Септември, 2018 г.
Автор: Анди Грийнбергбай/ANDY GREENBERGBY
Превод(със съкращения) – Стела Михайлова

Едва 5 дни след като Facebоok беше жертва на хакерска атака и около 50 млн. профила са били изложени на заплаха, връщаме се, благодарение на сп. Wired, на една от най-запомнящите се кибератаки в историята.

Разказът индиректно показва и профила на медията – колко всъщност трудно е да сглобиш история, която се покрива, и никой не иска да говори за нея официално.

Как един междудържавен кибер конфликт може да се разпространи за минути и да блокира целия свят.

 

Повредени пристанища. Парализирани корпорации. Замразени държавни агенции. Как едно парче код срути света

Беше идеален слънчев летен следобед в Копенхаген, когато най-големият корабостроителен конгломерат в света започна да губи контрол.

Седалището на А.П. Мьолер-Мерск (A.P. Møller-Maersk, за кратко в текста компанията се нарича „Мерск“ – б.р.) се намира до прохладнoто калдъръменo пристанище в Копенхаген. Мостикът на кораба, носещ датското знаме, е закотвен от североизточния ъгъл на сградата, а шестте етажа от сини тонирани прозорци гледат над водата, обърнати към пристанището, където датското кралско семейство паркира своята яхта. В сувенирния магазин се помещава и център за техническа помощ, бюро с екип от програмисти за отстраняване на неизправности. В следобеда на 27 юни 2017 г. объркани служители на компанията започнаха да се събират на това бюро за помощ заедно с лаптопите си. На екрана на машините имаше съобщения в червено и черно. Някои гласят: „Поправяне на файловата система на C:“ с предупреждение да не се изключва компютърът. Други, по-сюрреалистично, звучат така: „Ооо, вашите важни файлове са криптирани!“ и се искат 300 долара, за да се декриптират.

Четете още: Копи/пейст: Защо фашизмът е толкова привлекателен и как развитието на технологиите му помогна

От другата страна на улицата, IT администраторът Хенрик Йенсен работи в друга част от комплекса Мерск, красива сграда от бял камък, която преди няколко века служила като кралски архив на морски карти и графики. (Като Хенрик Йенсен не е истинското му име, подобно на почти всеки служител на Мерск, клиент или партньор, който интервюирах, Йенсен се страхуваше от последиците от публичното изказване.) Йенсен беше зает да подготвя софтуерна актуализация за близо 80 000 служители на компанията, до момента, в който компютърът му се рестартира сам.


View this post on Instagram

#petya #notpetya #malware #cybersecurity #security #cybernews #wannacry #hacking #privacy

A post shared by HackRead.com (@hackread) on

    Той затаи дъх. Йенсен реши, че непланираното рестартиране изглежда като типично грубо вмешателство от централния IT отдел на Мерск, малка фирма в Англия, която ръководеше по-голямата част от империята, чиито бизнес единици варираха от пристанища, през логистика до нефтено сондиране, в 574 офиса и 130 страни по целия свят. Йенсен вдигна очи, за да попита дали някой друг в офиса е бил толкова внезапно прекъснат. И когато той повдигна глава, за да се огледа, видя как всички екрани в стаята мигат бързо. Из щабквартирата на Мерск започват да стават ясни пълните мащаби на кризата. В рамките на половин час служителите тичат по коридорите, крещейки на колегите си да изключат компютрите или да ги изключат от мрежата на Мерск преди злонамереният софтуер да ги зарази. Техническите работници се разпръсват по конферентните зали, а машините биват изключени в средата на срещите. По време на този процес на всеки служител е било наредено да изключи компютъра си и да го остави на бюрото. Цифровите телефони също са изключени чрез централно аварийното спиране. Около 15:00 ч. ръководител на Мерск влиза в стаята, където Йенсен и около дузина от колегите му с нетърпение очакват новини. Казват им да се приберат вкъщи.

Мрежата е толкова дълбоко повредена, че дори програмистите са безпомощни.

