под автоматическое, мгновенное и повсеместное распространение. «На тот момент это был самый быстроразвивающийся вредоностный код, который мы когда-либо видели», — говорит Крейг Уильямс (Craig Williams), директор по связям с общественностью подразделения Cisco Talos, одной из первых компаний по защите, которые воспроизводят и анализируют NotPetya. «В то мгновение, когда вы замечаете его, этот код уже уничтожил ваш дата-центр».

NotPetya был использован с помощью двух хакерских эксплойтов, работающих вместе. Одним из ним была программа проникновения, известная как EternalBlue, созданная Агентством национальной безопасности США и ставшая известная ранее в 2017 г. из-за катастрофической утечки секретных файлов ведомства. EternalBlue использует уязвимость в определенном протоколе Windows, позволяя хакерам запускать свой собственный код на любом необновленном компьютере. 

Архитекторы NotPetya объединили эту цифровую отмычку с более старым изобретением известным как Mimikatz, созданным в качестве доказательства концепции французским исследователем безопасности Бенджамином Делпи в 2011 г. Изначально Делпи выпустил Mimikatz в целях демонстрации того, что Windows сохраняет пароли пользователей в памяти компьютера. Как только хакеры получали первоначальный доступ к компьютеру, Mimikatz доставал эти пароли из особо защитного участка (ОЗУ) и использовал их для взлома других компьютеров, которые доступны благодаря одинаковым учетным записям. В сетях с многпользовательскими компьютерами это даже может позволить осуществить автоматическую атаку с перескакиванием от одного компьютера к другому. 

Перед запуском NotPetya Microsoft выпустил обновление для своей уязвимости с EternalBlue. Тем не менее совместно EternalBlue и Mimikatz создали смертельную комбинацию. «Ты заражаешь компьютеры с необновленными системами, затем крадёшь пароли с этих компьютеров, чтобы заразить компьютеры с обновлённой системой», — говорит Делпи. 

NotPetya получил свое имя из-за сходства с вирусом-вымогателем Petya, мошенническим кодом, который появился в начале 2016 г. и вымогал деньги у своих жертв в качестве оплаты ключа для разблокировки их файлов. Но сообщения NotPetya о выкупе были только уловкой: единственной целью вредоносной программы было разрушение системы. Она необратимо зашифровывала основную загрузочную запись компьютера. Это скрытая часть устройства, где записано, как найти свою собственную операционную систему. Любой выкуп, которые пытались заплатить жертвы, был бесполезным. Не существовало никакого ключа для переупорядочивания зашифрованной информации компьютера. 

Целью оружия была Украина. Но его радиусом взрыва был весь мир. «Это было эквивалентно использованию ядерной бомбы для достижения небольшой тактической победы», — говорит Боссерт.

Использование NotPetya было актом кибервойны по любому определению. Программа была, вероятно, более взрывоопасной, чем предполагали ее создатели. Через несколько часов после своего появления вирус-червь вышел за пределы Украины и оказался на бесчисленных компьютерах по всему миру, от больниц в Пенсильвании до шоколадной фабрики в Тасмании. Этот вирус нанес вред международным компаниям, включая Maersk, фармацевтического гиганта Merck, европейскую дочернюю компанию FedEx TNT Express, французскую строительную компанию Saint-Gobain, производителя продуктов питания Mondelēz и производителя потребительских товаров Reckitt Benckiser. Стоимость ущерба в каждом случае равнялась девятизначным суммам. Вирус даже затронул Россию, поразив государственную нефтяную компанию «Роснефть». 

В результате суммарный ущерб составил 10 млрд. долл. США, согласно оценке Белого дома, подтвержденной WIRED бывшим советником по внутренней безопасности Томом Боссертом, который на тот момент был самым старшим должностным лицом при президенте Д. Трампе, работающим с вопросами кибербезопасности. Боссерт и американские спецслужбы также подтвердили в феврале, что российские вооруженные силы, основные подозреваемые в любой кибератаке, направленной против Украины, несут ответственность за запуск вредоносного кода. (Министерство иностранных дел России отказалось отвечать на неоднократные запросы о предоставлении комментариев). 

