NotPetya - najbardziej niszczycielski cyberatak w historii
NotPetya - analiza cyberataku z 2017 roku, który spowodował straty przekraczające 10 miliardów dolarów. Supply chain przez M.E.Doc, historia odbudowy Maersk, atrybucja Sandworm/GRU.
27 czerwca 2017 roku. Dzień Konstytucji Ukrainy. W kijowskich biurach pracownicy kończą ostatnie sprawy przed świętem. Na tysiącach komputerów odpala się rutynowa aktualizacja programu księgowego M.E.Doc - oprogramowania, którego używa praktycznie każda firma rozliczająca się z ukraińskim fiskusem. Aktualizacja trwa kilka sekund. Potem ekrany zaczynają gasnąć.
Nie tylko na Ukrainie. W ciągu godziny czarne ekrany z komunikatem o żądaniu okupu pojawiają się w kopenhaskiej centrali Maersk - największego operatora kontenerowego na świecie. W laboratoriach farmaceutycznego giganta Merck w New Jersey. W fabrykach francuskiego Saint-Gobain. W centrali logistycznej TNT Express w Holandii. W zakładach Mondelez, producenta czekolady Cadbury. Nawet w rosyjskim Rosnefcie - co jest o tyle ironiczne, że za atakiem stoi rosyjski wywiad wojskowy.
To NotPetya. Nie wirus. Nie ransomware. Cyberbroń, która wymknęła się spod kontroli i spowodowała straty przekraczające 10 miliardów dolarów - najwięcej w historii pojedynczego cyberataku.
Fałszywa aktualizacja - anatomia ataku supply chain
Aby zrozumieć NotPetya, trzeba najpierw zrozumieć M.E.Doc.
M.E.Doc (skrót od “Moje Elektroniczne Dokumenty”) to ukraiński program do sprawozdawczości podatkowej, rozwijany przez niewielką firmę Linkos Group z siedzibą w Kijowie. Program nie był opcjonalny - ukraińskie prawo wymagało jego stosowania do składania deklaracji podatkowych w formie elektronicznej. Każda firma prowadząca działalność na Ukrainie musiała go mieć. To oznaczało setki tysięcy instalacji, od małych sklepów po oddziały międzynarodowych korporacji.
Grupa Sandworm - jednostka 74455 rosyjskiego Głównego Zarządu Wywiadowczego (GRU) - przejęła kontrolę nad serwerami aktualizacji Linkos Group na początku 2017 roku. Przez kilka miesięcy testowali dostęp, przeprowadzając mniejsze ataki (w tym kampanię z wirusem XData w maju). 27 czerwca uruchomili właściwy ładunek.
Mechanizm był prosty i przez to genialny. Serwer aktualizacji M.E.Doc rozesłał do wszystkich klientów paczkę zawierającą backdoor. Programy automatycznie pobrały i zainstalowały aktualizację. W momencie uruchomienia NotPetya uzyskał przyczółek w sieci ofiary - z uprawnieniami, jakie miał proces aktualizacji.
Dalej robak działał już sam, wykorzystując dwa mechanizmy propagacji:
- EternalBlue - exploit opracowany przez amerykańską NSA, wykradziony i opublikowany przez grupę Shadow Brokers w kwietniu 2017 roku. Wykorzystywał lukę w protokole SMB systemu Windows (MS17-010), umożliwiając zdalne wykonanie kodu bez interakcji użytkownika.
- Mimikatz - zmodyfikowana wersja narzędzia do ekstrakcji poświadczeń z pamięci Windows. NotPetya wyciągał hasła i tokeny z zainfekowanej maszyny, a następnie używał ich do uwierzytelniania się na kolejnych komputerach w sieci za pomocą WMIC i PsExec.
Połączenie tych dwóch wektorów dawało efekt kaskady. EternalBlue łamał maszyny bez aktualnych łatek. Mimikatz przejmował poświadczenia administratorów domenowych i rozprzestrzeniał się na maszyny załatane, ale ufające uwierzytelnionym użytkownikom. W płaskiej sieci korporacyjnej - a większość sieci w 2017 roku była płaska - NotPetya potrzebował minut, nie godzin, aby dotrzeć do każdego komputera.
Wiper w przebraniu - dlaczego odzyskanie danych było niemożliwe
Na ekranach zainfekowanych komputerów pojawił się komunikat wzorowany na ransomware Petya: żądanie zapłaty 300 dolarów w Bitcoinie na wskazany adres portfela. Podano nawet adres e-mail do kontaktu. Wyglądało to jak klasyczne ransomware.