 

Йенсен излезе от сградата и се потопи в топлия въздух на юнския следобед. Подобно на по-голямата част от персонала на Мерск, нямаше представа кога може да се върне на работа. Морският гигант, за когото работи, отговаря за 76 пристанища по всички краища на Земята и за близо 800 кораба, включително контейнеровози, превозващи десетки милиони тонове товари, представляващи близо една пета от корабен капацитет на целия свят … И сега този гигант беше блокирал. На края на модерния квартал Подил в украинската столица Киев, кафенетата и парковете рязко се изпаряват, заместени от мрачен промишлен пейзаж. Под надлеза на магистралата, през няколко железопътни линии и през една порта се намира четириетажната щабквартира на Линкос груп, малък украински софтуерен бизнес, ръководен от едно семейство. На третия етаж са поместени сървърите, свързани с дебел сноп кабели, маркирани с ръчно изписани етикети. В обикновен ден тези сървъри правят рутинни актуализации – корекции на програмни грешки, кръпки на сигурността, въвеждане на нови функции за счетоводния софтуер, наречен M.E.Doc, който е повече или по-малко еквивалентен на TurboTax или Quicken, но е за Украйна. Той се използва от почти всеки, който внася данъци или извършва бизнес в страната. Но за момент през 2017 г. тези машини служат като основа за най-опустошителната кибератака от изобретяването на интернет насам – aтака, която поне започва, като нападение на една държава срещу друга. В продължение на няколко години Украйна е намесена в недекларирана война с Русия, в която загиват повече от 10 000 украинци, а още милиони са разселени. Страната се превърна в терен за тестване на руските кибер тактики. През 2015 г. и 2016 г., докато хакерите, свързани с Кремъл, известни като Fancy Bear, бяха заети да пробиват в сървърите на Демократичния национален комитет на САЩ, друга група от агенти, известни като Sandworm, нахлуват в десетки украински правителствени организации и компании. Жертвите им варират от медии до железопътни фирми, чиито терабайти данни са напълно унищожени. Саботьорите разгръщат възможностите си, причинявайки мащабни прекъсвания на електрозахранването – първите потвърдени сривове, причинени от хакери. През пролетта на 2017 г. са използвани неизвестните Линкос Груп. Руски военни хакери проникват в сървърите на компанията, за да си осигурят скрита задна вратичка към хиляди компютри в страната и света, на които е инсталиран M.E.Doc. През юни 2017 г. саботьорите използват тази вратичка, за да пуснат злонамерения софтуер, наречен “НеПетя” (рус. “НетПетя” – англ. NotPetya), най-успешното им кибер-оръжие.

„Към днешна дата това беше най-бързо разпространеният вирусен софтуер, който някога сме виждали“, казва Крейг Уилямс, директор на информационната мрежа на Cisco, една от първите компании за сигурност, които анализират „NotPetya“. “Дoкато се усетите, данните ви вече са изчезнали.” „NotPetya е осъществена благодарение на двe мощни хакерски средства, работещи в тандем: eдиният е инструмент за проникване, известен като EternalBlue, създаден от Агенцията за национална сигурност на САЩ, но оказал се в катастрофално нарушение на топ секретните файлове на агенцията по-рано през 2017 г. EternalBlue се възползва от уязвимостта на конкретен протокол на Windows, който позволява на хакерите дистанционно управление на кода на всяка незащитена машина.

Преди „НеПетя“, Microsoft пуска решение за защита за тази уязвимост. Но EternalBlue и Mimikatz заедно правят непобедима комбинация. „Можете да заразите компютрите, които не са защитени, и след това можете да вземете паролите от тези компютри, за да заразите други компютри, които са свързани“, казва Делпи.

„НетПетя“ получава името си заради приликата с Петя (Petya), част от незаконен код, излязъл в началото на 2016 г., целящ изнудване на жертвите да платят за ключ, за да отключат блокираните си файлове. Но съобщенията за т.нар. откуп на „НеПетя“ бяха само проформa: целта на зловредния софтуер е чисто разрушителна. Той необратимо кодира главните записи на компютрите, които им казват къде да намерят собствената си операционна система. Всеки опит за откуп, който жертвите се опитват да платят, е безполезен. Дори не съществува ключ за пренареждане на съдържанието на компютъра.

Целта на оръжието беше Украйна. Но радиусът на атаката е целият свят.

Активирането на „НеПетя“ е акт на кибервойна почти по всяка дефиниция – по-агресивна, отколкото дори нейните създатели са имали намерение. В рамките на часове от първото си появяване, червеят се спуска отвъд Украйна и заразява безброй машини по целия свят, от болници в Пенсилвания до шоколадова фабрика в Тасмания. Атаката осакатява мултинационални компании, включително Мерск, фармацевтичния гигант Merck, европейското дъщерно дружество на FedEx – TNT Express, френската строителна компания Saint-Gobain, производителя на храни Mondelēz и Reckitt Benckiser. 