Для понимания масштабов ущерба от NotPetya, рассмотрим кошмарную, но более типичную вирусную атаку, которая парализовала городское правительство Атланты в марте 2017 года: она стоила 10 млн. долл. США, десятую часть доли NotPetya. Даже WannaCry, который распространился месяцем ранее чем NotPetya, в мае 2017 г., по оценкам стоил от 4 до 8 млрд. долл. США. Ничто даже близко не приблизилось к этой отметке. «Хотя человеческих жертв не было, это было эквивалентно использованию ядерной бомбы для достижения небольшой тактической победы», — говорит Боссерт. «Это степень безрассудства, которую мы не можем терпеть на мировой арене».

Спустя год после того, как NotPetya потряс мир, WIRED изучил опыт корпоративного Голиафа, поставленного на колени российским вирусом: Maersk, чей провал из-за вредоносного ПО показал, какую опасность в себе несет кибервойна для инфраструктуры современного мира. Руководители грузового гиганта, как и любые другие не украинские жертвы, с которыми WIRED попытался поговорить о NotPetya, отказались давать любые официальные комментарии по поводу этой истории. Вместо этого отчёт WIRED состоит из данных от текущих и бывших сотрудников Maersk, многие из которых предпочли остаться анонимными. 

Но история NotPetya на самом деле не относится, ни к Maersk, ни даже к Украине. Это история о военном оружии национального государства, использованном в пространстве, где границы не имеют никакого значения, а сопутствующий ущерб распространяется по жесткой и неожиданной логике; где атака на Украину наносит удар по Maersk, а атака на Maersk мгновенно ударяет по всему миру.


АЛЕКСЕЙ ЯСИНСКИЙ ОЖИДАЛ спокойного вторника в офисе. Это был канун дня Конституции Украины, национального праздника, и большинство его коллег или планировали свой отпуск, или уже были на отдыхе. Но не Ясинский. В течение прошлого года он был главой кибер-лаборатории в Information Systems Security Partners, компании, которая быстро стала ключевой фирмой для жертв украинской кибервойны. Само описание работы не подразумевало время на отдых. Со времен первой российской кибератаки в конце 2015 г., он, на самом деле, позволил себе в общей сложности взять одну неделю отпуска. 

Поэтому Ясинский пребывал в безмятежном настроении, пока утром ему не позвонил директор ISSP и не сказал, что Ощадбанк, второй по величине банк в Украине, подвергся атаке. Представители банка рассказали ISSP, что столкнулись с заражением вирусом-вымогателем — распространённая проблема для компаний по всему миру, на которые охотятся кибермошенники. Но когда спустя полчаса Ясинский вошел в отдел техподдержки Ощадбанка в центральном офисе в Киеве, он мог сказать, что это было что-то новое. «Персонал был потерян, растерян, находился в состоянии шока», — говорит Ясинский. Около 90% из нескольких тысяч банковских компьютеров были заблокированы, показывая сообщение NotPetya о «диске восстановления» и экран с сообщением о выкупе. 

После быстрого изучения уцелевших логов, Ясинский смог увидеть, что атаковал автоматический вирус, который каким-то образом получил полномочия администратора. Это позволило ему бесчинствовать в сети банка, подобно тюремному заключенному, который украл ключи надзирателя.    

В то время, когда он анализировал взлом банка в офисе ISSP, Ясинский начал получать звонки и письма от людей со всей Украины, которые рассказывали ему о подобных случаях в других компаниях и правительственных учреждениях. Один человек рассказал, что другая жертва попыталась заплатить выкуп. Как и подозревал Ясинский, платеж ни на что не повлиял. Это был не обычный вирус-вымогатель. «Для этого не существовало никакой «серебряной пули», никакого противоядия», — говорит он. 

В тысячах милях к югу генеральный директор ISSP Роман Сологуб проводил свой отпуск в День Конституции на южном побережье Турции и готовился отправиться на пляж со своей семьей. Его телефон также стал разрываться от звонков клиентов ISSP, которые либо наблюдали, как NotPetya проникал в их сети, либо читали новости об атаке и лихорадочно искали совета.

Сологуб вернулся в свой отель, где он провел остаток дня, принимая более 50 звонков от клиентов, друг за другом сообщавших о заражении своих сетей. Центр операций по обеспечению безопасности ISSP, который наблюдал за сетями клиентов в реальном времени, предупредил Сологуба о том, что NotPetya проникал в системы жертв с ужасающей быстротой: у него заняло 45 секунд, чтобы взломать сеть крупного украинского банка.