Ale NotPetya nie był ransomware. Był wiperem - narzędziem do nieodwracalnego niszczenia danych, zamaskowanym jako ransomware dla zmylenia ofiar i analityków.
Analitycy Kaspersky Lab szybko zidentyfikowali kluczową różnicę. W prawdziwym ransomware Petya każda ofiara otrzymywała unikalny identyfikator instalacji, powiązany z kluczem szyfrowania. W NotPetya identyfikator wyświetlany na ekranie był losowym ciągiem znaków - nie miał żadnego związku z kluczem użytym do zaszyfrowania dysku. Nawet gdyby ofiara zapłaciła okup, nawet gdyby atakujący chcieli odszyfrować dane - nie mogli tego zrobić. Klucz deszyfrujący po prostu nie istniał.
NotPetya nadpisywał Master Boot Record dysku twardego i szyfrował tablicę plików (MFT). System Windows przestawał się uruchamiać. Dane na dysku stawały się niedostępne. Nieodwracalnie. To nie był atak motywowany finansowo. To było narzędzie destrukcji.
Maersk - jak zgasły ekrany w porcie
A.P. Moller-Maersk, duńska grupa transportowa, operowała w 2017 roku flotą ponad 800 statków. Jej terminale kontenerowe obsługiwały 76 portów na całym świecie. Firma odpowiadała za niemal jedną piątą globalnego transportu kontenerowego. Każdego dnia przez systemy Maersk przechodziły informacje o dziesiątkach tysięcy kontenerów - skąd płyną, dokąd zmierzają, co zawierają, kto za nie płaci.
27 czerwca, w ciągu kilku minut od pierwszej infekcji, NotPetya rozprzestrzenił się po całej sieci korporacyjnej Maersk. Pracownicy w biurach na całym świecie obserwowali to samo - komputery restartowały się i wyświetlały ekran z żądaniem okupu. W kopenhaskiej centrali ktoś krzyczał przez korytarz: “wyciągajcie kable z gniazdek!”. Było za późno.
Skala zniszczeń, jaką Maersk odkrył w następnych godzinach, była bezprecedensowa:
- 45 000 komputerów - zniszczonych, wymagających pełnej reinstalacji
- 4 000 serwerów - zniszczonych
- 2 500 aplikacji - wymagających ponownego wdrożenia
- 600 lokalizacji biurowych na całym świecie - dotkniętych atakiem
Firma, która codziennie przenosiła towary o wartości miliardów dolarów, cofnęła się do epoki sprzed komputerów. W portach zaczęto prowadzić ewidencję kontenerów na papierze. Kierowcy ciężarówek stawali w wielokilometrowych kolejkach, bo nikt nie mógł potwierdzić elektronicznie, który kontener mają zabrać. Statki wpływały do portów, ale nikt nie wiedział, co jest na pokładzie.
Przez dziesięć dni Maersk nie mógł przyjmować nowych zleceń transportowych. Firma, przez którą przepływało 20% światowego handlu kontenerowego, stała sparaliżowana.
Kontroler domeny z Ghany - jak awaria prądu uratowała globalną korporację
Kiedy zespoły IT Maersk zaczęły oceniać skalę katastrofy, dotarły do przerażającego wniosku. NotPetya zniszczył wszystkie kontrolery domeny Active Directory - serwery, które stanowią kręgosłup każdej sieci korporacyjnej opartej na Windows. Kontroler domeny to centralny rejestr: przechowuje informacje o każdym użytkowniku, każdym komputerze, każdym uprawnieniu w organizacji. Bez niego nie da się odbudować sieci. Nie da się przypisać uprawnień. Nie da się zweryfikować, kto jest kim.
Maersk miał około 150 kontrolerów domeny rozsianych po całym świecie. Wszystkie synchronizowały się ze sobą. Kiedy NotPetya zainfekował jednego, zainfekował wszystkie. Kopie zapasowe serwerów sprzed trzech do siedmiu dni udało się odtworzyć - ale kopii kontrolerów domeny nie było nigdzie. Żadna procedura backupowa nie zakładała scenariusza, w którym wszystkie kontrolery domeny na świecie padną jednocześnie. Nikt nigdy takiego scenariusza nie rozważał.
I wtedy, w trakcie gorączkowych poszukiwań, przyszła wiadomość z Akry w Ghanie.