Стига и до Русия, като поразява държавната петролна компания Роснефт. Резултатът е повече от 10 милиарда долара общо щети, според оценка на Белия дом, потвърдена за WIRED от бившия съветник по въпросите на вътрешната сигурност Том Босърт. Той, както и американските разузнавателни агенции, потвърждават през февруари, че руската армия – основният заподозрян в кибервойната, насочена срещу Украйна – е отговорна за стартирането на зловредния код. (Руското външно министерство отказа да отговори на многократните искания за коментар.)

За да добиете представа за размера на щетите, помислете за кошмарната, но по-типична атака, която парализира градската администрация на Атланта през март, 2016 г.: струва на държавата към 10 млн. долара, една десета от цената на „NotPetya. Дори вредата от WannaCry, по-известният червей, който се разпространява месец преди „NotPetya“ през май 2017 г., се оценява между 4 и 8 млрд. долара. „Въпреки че няма загубен живот, това е еквивалентът на използването на ядрена бомба за постигане на малка тактическа победа“, казва Босърт. „Това е степен на безразсъдство, която не можем да търпим на световната сцена.“

През годината, в която „НеПетя“ разтърси света, WIRED се впусна в живота на един корпоративен Голиат, поставен на колене от руския червей: Мьолер – Мерск, чиято тежка съдба демонстрира опасността, която кибервоюването поставя пред инфраструктурата на съвременния свят. Ръководителите на корабоплавателния гигант, както и всички други не-украински жертви, с които изданието се свърза за „НеПетя“, отказват да коментират по официалния ред тази история. Вместо това, изданието събира настоящи и бивши кадри от Мерск, много от които избират да останат анонимни. Но историята на „NotPetya“ не е за една компания, или дори за една Украйна. Това е историята на военнотo оръжие, пуснато в среда, в която националните граници нямат значение.

Алекси Ясински очаква спокоен вторник в офиса. Денят е национален празник на Конституцията на Украйна – повечето от неговите колеги са във ваканция. Но не и Ясински. През изминалата година той е шеф на кибер лаборатория в Information Systems Security Partners – ISSP. Тази длъжностна характеристика не позволява дълго прекъсване. След първите удари на руснаците в края на 2015 г., той всъщност си е позволил общо една седмица отпуск.

Ясински беше неспокоен, когато получи обаждане от директора на ISSP, който му съобщи, че „Ошадбанк“, втората по големина банка в Украйна, е била атакувана. От банката съобщават, че системата им е заразена, което е все по-често срещана криза за компании от целия свят. Но когато Ясински влиза в централния офис в Киев половин час по-късно, вече може да каже, че това е нещо невиждано. „Персоналът беше объркан, в шок“, казва Ясински. Около 90% от хилядите компютри на банката са заключени, показващи съобщенията на „НеПетя“ за ремонтиране на дискове и екрани, които търсят откуп. След бърз преглед на оцелялата информация, Ясински вижда, че атаката е от автоматизиран червей, който някакси е получил пълномощията на администратора. След като анализира положението на банката, Ясински започва да получава обаждания и съобщения от хора из Украйна, които му разказват за подобни случаи в други компании и правителствени агенции. Единият му казва, че друга жертва се е опитала да плати откупа. Както подозира Ясински, плащането няма ефект. Това не e обикновен вирус. „Нямаше сребърен куршум за това, няма антидот“, казва той.

„НеПетя“ в цифри загуби:

 

$ 870 милиона – Фармацевтична компания „Мерк“

 

$ 400 милиона – FedEx (чрез европейското дъщерно дружество TNT Express)

 

$ 384 милиона – Френската строителна компания Saint-Gobain

 

$ 300 милиона – Датската корабна компания Maersk

 

$ 188 милиона – Mondelēz (компания-майка на Nabisco и Cadbury)

 

$ 129 милиона – Британският производител Reckitt Benckiser (собственик на презервативите Lysol и Durex)

 

Общо щети – 10 милиарда долара

 

(по данни на Белия дом)

 