Отделение одного из главных украинских транзитных узлов, где ISSP установили свое оборудование в качестве демонстрации, было полностью заражено за 16 секунд. «Укрэнерго», энергетическая компания, которой ISSP помогла восстановить сеть после кибератаки в 2016 года, также была поражена вновь. «Помнишь, мы собирались установить новый контроль безопасности?», — напоминает Сологуб расстроенному IT-директору компании «Укрэнерго», разговаривая с ним по телефону. «Что ж, слишком поздно». 

К полудню учредитель ISSP, предприниматель Олег Деревянко, также отменил свой отпуск. Деревянко ехал на север провести праздники с семьей в своем деревенском доме, когда начались звонки по поводу NotPetya. Вскоре он съехал с шоссе и стал работать в придорожном ресторане. К началу второй половины дня он предупреждал каждого руководителя, который звонил ему, отключать свои сети без колебаний, даже если это означало прекращение работы всей их компании. Во многих случаях они итак уже ждали слишком долго. «К тому моменту, когда ты дозваниваешься до них, инфраструктура уже потеряна», — говорит Деревянко. 

В национальном масштабе, NotPetya пожирал украинские компьютеры живьем. Он затронул по крайне мере четыре больницы только в Киеве, шесть энергетических компаний, два аэропорта, более 22 украинских банков, банкоматы и карточные платежные системы в розничной торговле и в сфере транспорта, а также практически все федеральные агентства. «Правительство было мертво», — подводит итоги украинский министр инфраструктуры Владимир Омелян. По данным ISSP, по меньшей мере 300 компаний пострадали, и один высокопоставленный украинский правительственный чиновник подсчитал, что 10 процентов всех компьютеров в стране были стёрты. Атака вырубила даже компьютеры, которыми пользовались ученые в районе Чернобыльской зоны, в 60 милях к северу от Киева. «Это была массовая бомбардировка всех наших систем», — говорит Омелян.



Когда Деревянко вышел из ресторана ранним вечером, он остановился заправить свою машину и обнаружил, что карточная платежная система заправки была также поражена NotPetya. Не имея наличных денег в карманах, он смотрел на свой датчик топлива, гадая, хватит ли ему, чтобы добраться до деревни. По всей стране украинцы задавали себе аналогичные вопросы: достаточно ли у них денег на продукты и бензин, чтобы продержаться во время атаки, выплатят ли им зарплаты и пенсии, смогут ли они получить лекарства по рецептам. Той ночью, когда мир все еще обсуждал, был ли NotPetya преступным вирусом-вымогателем или государственным оружием кибервойны, сотрудники ISSP уже начали называть это явлением нового типа: «массовое скоординированное кибервторжение». 

На фоне этой эпидемии, одно единственное заражение стало особенно судьбоносным для компании Maersk: в офисе в Одессе, портовом городе на Черноморском побережье Украины, финансовый директор Украинского подразделения попросил IT-администратора установить бухгалтерскую программу M.E.Doc на один компьютер. Это обеспечило NotPetya тот плацдарм, в котором он нуждался. 


ПОГРУЗОЧНЫЙ ТЕРМИНАЛ в городе Элизабет, штат Нью-Джерси — один из 76 терминалов, которые составляют подразделения портовых операций компании Maersk, известные как APM терминалы, — простирается в бухту Ньюарк на рукотворный полуостров, занимающий целую квадратную милю. Десятки тысяч штабелированных модульных транспортных контейнеров покрывают обширную асфальтированную территорию, а голубые краны высотой 200 футов нависают над заливом. С верхних этажей небоскребов нижнего Манхэттена, расположенных в пяти милях отсюда, они выглядят как брахиозавры, собравшиеся на водопой во времена Юрского периода.

В хороший день около 3000 грузовиков прибывают на терминал, каждый из которых назначен на сбор или погрузку десятка тысяч фунтов всего, чего угодно, начиная с памперсов и авокадо, и заканчивая тракторными запчастями. Они начинают это процесс как пассажиры в аэропорту: проходя регистрацию в воротах терминала, где сканеры автоматически считывают штрих-коды их контейнеров, а охранник Maersk разговаривает с водителями грузовиков через акустическую систему. Водитель получает распечатанный пропуск, в котором сообщается, где следует парковаться так, чтобы массивный самоходный кран мог забрать контейнер с шасси грузовика на площадку с грузами, где он будет погружен на контейнерное судно и поплывет через океан, а потом пройдет этот процесс в обратном порядке. 

