O virusu NotPetya še manj jasnega
Matej Huš
7. jul 2017 ob 08:40:36
Pisci zadnjega virusa, ki je v Ukrajini in številnih ostalih državah povzročilo obilico škode in zmede, so ponovno premešali karte in sedaj zahtevajo odkupnino. Sprva je kazalo, da je virus še en v vrsti izsiljevalskih virusov, a je kasneje postalo jasno, da je to zgolj krinka in da virus v glavnem uničuje podatke - odtod tudi najnovejše poimenovanje NotPetya. Čeprav je virus zahteval odkupnino, plačilo žrtvam ni pomagalo. V Ukrajini se medtem klobčič odvija in kaže na veliko malomarnost piscev legitimnega računovodskega programa, ki so ga hekerji uporabili kot vektor za širjenje napada.
Nekaj denarja se je napadalcem vseeno nabralo, saj so pisci virusa iz denarnice, kamor so pričakovali vplačala, uspeli prestaviti za 10.000 dolarjev bitcoinov in manjši del nakazati DeepPaste in Pastebinu. Tik pred tem pa so na DeepPaste (dosegljiva izključno prek Tora) in Pastebinu objavili sporočilo, v katerem so spet zahtevali odkupnino v zameno za izročitev zasebnega ključa. Zahtevali so 100 bitcoinov, kar je približno 250.000 dolarjev, v zameno pa bi izročili ključ, s katerim bi lahko odklenili vse zašifrirane datoteke.
Okuženih računalnikov s tem sicer ne bi mogli spraviti v delujoče stanje, ker je virus prepisal zagonske sektorje, lahko pa bi rešili posamezne datoteke. Ni še mogoče reči, ali je bila ponudba avtentična, ker ni vsebovala denarnice za nakazilo bitcoinov, temveč le usmeritev na pogovor v darknetu, kjer bi se dogovorili o podrobnostih. Tam so dejansko odgovarjali ljudje, ki so trdili, da stojijo za NotPetyo. Ker pa niso mogli (ali želeli) odšifrirati datoteke, ki so jim jo posredovali novinarji Motheboarda, so njihove trditve na trhlih nogah. Še vedno ostaja neodgovorjeno glavno vprašanje - ali je bil namen virusa ohromiti Ukrajino ali zaslužiti kaj denarja?
Medtem pa se v Ukrajini borijo še z enim napadom, kar tehtnico nagiba v smer razlage, da gre poizkuse destabilizacije države. Ukrajinsko podjetje, ki izdeluje računovodski program, prek katerega se je razširila NotPetya, so sporočili, da so računalniki na istem omrežju kot katerikoli računalnik, ki uporablja njihovo programsko opremo M.E.Doc, spet ranljivi za napad. M.E.Doc uporablja več kot 80 odstotkov ukrajinskih podjetij, tako da je nameščen na milijonu računalnikov. Policija je dejala, da so drugi napad za zdaj uspešno preprečili. Kot kaže, strežniki, kamor se povezuje M.E.Doc, niso bili posodobljeni že od leta 2013, program pa je poln hroščev in lukenj. Napadalci so pridobili dostop do strežnikov in izvorne kode programa in vanj podtaknili stranska vrata, ki so jih izrabili za napad.
Ukrajinska policija je ta teden preiskala prostore proizvajalcev M.E.Doc in vsem priporočila, da programa ne uporabljajo več. Odgovornim v podjetju grozi pregon, ker so vedeli, da so njihovi strežniki nezaščiteni, a niso ukrepali.