W tamtejszym biurze Maersk stał jeden kontroler domeny. Zwykły serwer w niewielkim biurze na zachodnim wybrzeżu Afryki. W momencie ataku - 27 czerwca, popołudniu czasu środkowoeuropejskiego - w Akrze była awaria prądu. Serwer wyłączył się zanim NotPetya zdążył do niego dotrzeć. Kiedy prąd wrócił, serwer uruchomił się z nienaruszonymi danymi - jedyną zachowaną kopią struktury Active Directory całej globalnej sieci Maersk.
Jeden serwer. W jednym biurze. Na jednym kontynencie. Uratowany przez awarię prądu.
Natychmiast zorganizowano operację ewakuacji dysku twardego. Pracownik z biura w Ghanie poleciał do Lagos w Nigerii, skąd dysk został przetransportowany do Wielkiej Brytanii, gdzie Maersk uruchomił centrum awaryjnego odtwarzania. Setki specjalistów IT pracowało tam w trybie 24/7.
Odbudowa trwała dziesięć dni. W warunkach normalnych reinstalacja infrastruktury tej skali zajęłaby sześć miesięcy. Maersk zrobił to w dziesięć dni - kosztem heroicznego wysiłku setek ludzi, którzy spali na materacach w biurach i jedli pizzę na śniadanie, obiad i kolację.
Łączny koszt ataku dla Maersk oszacowano na 250-300 milionów dolarów.
Chronologia wydarzeń
| Data | Wydarzenie |
|---|---|
| Początek 2017 | Sandworm przejmuje kontrolę nad serwerami aktualizacji M.E.Doc |
| 18 maja 2017 | Atak testowy z użyciem ransomware XData przez kanał M.E.Doc |
| 27 czerwca 2017, rano | Serwer aktualizacji M.E.Doc rozsyła zainfekowaną paczkę do klientów |
| 27 czerwca, 10:30 UTC | Pierwsze raporty o masowych infekcjach na Ukrainie |
| 27 czerwca, 11:00-12:00 UTC | NotPetya rozprzestrzenia się globalnie - Maersk, Merck, Saint-Gobain, TNT Express, Mondelez |
| 27 czerwca, popołudnie | Ekrany gasną w 600 biurach Maersk na całym świecie |
| 28 czerwca | Kaspersky Lab publikuje analizę: NotPetya to wiper, nie ransomware |
| 29 czerwca - 7 lipca | Maersk odbudowuje infrastrukturę z kontrolera domeny z Ghany |
| Lipiec 2017 | Firma ESET publikuje dowody na kompromitację serwerów M.E.Doc |
| Luty 2018 | USA, Wielka Brytania, Australia i Kanada oficjalnie przypisują atak Rosji |
| Październik 2020 | Departament Sprawiedliwości USA stawia zarzuty sześciu oficerom GRU |
10 miliardów dolarów strat - kto zapłacił rachunek
Biały Dom oszacował globalne straty spowodowane przez NotPetya na ponad 10 miliardów dolarów. To czyni go najkosztowniejszym cyberatakiem w historii.
| Firma | Branża | Szacowane straty |
|---|---|---|
| Merck | Farmacja | 870 mln USD |
| FedEx / TNT Express | Logistyka | 400 mln USD |
| Saint-Gobain | Budownictwo | 384 mln USD |
| Maersk | Transport morski | 250-300 mln USD |
| Mondelez | FMCG | 150+ mln USD |
| Reckitt Benckiser | FMCG | 129 mln USD |
| Rosneft | Energetyka | Nieujawnione |
Ukraina poniosła najcięższe straty - około 80% wszystkich infekcji miało miejsce w tym kraju. Ucierpiały banki, ministerstwa, lotniska, metro kijowskie, operator energetyczny Ukrenergo i strefa monitoringu wokół elektrowni w Czarnobylu.
Atrybucja - Sandworm i rosyjski wywiad wojskowy
15 lutego 2018 roku rządy Stanów Zjednoczonych, Wielkiej Brytanii, Australii i Kanady wspólnie przypisały atak NotPetya rosyjskiemu wywiadowi wojskowemu (GRU). Był to jeden z najszerszych i najbardziej jednoznacznych aktów publicznej atrybucji cyberataku w historii.
19 października 2020 roku Departament Sprawiedliwości USA postawił formalne zarzuty sześciu oficerom Jednostki 74455 GRU, znanej jako Sandworm Team:
- Jurij Andriejenko (32 l.)
- Siergiej Dietistow (35 l.)
- Pawieł Frołow (28 l.)
- Anatolij Kowalew (29 l.)
- Artiom Ocziczenko (27 l.)
- Piotr Pliskin (32 l.)
