EN|RU|UK
 Технології, Економіка
  13732  63

 КІБЕРЗАГРОЗА. ЧИ МОЖНА ЗАХИСТИТИСЯ ВІД МАСОВАНОЇ АТАКИ ХАКЕРІВ?

КІБЕРЗАГРОЗА. ЧИ МОЖНА ЗАХИСТИТИСЯ ВІД МАСОВАНОЇ АТАКИ ХАКЕРІВ?

Унаслідок хакерської атаки "лягли" інформаційні системи 80 підприємств в Україні та Росії.

Целый ряд государственных и коммерческих предприятий энергетического и металлургического секторов, банки, аэропорт "Борисполь", "Новая почта" и другие оказались буквально парализованы. При этом атака на "Укрэнерго" привела к тому, что многие пользователи оказались без электроснабжения. За разблокировку злоумышленники требуют $300 в биткойнах. И хотя некоторые эксперты утверждают, что платить бессмысленно, ибо данные все равно восстановить уже не получится, на биткойн-кошелек хакеров уже прошло 13 транзакций.

Об особенностях вируса, способах его проникновения и возможной защите рассказал технический директор украинской лаборатории Zillya! Олег Сыч.

- Атака при помощи троянской программы, которую можно называть новой модификацией уже известной программы WannaCry. Вполне возможно, что программа разработана той же группировкой. По крайней мере, симптомы очень похожи. Аналогичный почерк заражения с применением уязвимостей системы Windows, аналогичный почерк шифрования данных, хотя сейчас шифрование глубже, мощнее и выводится из строя целиком вся система, а не только документы. Троянская программа распространяется очень быстро, массово.

- Кто пострадал больше всего?

Больше всего пострадали организации, в которых используют локальные сети для внутреннего взаимодействия. Особенно если в них разрозненные физически подразделения объединены в единую локальную сеть. Дело в том, что изначально троянские программы заносятся каким-то иным способом: либо по почте кто-то открывает присоединенный файл, либо посещает зараженный сайт. После того как заражается первый компьютер локальной сети, начинается массовая внутренняя эпидемия. На больших предприятиях вероятность такого первого заражения очень высока - например, неподготовленным сотрудником. Пока мы не можем сказать, какая именно уязвимость была использована, - та, которую ранее использовал WannaCry, или новая. От пострадавших пользователей появилась информация о том, что полностью обновленный компьютер также заразился этой троянской программой.

- Как такое может быть?

- Это возможно, если применяется какая-то новая уязвимость, для которой компания Microsoft еще не выпустила закладку. Сейчас мы как раз исследуем это. По косвенным данным мы склонны предположить, что используется новая уязвимость. Ну, или же администраторы пострадавших сетей очень беспечны и, несмотря на эпидемию месячной давности, не обновили системы в своих сетях. Пока специалисты на местах не знают, что делать и как себя вести, поэтому советуют выключить компьютеры и ждать информации от Совета национальной безопасности, силовых структур, экспертов по информационной безопасности, насчет того, когда их можно будет включить.

Но нужно сказать, что если в локальной сети заражение уже началось, то, как правило, выключение компьютеров не поможет. У нас был прецедент: в одной компании выскочила табличка, что компьютеры зашифрованы, и требование о выкупе, администраторы выключили сразу все компьютеры, а потом включили те, которые не были заражены, но уже было поздно, т. к. информация на них тоже была зашифрована. То есть, как правило, если в сеть попадает вирус, то он начинает заражать все компьютеры одновременно. На всех начинается шифрование. Поэтому если у вас зашифрован один компьютер, то, скорее всего, зашифрованы и все остальные, даже если сообщение еще и не появилось на экране.

Пока говорить о какой-то возможной расшифровке документов очень рано. Если это и удастся сделать, то на это уйдут как минимум недели или даже месяцы. И есть большая вероятность того, что расшифровать вообще не удастся. Только в случае, если злоумышленники допустили какую-то ошибку в написании троянской программы, не учли какие-то моменты, расшифровать информацию удастся. Если же все было написано качественно, то данные окажутся потерянными.

Поэтому надежды только на резервную копию информации. Или заново запустить и настроить систему, чтобы попытаться запустить производственные процессы достаточно быстро.

- Разве на таких крупных предприятиях информация может не дублироваться?

- В принципе, должна, но везде есть человеческий фактор. Поэтому сейчас задача состоит в том, чтобы в режиме реального времени разблокировать информационную систему.

- Это не прокол нашего СБУ или киберполиции? Или защищать от новых вирусов невозможно?

- Это действительно невозможно сделать, так как они включаются в процесс тогда, когда вирус уже появился. И сейчас как раз СБУ работает над тем, чтобы в ближайшее время дать рекомендации - что делать и как защищаться от подобных вирусов. Но тут нужно учесть, что СБУ не имеет права вмешиваться в работу большинства предприятий, таких как банки или "Укрэнерго", и давать им советы по безопасности.

- Какие-то общие рекомендации есть, чтобы в дальнейшем избежать заражения подобными вирусами?

- По предыдущей практике WannaCry мы знаем, что используется транспортный протокол NetBios. Обычно этот протокол применяется для взаимодействия между компьютерами внутри локальной сети. Но его можно и не использовать. Если сейчас подтвердится, что новый троянец использует тот же транспортный протокол, то это ставит под сомнение использование его в принципе и есть смысл использовать другой транспортный протокол внутри локальных сетей. То есть на данный момент проблема решается тем, что в брандмауэрах (Firewall) на локальных компьютерах и на сетевом оборудовании нужно заблокировать порты, обслуживающие NetBios протокол. Это TCP/IP порты 135, 139 и 445. При блокировке этих портов распространение троянской программы в локальной сети через уязвимость станет невозможным. Но при этом не будет работать также и внутренний обмен информацией путем доступа к сетевым папкам и сетевым дискам. При этом пользователи смогут ходить в Интернет, переписываться в мессенджерах, проверять электронную почту и так далее.

- Я видела в сети информацию, что нужно использовать не Windows, а Linux.

- Не все пользователи знают, но после предыдущей атаки WannaCry оказалось, что эта же уязвимость присутствует и в Linux-ситемах и была волна взломов и Linux-систем с использованием того же эксплойта. Понятно, что троянская программа была другая и механизмы взлома были другими, но уязвимость использовалась та же. То есть если речь идет о том, что все государство массово перейдет на другую операционную систему, это частично проблему решит. Мы уйдем от уязвимостей Windows, но перед нами станет другая проблема - уже уязвимостей Linux.

Татьяна Галковская для Цензор.НЕТ
Коментувати
Сортувати:
у вигляді дерева
за датою
за ім’ям користувача
за рейтингом
 
 
 
 
 
 вгору