Утром 27 июня Пабло Фернандез ожидал, что десятки грузовых автомобилей отправятся из терминала Элизабет в порт на Ближнем Востоке. Фернандес является так называемым экспедитором — посредником, кому владельцы груза платят для того, чтобы быть уверенными в том, что их имущество в сохранности прибудет в пункт назначения. (Фернандес это не его настоящее имя). 

Около 9 часов утра, телефон Фернандеса стал разрываться из-за звонков от злых владельцев грузов. Все они только что слышали от водителей грузовиков, что их машины застряли за пределами терминала Элизабет компании Maersk. «Люди прыгали вверх и вниз», — говорит Фернандес. «Они не могли ни ввезти свои контейнеры, ни вывезти их за ворота». 

Эти ворота, критически важные для функционирования всего терминала Maersk в Нью-Джерси были отключены. Охранники молчали. 

Вскоре сотни тяжелых грузовиков стояли в очереди, которая растянулась на мили за пределами терминала. Один сотрудник ближайшего терминала другой компании в том же порту Нью-Джерси смотрел, как грузовики строятся в ряд, бампер за бампером, дальше, чем он мог видеть. Он также наблюдал, как ворота на протяжении пятнадцати минут опускались вниз получасом ранее. Однако через несколько секунд, все еще не получив комментариев от Maersk, власти порта предупредили, что терминал Элизабет будет закрыт до конца дня. «В этот момент мы стали понимать», — вспоминает сотрудник соседнего терминала. — «Это была атака». Полиция начала приближаться к водителям грузовиков, говоря им, чтобы те разворачивали свои массивные машины и уезжали. 

Перед Фернандесом и обезумевшими клиентами Maersk встал ряд довольно печальных вариантов: они могли попытаться погрузить свои ценные грузы на другие корабли по завышенным из-за срочности тарифам, что равноценно простою. Или, в случае если их груз является частью производственной цепочки, например, компонентов для завода, то остановка работы Maersk может означать громадные суммы за доставку по воздуху или риск остановки производственных процессов, когда один день простоя стоит сотни тысяч долларов. Многие из контейнеров, известные как рефрижераторы, были электрифицированы и в них хранились скоропортящиеся товары, требующие охлаждения. Их нужно было где-то подключить к питанию. В противном случае их содержимое начнет гнить. 

Фернандесу пришлось срочно найти склад в Нью-Джерси, где он мог хранить груз своих клиентов, пока Maersk не прокомментирует ситуацию. По его словам, в течение первого дня он получил только одно официальное электронное письмо от Maersk, которое выглядело как «тарабарщина» и пришло с непонятного аккаунта Gmail. В нем не было никакой внятной информации о нарастающем кризисе. Официальный сайт компаний, Maerskline.com не работал, и никто в компании не поднимал телефон. Некоторые из контейнеров, которые он отправил кораблями Maersk в тот день, останутся потерянными на грузовых площадках и портах по всему миру в течение следующих трех месяцев. «Маерск напоминал черную дыру, — со вздохом вспоминает Фернандес. «Полнейший трындец».

И это на самом деле был трындец из трындецов. Такая же ситуация была в 17 из 26 терминалов Maersk, от Лос-Анджелеса до Альхесираса, Испания, от Роттердама в Нидерландах до Мумбаи. Ворота были закрыты. Краны были заморожены. По всему миру десятки тысяч грузовиков разворачивались обратно и уезжали от остановившихся терминалов. 

Не возможно было сделать новый заказ, что существенно сокращало прибыль Maersk. Компьютеры на кораблях компании не были заражены вирусом. Но программное обеспечение терминалов, предназначенное для получения с этих кораблей файлов электронного обмена данными, где операторам терминалов сообщалось о точном содержании громадных грузовых отсеков, было полностью уничтожено. Это оставило порты компании без инструкций для выполнения работ по погрузке и выгрузке возвышающихся груд контейнеров. 

В течение ближайших дней одна из самых сложных и взаимосвязанных распределительных систем в мире, лежащая в основе работы глобальной экономики, будет по-прежнему нарушена. «Было очевидно, что проблема имела такие масштабы, каких до сих пор не видели мировые транспортные сети», — вспоминает один из клиентов Maersk. « В истории информационных технологий в сфере судоходства никто еще не сталкивался с подобным колоссальным кризисом». 