На около хиляда мили на юг, изпълнителният директор на ISSP Роман Солоуб се опитва да се наслаждава на ваканцията си на южното крайбрежие на Турция, като се готви да се отправи към плажа със семейството си. Но и неговият телефон също прегрява от обаждания от клиенти, които следяха случващото се с „NotPetya“ и трескаво търсеха съвет. Солоуб се оттегли в хотела си, където през останалата част от деня щеше да проведе повече от 50 разговора с клиенти, съобщаващи един след друг, че техните мрежи са били заразени. Центърът за операционна сигурност на ISSP, който наблюдаваше мрежата от клиенти в реално време, предупреди Солоуб, че „NotPetya“ превзема системите на жертвите с ужасяваща скорост: отне й 40 сек., за да свали мрежата на голямата украински банка. Част от един голям украински транзитен център, където ISSP инсталирал демо оборудване за тест, е напълно заразен за 16 сек. Укранерго, енергийната компания, на чиято мрежа ISSP помагаше да се възстанови след кибератаката през 2016 г., отново бе поразена. „Спомняте ли си, че щяхме да въвеждаме нови контролни механизми за сигурност?“, Солоуб си спомня въпроса на един разочарован IT директор на Укранерго. “Е, твърде е късно.” В национален мащаб, „NotPetya“ ще удари най-малко четири болници само в Киев, шест енергийни компании, две летища, повече от 22 украински банки, банкомати и картови разплащателни системи, както и практически всяка федерална агенция.

„Правителството беше мъртво“, обобщава украинският министър на инфраструктурата Владимир Омелян. Според ISSP най-малко 300 компании са били засегнати, а един старши украински държавен служител изчислява, че 10% от всички компютри в страната са били пометени. Атаката дори засяга компютрите, използвани от учените за почистване в Чернобил, на 60 мили северно от Киев.

 

Когато предприемачът Олех Деревианко излиза от ресторанта в ранната вечер, той спря да зареди колата си и установи, че системата за плащане с кредитни карти на бензиностанцията е блокирана от „NotPetya“. Без пари в джобовете си, той се чудеше дали има достатъчно гориво, за да стигне до дома си. В цялата страна украинците си задаваха сходни въпроси: дали имат достатъчно пари кеш за храна и газ, дали ще получат заплатите и пенсиите си, дали рецептите им за лекарства ще бъдат изпълнени. Докато външният свят все още обсъждаше, дали „NotPetya“ е просто хакерски код или е оръжие на държавно спонсорирана кибервойна, персоналът на ISSP вече гледаше на него като на нов феномен: „масивна, координирана кибер инвазия“. На фона на тази епидемия, една единствена инфекция ще стане особено съдбоносна за Мерск: в офиса в Одеса, пристанищен град на черноморското крайбрежие на Украйна. Финансов ръководител в Мерск е поискал от IT администраторите да инсталират счетоводния софтуер M.E.Doc. на един компютър. Това е дало на „NotPetya“ зелената светлина, от която се нуждае. Логистичният терминал в Елизабет, Ню Джърси – един от 76-те, които направляват пристанищните операции на Мерск, покрива цяла квадратна миля в залива Нюарк. Десетки хиляди натрупани, перфектно подредени транспортни контейнери покриват огромния пейзаж, заедно с високи сини кранове. В нормален ден пристигат около 3 000 камиона на терминала, всеки от които е натоварен да вземе или да достави десетки хиляди килограми от всичко – от памперси, през авокадо, до части за трактор. Те извършват този процес подобно на пътниците на авиокомпаниите, като се чекират на терминала, където скенерите автоматично сканират баркодовете на контейнера и служител на Мерск говори с водача на камиона чрез високоговорител. Шофьорът получава пропуск, на който пише къде да паркира, така че масивен кран да може да изкара контейнера от шасито на камиона в товарния двор, от където е натоварен на кораб и отплава през океана. Процесът се случва и в обратен ред, разбира се. На сутринта на 27 юни, Пабло Фернандес очаква десетки товари да бъдат изпратени от Елизабет до пристанище в Близкия изток. Фернандес е така нареченият частен спедитор – посредник, на когото собственици на товари плащат, за да се уверят, че имуществото им пристига безопасно. (Фернандес не е истинското му име.) Около 9 ч. сутринта в Ню Джърси, телефонът на Фернандес започва да вибрира с поредица от обаждания на разгневени клиенти. Всички те току-що бяха чули от шофьорите, че техните пратки са останали извън терминала на Мерск в Елизабет. Този терминал, ключовата точка за цялата работа на компанията, беше мъртъв.

