Кибервойны - мифы и реальность

Цитата: Luna от 27.06.2017 14:55:56Сегодня, 27 июня, накануне Дня Конституции, вся Украина оказалась под ударом неизвестных хакеров. Пользователи в панике и советуют друг другу просто отключить компьютеры от интернета.

Вирус-шантажист Petya атаковал сайт Чернобыльской АЭС: мониторинг ведется вручную.
Сайт Чернобыльской АЭС перестал работать во вторник из-за атаки вируса-вымогателя Petya

В украинском Государственном агентстве по управлению зоной отчуждения сообщили, что технологические системы ЧАЭС работают в обычном режиме, однако из-за временного отключения системы Windows радиационный мониторинг промышленной площадки приходится осуществлять в ручном режиме.

Хакерская атака также прервала электронный документооборот на Чернобыльской АЭС
link

Все таки для меня как человека связанного с компьютерами на данный момент непонятно следующее. Как это одновременно с разницей пусть час-два атаковать такое большое количество компьютеров. Ладно атаковать, а вот так успешно атаковать. Подозреваю, что все данные компьютеры чем то связаны между собой или на Украине не осталось толковых сисадминов, которые могут дать по лапкам юзерам за использование компьютеров на работе не по назначению..  

Просто картинка. Красотаааа.



Компьютеры, зараженные вирусом Petya.A, на кассах супермаркета «Рост» в Харькове, Украина

А вот это уже самое интересное

Цитата«Сегодня в 11.00 против нашего государства была начата массированная кибератака с использованием модифицированной под Украину версии вируса «wannacry» — «cryptolocker», — заявил советник главы МВД Антон Геращенко.

Он сообщил, что пользователям приходили письма на русском и украинском языках, которые из любопытства открывали неопытные пользователи.

«В программном коде вируса была заложена дата запуска 27 июня в 11.00», — заявил он. Нагрузка на жесткий диск резко увеличивалась, после чего компьютер перезагружался, а на экране появлялось требование уплатить за разблокировку $300.

Атаку провоцировал вирус DOS/Petya.A, который атаковал компьютеры, маскируясь под программные продукты компании Microsoft.

Вирус является аналогом WannaCry, поразившего компьютеры пользователей около полутора месяцев назад.

ссылка

Цитата: Урфин от 27.06.2017 20:21:39Речь даже не об ОС, а о принципе организации корпоративной сети. Ну не должно быть доступа из неё в инет, если организация имеет отношение к гостайне или большим бабкам. И невозможно в Сбере на рабочем месте бухгалтерши или кредитницы "открыть интересное письмо с незнакомого адреса". А в кассах так и флешку левую засунуть не получится.

Да, и кстати, организации в России тоже пострадали от вымогателя Пети.

Да было-же недавно , что первая версия поразила даже МО , на видузе сидели  .....с месяц  назад .....а теперь уже развивается всё .... не удивлюсь и продолжения!  (Это значит  , что хоть ори - на UNIX  никто не хочет  переходить (я виндузятник отчасти  , привыкший , но госструктуры  ....))(Петя в попу , не о нём речь) Речь о OC с ограниченными правами  , хоть внутренняя  хоть UNIX  .... виндуза тем и отличается , что каждая собака там может полазить - и это не плохо , для общения...  Залёт будет у  Всех , что 404, что Россия. Всем достанется в итоге .

Цитата: Теофраст от 27.06.2017 19:12:09Все таки для меня как человека связанного с компьютерами на данный момент непонятно следующее. Как это одновременно с разницей пусть час-два атаковать такое большое количество компьютеров. Ладно атаковать, а вот так успешно атаковать. Подозреваю, что все данные компьютеры чем то связаны между собой или на Украине не осталось толковых сисадминов, которые могут дать по лапкам юзерам за использование компьютеров на работе не по назначению..

Вирус долго расползается, в коде зашито "проснуться в час х". Таким макаром достигается больший охват - с высокой вероятностью в антивирусные лаборатории оно попадет когда будет уже поздно. В классическом варианте - его выпускают, втечение нескольких часов отрабатывает цепочка - пострадавший - спец в антивирусной компании - обновление антивируса - иммунитет.

Цитата: ivan2 от 27.06.2017 19:52:19Если вирус спокойно распространяется по корпоративной сети и переписывает загрузочные записи жёстких дисков компьютеров, то виновата не сотрудница, которой, скучно, а руководство, которое ничего не боится, в том числе убытков, и конечно безопасники, которые мышей не ловят даже на уровне запрета автоизменения ПО на клиентском и серверном железе.