Akt oskarżenia obejmował nie tylko NotPetya, ale także ataki na ukraińską sieć energetyczną (2015-2016), sabotaż Zimowych Igrzysk Olimpijskich w Pjongczangu (Olympic Destroyer, 2018) oraz kampanie wymierzone w gruzińskie instytucje rządowe. Departament Sprawiedliwości określił działania tej grupy jako “najbardziej destrukcyjną i kosztowną serię cyberataków, jaką kiedykolwiek przypisano pojedynczej grupie”.
Żaden z oskarżonych nie został aresztowany. Wszyscy przebywają w Rosji.
Lekcje dla współczesnego bezpieczeństwa
1. Łańcuch dostaw to wektor ataku
NotPetya dotarł do ofiar przez zaufany kanał - mechanizm aktualizacji oprogramowania, które firmy musiały mieć zainstalowane. Ten sam wzorzec powtórzył się potem w ataku SolarWinds (2020), Kaseya (2021) i 3CX (2023). Weryfikacja integralności oprogramowania i jego aktualizacji na każdym etapie łańcucha dostaw to wymóg, a nie opcja.
2. Segmentacja sieci ratuje organizacje
NotPetya rozprzestrzeniał się błyskawicznie w płaskich sieciach korporacyjnych, gdzie jedno skompromitowane konto administratora dawało dostęp do wszystkiego. Prawidłowa segmentacja sieci - wydzielenie stref i korytarzy zgodnie z IEC 62443, ograniczenie ruchu lateralnego, zasada minimalnych uprawnień - to fundamentalna bariera, która spowalnia lub zatrzymuje propagację tego typu ataków.
3. Kopie zapasowe muszą być offline
Maersk uratował przypadek - awaria prądu w Ghanie. Ale to nie powinien być model odzyskiwania po katastrofie. Kopie zapasowe krytycznych systemów - w szczególności kontrolerów domeny Active Directory - muszą istnieć w formie offline, odizolowanej od sieci produkcyjnej. Ransomware i wipery celują w kopie zapasowe tak samo jak w systemy produkcyjne.
4. Łatanie luk to nie opcja, to higiena
NotPetya wykorzystywał exploit EternalBlue na lukę MS17-010, na którą Microsoft wydał łatkę dwa miesiące wcześniej (marzec 2017). Firmy, które zainstalowały poprawkę, były odporne na ten wektor. Firmy, które tego nie zrobiły - w tym Maersk - zapłaciły za to setki milionów dolarów.
5. To, co wygląda jak ransomware, nie musi nim być
NotPetya wyglądał jak ransomware. Żądał okupu. Podawał adres portfela Bitcoin. Ale był narzędziem destrukcji bez możliwości odwrócenia. Organizacje muszą traktować każdy incydent jak potencjalny atak destrukcyjny, a nie zakładać, że zapłacenie okupu rozwiąże problem.
Podsumowanie
NotPetya zaczął się jako operacja rosyjskiego wywiadu wojskowego wymierzona w Ukrainę. Skończył jako najkosztowniejszy cyberatak w historii, który sparaliżował globalne łańcuchy dostaw, zamroził porty na pięciu kontynentach i udowodnił, że jedno skompromitowane narzędzie do aktualizacji może wyrządzić szkody przekraczające 10 miliardów dolarów.
Historia kontrolera domeny z Ghany - jedynej kopii, która przetrwała, bo akurat wyłączył się prąd - to nie anegdota. To ostrzeżenie. Maersk, firma warta miliardy, globalne imperium logistyczne, zawdzięcza ciągłość działania przypadkowej awarii zasilania w zachodniej Afryce. Żadna organizacja nie powinna opierać swojego planu ciągłości działania na szczęściu.
Źródła
- NotPetya - Wikipedia
- Maersk Reinstalled 45,000 PCs and 4,000 Servers to Recover From NotPetya Attack - Bleeping Computer
- Rebuilding after NotPetya: How Maersk moved forward - CSO Online
- ExPetr/Petya/NotPetya is a Wiper, Not Ransomware - Kaspersky Securelist
- US indicts Russian GRU Sandworm hackers for NotPetya - Bleeping Computer
- DOJ Charges 6 Sandworm APT Members in NotPetya Cyberattacks - Threatpost
- How Ghana Saved a Global Conglomerate from a Cyberattack - Phishing for Answers
- Inside a Domain Controller Nightmare - Redmondmag.com
- IT heroes saved Maersk from NotPetya with ten-day reinstallation blitz - The Register
- Petya Ransomware advisory - CISA