MIKE MCQUADE для WIRED

НЕСКОЛЬКО ДНЕЙ СПУСТЯ, когда в офисе Maersk экран его компьютера внезапно потемнел, Хенрик Дженсен был дома в своей квартире в Копенгагене и наслаждался бранчем из яиц, тостов и мармелада. С тех пор, как он вышел с работы во вторник, он не слышал ни слова от своего начальника. Затем его телефон зазвонил. 

Когда он ответил, он обнаружил, что это был конференц-звонок с тремя другими сотрудниками Maersk. Они сказали, что ему нужно быть в офисе компаний в Майденхед, Великобритания. Это город к востоку от Лондона, где располагались IT-подразделения конгломерата Maersk Group Infrastructure Services. Ему сказали собирать вещи и приезжать туда. Немедленно. 

Через два часа Дженсен был в самолете, летящем в Лондон, а затем в машине, ехавшей к восьмиэтажному стеклянному кирпичному зданию в центре Мейденхеде. Когда он прибыл, он увидел, что четвертый и пятый этажи здания были превращены в центр чрезвычайных операций 24/7. Единственной целью было восстановление глобальной сети Maersk после ее краха из-за NotPetya.

Некоторые служащие компании, как узнал Дженсен, были в этом центре со вторника, после первого удара вируса. Некоторые спали в офисе, под своими столами или в углу конференц-зала. Другие ежеминутно прибывали с чемоданами в руках, казалось бы, с каждого уголка планеты. Maersk забронировала практически каждую комнату в гостиницах на расстоянии 10 миль, каждый мини-отель, все свободные комнаты на вторых этажах паба. Сотрудники питались закусками, которые кто-то привез на офисную кухню из ближайшего супермаркета Sainsbury’s. 

Центром восстановления в Мауденхеде руководила консалтинговая компания Deloitte. Чтобы устранить проблему вируса NotPetya, Maersk по существу предоставил британской фирме свободу действии. В любой момент времени в офисе в Майденхеде находилось до 200 сотрудников Deloitte, а также до 400 сотрудников Maersk. Все компьютерное оборудование, используемое Maersk с момента вспышки NotPetya, было конфисковано из-за опасений, что оно может заразить новые системы. Публиковались предупреждения, в которых любому, кто использовал пораженные компьютеры, угрожали дисциплинарным взысканием. Вместо этого во всех доступных магазинах электроники в Мейденхеде сотрудники закупили огромное количество новых ноутбуков и точек доступа Wi-Fi с предоплатой. Дженсену, как и сотням других сотрудников Maersk до этого, дали один из таких ноутбуков и сказали работать. «Это было похоже на “Найди себе угол, начни работать и сделай все, что только можно”», — говорит он. 

В начале операции IT-специалисты, восстанавливающие сеть Maersk, пришли к ужасающему открытию. Они обнаружили резервные копии почти всех индивидуальных серверов Maersk, сделанные за три-семь дней до атаки NotPetya. Но никто не мог найти резервную копию для одного ключевого уровня сети компании: его контроллеров домена, серверов, которые функционируют как подробная карта сети Maersk и устанавливают основные правила, определяющие, какие пользователи имеют доступ к каким системам.

150 контроллеров домена Maersk были запрограммированы для синхронизации своих данных друг с другом, так что теоретически любой из них мог бы функционировать как резервная копия для всех остальных. Однако эта стратегия децентрализованного резервного копирования не учитывала один сценарий: каждый контроллер домена одновременно полностью был стёрт. «Если мы не можем починить наши контроллеры домена», — вспоминает один IT-специалист компании, — «то мы вообще ничего не может исправить».  

После неистового поиска по всему миру администраторы, наконец, нашли один единственный выживший контроллер домена в удаленном офисе — в Гане.

После неистового поиска по всему миру администраторы, наконец, нашли один единственный выживший контроллер домена в удаленном офисе — в Гане. В какой-то момент, до атаки NotPetya, отключение электропитания перевело ганский компьютер в автономный режим, и он остался отключенным от сети. Таким образом, в нем содержалась единственная известная копия данных контроллера домена компании, оставленная нетронутой вредоносным ПО — все это благодаря отключению питания. «Когда мы его нашли, офис взорвался от радости», — говорит администратор Maersk.