С шифровальщиками не всё так просто.
У пользователя есть права на изменеие данных? Есть - ибо он по работе должен их изменять.
Что делает вирус? Изменяет данные пользователя путем шифрации. Ну и перезагрузка, вывод на экран сообщеньки с текстом - это законом не запрещено тащемта. От такого защититься в целом мало реально. Как и от случайного или преднамеренного удаления данных самим пользователем.
Тут косяки в винде, где огромному колличеству софта нужны весьма широкие права и без этих прав рабочие программы работать не будут. Ну и дыры - можно целиком систему шифрануть.
В Linux среде от этого также не защититься, но там саму систему сложить на порядки сложнее. Шифранет оно пользовательские данные - и хрен с ними. Пишем на коленке обычный сканер, вычищающий говно, восстанавливаем по щелчку пальца данные из последнего бэкапа, удаляем гадости - и вуаля! Откатились по времени на несколько часов назад (таки работа пролюблена, но немного), всё работает в штатном режиме через часов несколько. Никаких красноглазий по 48 часов с установкой системы на сотни компов не нужно. Правдя для этого надо потратить загодя часов эдак 480 - на планирование, создание всех необходимых регламентов и инструментов для решения подобных проблем

Цитата: Podli от 27.06.2017 21:09:04Работал в одной из пострадавших компаний. С 99% уверенностью - обновления не помогали, как самой винды, так и антивирусного ПО.

Не все так просто. На Хабре пишут что атаке подверглись машины полностью пропатченные и с антивирами. НО. Вот что появилось

ЦитатаUPD9:  Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

Т.е. вначале взломали систему подачи отчетности. Нав Украине это программой пользовались почти все. А потом пошло все по цепочке указанной выше.

Кстати разрабы вируса уже заработали 3 биткоина

https://glav.su/foru…age4457172
Здесь собрал информацию по вирусу - обсуждать можно в более профильной ветке.
АУ на усмотрение модераторов.

Цитата: qurvax от 28.06.2017 17:52:02Почти все правильно, кроме "разбегается по сети". Да, разбегается, но только по локальной. Юзает EthernalBlue и старый добрый PtH (aka.ms/pth для интересющихся). Данных о распространении через инет пока никаких нет. Есть одна теория, и та кривая.
И еще - после попадания загрузчика в MBR шифруется MFT, а не раздел целиком. Есть  разница с точки зрения перспектив востановления. С ванакраем у него общего только EthernalBlue, так что завязывайте дезу гнать про ванакрай2.0.
Пусть модеры перенесут прицепом, куда там надо, а пока АС.

шифрует и файлы, какие успеет до перезагрузки/выключения бдительным юзером.
Распространялся как пожар - 10 минут и все хором выключили компы, но было поздно. У кого табличка, у кого MBR битый и часть файлов зашифрована.
Но были единичные компы, где не прошёл, хотя обновления на все накатывались централизовано.
Linux-оиды сначала ходили гоголями, а потом то работать могут, да и всем остальным линукс поставить... Загрустили
P.S. админы, перенесите в IT, я не знаю как.

Вот что пишут:

Худшие опасения подтвердились.

Win32/Diskcoder.Petya.C — это не шифрующий данные вымогатель (ransomware), а деструктивная программа уничтожения данных. Шифрование данных, выполняемое вирусом, необратимо.

К сожалению, (был) единственный способ спасти данные  — выключить компьютер при первых признаках заражения (произвольная перезагрузка, запуск CHKDSK). Если это не было сделано — пути обратно нет.

Атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый, энергетический сектор и гос. аппарат.

Также, теперь мы можем утверждать, что с высокой долей вероятности, украинское ПО для ведения финансовой отчетности MeDoc было скомпрометировано и вирус распространился вместе с обновлением программы (как её часть). Плюс, к этому присоединяется эксплуатация уже известных способов распространения и заражения сети, которые мы обсуждали раньше.

Я и эксперты из лидирующих антивирусных компаний ведём расследование по установлению источника атаки. О результатах мы отдельно сообщим позже. Пока мы можем утверждать, что вредоносная программа пришла со стороны одной из стран СНГ.

Мы будем рады, если с нами свяжутся представители пострадавших организаций из Украины — просто напишите нам на E-Mail: security@litreev.com.

Цитата: DeC от 28.06.2017 23:01:03Вот что пишут:

Худшие опасения подтвердились.

Win32/Diskcoder.Petya.C — это не шифрующий данные вымогатель (ransomware), а деструктивная программа уничтожения данных. Шифрование данных, выполняемое вирусом, необратимо.

Похоже, что в очередной раз ученые изнасиловали журналиста.
Шифрование - обратимо. Код пети уже разобрали на атомы, расшифровать можно. Но только одним способом - получить ключ от автора пети. Это таки вымогатель, от остальных отличается только одним - это хороший вымогатель, написанный профессионалами, в отличие от других поделок на коленке, которые бегали по сети до сих пор.