Скоро стотици 18-колесни камиони са подредени в линия, която се простира на мили извън терминала. Но след няколко часа, без да има дума от Мерск, пристанищната администрация известява, че терминалът на компанията ще остане затворен за останалата част от деня.

Полицията започва да казва на шофьорите да обърнат и да се връщат, откъдето са дошли. Фернандес и безброй други партньори на Mерск се сблъскват с неприятни възможности: биха могли да се опитат да прехвърлят товарите си на други кораби с премийни такси в последната минута. Или, ако товарът им е част от стриктна схема за доставки, като компоненти за фабрично производство, прекъсването на системата може да означава експресна самолетна доставка или, в най-лошия случай, затрудняване на производствените процеси, в които един ден може да струва стотици хиляди долари.

Много от контейнерите, известни като резервоарни, са електрифицирани и пълни с бързо развалящи се стоки, които изискват охлаждане. Фернандес трябва да намери склад в Ню Джърси, където би могъл да прибере товара на клиентите си, докато чакат новини от Мерск.

През целия първи ден той получава само един официален имейл, който е според него „безсмислен” и не предлага истинско обяснение на нарастващата криза. Сайтът на компанията е свален и никой не вдига телефона си. Някои от контейнерите, които беше изпратил междувременно на корабите на Мерск, ще останат изгубени в складове и пристанища по целия свят в следващите три месеца.

“Мерск беше като черна дупка” – въздъхва Фернандес. -”Беше просто хаос.” Същата сцена се разиграва на 17 от 76-те терминала на Mерск, от Лос Анджелис до Алгесирас, Испания, oт Ротердам до Мумбай. Не е възможно да се правят нови заявки, като така се прекъсва основният източник на приходи. Компютрите на корабите не са заразени. Но софтуерът на терминалите, предназначен да получава данните от тези кораби, е напълно изтрит.

В следващите дни един от най-сложните механизми в света, които са в основата на кръвоносната система на глобална икономика, ще остане повредена. „Беше ясно, че този проблем е с магнитуд, който никога не е виждан по-рано в глобалния транспорт“, спомня си клиент на Mерск.

Няколко дни, след като екранът му беше почернял, Хенрик Йенсен е в апартамента си в Копенхаген и се наслжадава на закуската си. Откакто беше излязъл от офиса предишния вторник, той не беше чул нито дума от началниците му.

Тогава телефонът му иззвънява. Озовава се в конферентен разговор с трима служители на Мерск. Имат нужда от него в Мейдънхед, Англия, на запад от Лондон, където са базирани IT специалистите за глобалната фирмена мрежа. Казват му да зареже всичко и да отиде там. Веднага. Два часа по-късно Йенсен е в самолета към Лондон, после с кола стига до осеметажната сграда в центъра на Мейдънхед. Четвъртият и петият етаж на сградата са превърнати в център за спешни случаи. Неговата единствена цел е да възстанови глобалната мрежа на Mерск. Някои служители, научава Йенсен, са в центъра за възстановяване от вторник, когато „NotPetya“ нанесъл удара.

Някои спали в офиса, под бюрата си или в ъглите на конферентните зали. Други сякаш пристигат на всяка минута от всички части на света с багаж в ръка. Мерск бяха резервирали на практика всяка хотелска стая в рамките на десетки мили, всяка стая с легло и закуска.

Центърът за възстановяване в Мейдънхед се управлява от консултантска компания „Делойт“. Мерск дава на британската фирма празен чек, за да отстрани проблема с „NotPetya“, и 200 служители на Делойт са настанени в офиса заедно с 400 служители на Mерск. Цялото компютърно оборудване, използвано преди избухването на „NotPetya“, е конфискувано, поради опасения, че може да зарази новите системи. Закачени са и предупредителни табели със заплаха от дисциплинарни наказания срещу всеки, който използва стара техника по някаква причина. Служителите отиват във всеки магазин за електроника в града и купуват купчини нови лаптопи. Йенсен, подобно на стотици други iT служители в Mерск, получава един от тези нови лаптопи и му казават да си върши работата. „Много беше просто – намерете си ъгъл, хващайте се на работа, направете каквото трябва да бъде направено“.