Однако, когда взволнованные инженеры в Мейденхеде установили связь с офисом Ганы, они обнаружили, что его пропускная способность была настолько низкой, что потребовалось бы несколько дней на передачу в Великобританию резервной копии контроллера, весом сотни гигабайт. Следующей идеей было посадить любого сотрудника ганского подразделения на первый самолет в Лондон. Однако ни у кого из восточноафриканских служащих не было визы в Великобританию. 

Так, операция в Майденхеде был похожа на эстафету: один сотрудник из офиса в Гане вылетел в Нигерию, чтобы встретиться с другим сотрудником Maersk в аэропорту и отдать ему драгоценный жесткий диск. Затем этот сотрудник садился в самолет, летящий в Хитроу шесть с половиной часов, везя ключ к  восстановлению сети Maersk.

После завершения этой спасательной операции офис в Майденхеде смог снова начать оказывать основные услуги Maersk в онлайн-режиме. После пары дней, порты Maersk вновь могли читать файлы инвентаризации судов, а операторы проверять содержимое  массивных, 18 000-контейнерных судов, прибывающих в их гавани. Но только спустя несколько дней после перебоя Maersk начнет принимать заказы на новые доставки через Maerskline.com. А восстановление работы терминалов по всему миру займет больше недели. 

Тем временем сотрудники Maersk работали со всеми инструментами, которые все еще были доступны для них. Они прикрепляли бумажные документы к транспортным контейнерам в портах APM и принимали заказы через личные учетные записи Gmail, WhatsApp и таблицы Excel. «Я могу сказать вам, что это довольно странно заказывать 500 грузовых контейнеров через WhatsApp. Однако именно это мы делали», — говорит один из клиентов Maersk.

Примерно через две недели после атаки сеть Maersk наконец смогла вновь выдать персональные компьютеры большинству сотрудников. В штаб-квартире в Копенгагене кафетерий в подвале здания был превращен в центр переустановки. Компьютеры были выстроены по 20 штук на обеденных столах, а сотрудники центра поддержки ходили по рядам, вставли USB-накопители, которых у них были десятки, и щелкали на подсказки в течение нескольких часов.

Спустя несколько дней после своего возвращения из Мейденхеда, Хенрик Дженсен нашел свой ноутбук в куче сотен других компьютеров, расположенных в алфавитном порядке. Его жесткий диск был отформатирован, а чистый Windows установлен. Все, что он и каждый другой сотрудник Maersk хранили на своих компьютерах, от заметок и контактов до семейных фотографий, исчезло.

ПЯТЬ МЕСЯЦЕВ СПУСТЯ, после того, как Maersk оправился от атаки NotPetya, председатель Maersk Джим Хагеман Снэйб, выступая на сцене Всемирного экономического форума в Давосе (Швейцария) высоко оценил «героические усилия», предпринятые IT-специалистами компании во время спасательной операции. Он рассказал, что с 27 июня, когда его впервые разбудил телефонный звонок в 4 часа ночи в Калифорнии, перед запланированным выступлением на конференции в Стэнфорде, компании потребовалось всего 10 дней для перестройки всей сети из 4000 серверов и 45 000 компьютеров. (Полное восстановление заняло гораздо больше времени: некоторые сотрудники компании в Майденхеде продолжали работать день и ночь в течение почти двух месяцев для переустановки настроек программного обеспечения Maersk.) «Мы преодолели проблему благодаря человеческой стойкости», — сказал Снэйб, обращаясь к толпе.

С тех пор, продолжал Снэйб, Maersk работал не только над улучшением своей кибербезопасности, но и над тем, чтобы сделать ее «конкурентным преимуществом». Действительно, после вируса NotPetya IT-специалисты говорят, что практически каждая функция безопасности, о которой они просили, была почти сразу же одобрена. Процесс многофакторной аутентификация был внедрен на уровне всей компании, вместе с давно назревшим обновлением до версии Windows 10.

Однако, Снэйб мало говорил о положении безопасности компании до появления вируса NotPetya. Сотрудники службы безопасности Maersk называют странным то, что некоторые серверы корпорации, вплоть до начала атаки, все еще работали на Windows 2000 — старой операционной системе, которую Microsoft больше не поддерживала. В 2016 г. одна группа IT-директоров настаивала на превентивной реорганизации безопасности всей глобальной сети Maersk. Они обратили внимание на менее совершенное системное обновление Maersk, устаревшие операционные системы и, прежде всего, недостаточную сегментацию сети. Они предупреждали, что эта уязвимость, в частности, позволяла вредоносным программам, имеющим доступ к одной части сети, распространиться далеко за пределы ее первоначального внедрения, как сделает это NotPetya годом позднее.

Обновлению системы безопасности был дан зеленый свет, и оно было включено в бюджет. Но успех обновления не был так называемым ключевым показателем эффективности для самых старших IT-супервайзеров, поэтому его внедрение не способствовало получению ими бонусов. Они так и не выполнили переустановку безопасности. 

Некоторые фирмы заплатили больше за затягивание с обновлением системы безопасности. В своей речи в Давосе, Снэйб утверждал, что компания понесла лишь 20-процентное сокращение общего объема перевозок, во время заражения вирусом NotPetya, благодаря быстрым усилиям и ручным обходным решениям. Но помимо потерянной выгоды и простоев, а также затрат на восстановление всей сети, Maersk также возместил ущерб многим из своих клиентов за счет перенаправления или хранения их выгруженного груза. Один из клиентов Maersk сказал, что получил семизначный чек от компании на покрытие расходов на отправку своего груза чартерным рейсом в последнюю минуту. «Они выплатили мне целый миллион после двухминутного обсуждения проблемы», — говорит он.

Вдобавок к панике и сбоям, которые вызвал вирус, NotPetya, предположительно, уничтожил доказательства шпионажа или даже подтверждения будущего саботажа.

В целом, в своей речи в Давосе Снейб сообщил, что NotPetya стоил Maersk от 250 до 300 млн. долл. США. Большинство сотрудников, с которыми разговаривал WIRED, подозревают, что компания занизила данные. 

Несмотря на это, данные цифры — это только небольшая часть величины ущерба. Логистические компании, чьи доходы зависят от принадлежащих Maersk терминалов, не получили такое же хорошее отношение во время простоя, как, например, клиенты Maersk. Джеффри Бадер, президент группы компаний перевозок, “Association of Bi-State Motor Carriers”, базирующейся в порте Ньюарка, подсчитал, что даже без возмещения ущерба компаниям перевозок и водителям, стоимость составит десятки млн. долларов США. «Это был кошмар», — говорит Бадер. «Мы потеряли кучу денег, мы в ярости».

Гораздо сложнее измерить более общую стоимость нарушения Maersk в глобальной цепочки поставок в целом. Она зависит от своевременной доставки продуктов и производственных компонентов. И, конечно же, Maersk — это всего лишь одна жертва. Merck, чье производство лекарств было временно прервано NotPetya, сообщил акционерам, что компания потеряла 870 млн. долларов США из-за вредоносного ПО. FedEx, чья европейская дочерняя компания TNT Express была поражена в результате атаки, а на восстановление некоторых данных потребовалось месяцы, потеряла 400 млн. долларов США. Французский строительный гигант Сен-Гобейн потерял примерно столько же. Reckitt Benckiser, британский производитель презервативов Durex, потерял 129 миллионов долларов, а Mondelēz, владелец шоколадного производителя Cadbury, понес ущерб в размере 188 млн. долларов США. Неизвестное количество жертв, которые не имеют публичных акционеров, предпочло оставить свои потери втайне.

Только тогда, когда вы начинаете умножать историю Maersk — воображая этот паралич, последовательные кризисы, такое же изнурительное восстановление — представляя десятки жертв NotPetya и бесчисленное множество отраслей, вам действительно станет понятен истинный масштаб российской кибервойны.

«Это был очень важный звоночек», — сказал Снабе в своей речи в Давосе. Затем он добавил со скандинавской сдержанностью: «Можно сказать, очень дорогой звоночек».


ЧЕРЕЗ НЕДЕЛЮ ПОСЛЕ вспышки NotPetya, украинская полиция, одетая во всю камуфляжную экипировку и вооруженная штурмовыми винтовками, вышла из фургонов и направилась в скромную штаб-квартиру Linkos Group, поднимаясь по лестнице, как в свое время SEAL Team Six вторгались в жилье бен Ладена.

По словам основателя компании Олеси Линник, они направили винтовки на растерянных сотрудников и выстроили их в ряд в коридоре. На втором этаже, рядом с ее кабинетом, вооруженные полицейские даже разбили металлической дубинкой дверь в одну из комнат, хотя Линник предложила ключ для того, чтобы открыть ее. «Это была абсурдная ситуация», — говорит Линник после грубого раздраженного вздоха. 

Вооруженный полицейский отряд в конце концов нашел то, что искал: стойка серверов, которая сыграла роль пациента ноль в чуме под названием NotPetya. Они конфисковали зараженные устройства и положили их в полиэтиленовые пакеты.

Даже сейчас, спустя больше года после катастрофического распространения атаки, эксперты по кибербезопасности все еще спорят о тайнах NotPetya. Какие были настоящие намерения хакеров? Киевский персонал фирмы по безопасности ISSP, в том числе Олег Деревянко и Алексей Ясинский, считают, что атака предназначалась не только для уничтожения, но и для зачистки. В конце концов, хакеры, которые запустили вирус изначально, имели месяцы беспрепятственного доступа к сетям своих жертв. Вдобавок к панике и сбоям, которые вызвал вирус, NotPetya, предположительно, уничтожил доказательства шпионажа или даже подтверждения будущего саботажа. Как раз в мае Министерство юстиции США и службы безопасности Украины объявили, что они сорвали российскую операцию, в ходе которой полмиллиона интернет-роутеров, в основном в Украине, были заражены новой формой разрушительного вредоносного ПО.

В то время как многие в сообществе безопасности по-прежнему рассматривают международные жертвы NotPetya в качестве побочного эфекта, Крейг Уильямс из компании Cisco утверждает, что Россия прекрасно знала, какой ущерб нанесет вирус в международном пространстве. Эти последствия, утверждает он, должны были явно наказать любого, кто осмелится сохранить офис в границах вражеского для России государства. «Любой, кто думает, что это случайность, принимает желаемое за действительное», — говорит Уильямс. «Это был вирус, который имел политический подтекст: если вы занимаетесь бизнесом в Украине, вас ждут неприятности». 

Тем не менее, почти все, кто изучал NotPetya, согласны в одном: это может повториться и даже в более широких масштабах. Глобальные корпорации слишком взаимосвязаны, информационная безопасность слишком сложная, слишком широкое поле для нападения, чтобы защититься от хакеров, подготовленных государством для новой атаки, которая всколыхнет весь мир. В то же время Россия вряд ли была наказана санкциями правительства США за NotPetya, которые были введены спустя восемь месяцев после атаки вируса, и которые наказывали Россию за все, начиная от дезинформации во время выборов 2016 г. до хакерских зондов в энергосетях США. «Отсутствие надлежащего ответа было практически приглашением для расширения своих действий», — говорит Томас Рид, профессор политологии в Школе исследований международных отношений Джона Хопкинса.

Но самым полезным уроком NotPetya может быть странный, многомерный ландшафт поля битвы для кибервойны. Это запутанная географии кибервойны: то, что по-прежнему бросает вызов человеческой интуиции. Фантомы, возникшие в серверной комнате M.E.Doc в сером районе Киева, распространили хаос на позолоченные конференц-залы столичных федеральных агентств, на порты по всему земному шару, на величественную штаб-квартиру Maersk в Копенгагенской гавани и на всю мировую экономику. «Каким образом уязвимость этого украинского бухгалтерского программного обеспечения влияет на поставки в США вакцины национальной безопасности и мировые поставки в целом?», — задается вопросом Джошуа Корман, сотрудник кибербезопасности Atlantic Council, как будто все еще размышляя над формой вируса, которая сделает понятной причинно-следственную связь. «Свойства киберпростраснства полностью отличаются от любой другой военной области». В этой физическом смысле NotPetya напоминает нам о том, что расстояние не является защитой. Каждый варвар находится у каждых ворот. И сеть этих взаимосвязей в данном пространстве, которая объединяла и двигала вверх этот мир последние двадцать пять лет, может в течение нескольких часов в один летний день просто привести его к краху.

Автор: Энди Гринберг (@a_greenberg) — старший писатель WIRED. Эта история взята из его книги Sandworm, выходящей в Doubleday. Эта статья из сентябрьского выпуска.


Перевод подготовлен волонтёр(к)ами некоммерческой правозащитной организации Human Constanta.

Перевод статьи THE UNTOLD STORY OF NOTPETYA, THE MOST DEVASTATING CYBERATTACK IN HISTORYпубликуется на условиях fair use исключительно в просветительских целях. Все права принадлежат Wired. По вопросам перепечатки материала обращайтесь напрямую к правообладателю.

ПОХОЖИЕ НОВОСТИ