 

 

 

View this post on Instagram

On average, a DNS attack costs $715,000 to organizations globally, up from $456,000 a year before, according to 2018 DNS Threat Report by EfficientIP. . 77% of the organizations were found subject to a DNS attack in 2018. The research shows that the average cost of damages caused by a DNS attack has increased by 57% over the previous year. The cost per attack varied country by country. For instance, cost per attack in France is $974,000, whereas it costs $654,000 to organization in North America. . DNS-based malware (36%) and Phishing (36%) are the most popular DNS threats in 2018, both of which have increased as compared to last year. . Further, the report revealed that all the industries are vulnerable to DNS attacks. The public sector takes the longest to mitigate an attack, while healthcare faces the highest cloud downtime. The telecom sector had the most sensitive customer information stolen, while it costed the highest to financial sector. . . Follow @dailyhostnews for latest news about #cloud #datacenter #cybersecurity and more. . . #dns #domainnamesystem #DNSattack #cyberattacks #datatheft #databreach #wannacry #notpetya #attack #security #cloudsecurity #malware #ransomware  #EfficientIP #DNSthreats #cyberthreats A post shared by DailyHostNews (@dailyhostnews) on

 

 

Ситуацията е много лоша. Специалистите намирaт резервни копия на почти всички индивидуални сървъри на Mерск, датиращи от три до седем дни преди появата на NotPetya. Но никой не може да намери резервно копие на един решаващ слой от мрежата: контролерите на домейна, които функционират като подробна карта на мрежата на Mерск и определят основните правомощия – кои потребители имат достъп до кои системи.

Домейн контролерите бяха програмирани да синхронизират данните помежду си, така че, теоретично, всеки от тях може да функционира като архив за всички останали. Но тази стратегия за децентрализирано архивиране не е отчела един сценарий, в който всички домейн контролери са изтрити едновременно. След неистово търсене, довело до обаждания на стотици администратори в центровете за данни навсякъде по света, накрая успяват да намерят един единствен оцелял домейн контролер в отдалечен офис – в Гана.

Непосредствено преди „NotPetya“ да удари, токов удар покосява контролера в Гана и компютърът остава несвързан с мрежата. По този начин, той съдържа единственото копие на данните на домейн контролерите, останало незасегнато от зловредния софтуер – всичко това благодарение на прекъсване на захранването.

Напрегнатите специалисти в Мейдънхед правят връзка с офиса в Гана, обаче трасето е толкова слабо, че ще отнеме дни, за да се прехвърлят стотиците гигабайти архиви във Великобритания. Следващата им идея е да качат служител от Гана на следващия самолет до Лондон. Но никой от служителите на Западна Африка няма британска виза. Стигна се до компромисен вариант: служител от офиса в Гана излита към Нигерия, за да се срещне с друг служител на Mерск на летището там и да предаде много ценния твърд диск. Вторият служител след това се качва на полет до летище Хийтроу, носейки ключа за възстановяването на Mерск. След завършването на тази спасителна операция, офисът в Мейдънхед може да вдигне основните онлайн услуги на компанията.

След няколко дни, пристанищните системи вече могат пак да сканират инвентарните файлове на корабите. Дори така минава повече от седмица преди терминалите по света да започнат да функционират с нормално темпо. Междувременно, служителите на Mерск работят както могат. Лепят хартиени документи за изпращане на контейнерите и приемат поръчки чрез лични профили в Gmail, WhatsApp и т.н.

„Мога да ви кажа, че това е доста странно преживяване – да резервирате 500 транспортни контейнера чрез WhatsApp … но това правихме“, казва клиент на Mерск.

Около две седмици след нападението, компанията най-накрая достига точка, в която може да започне да връща служебните компютри на по-голямата част от персонала. В щаба в Копенхаген, кафенето в сутерена на сградата се превръща в инсталационна поточна линия. Компютрите са подредени по 20 наведнъж на маси за хранене. Няколко дни след завръщането си от Мейдънхед, Хенрик Йенсен намира лаптопа си в купчина от стотици, чийто твърд диск е изтрит. Всичко, което той и всеки друг служител на Mерск е съхранявал локално на машината си – от бележки и контакти до семейни снимки, изчезва.

Пет месеца след като Мерск се възстановява от „NotPetya“, директорът Джим Снейб е на сцената на Световния икономически форум в Давос, Швейцария, и възхвалява „героичното усилие“ в спасителната операция. Той твърди, че на компанията са били необходими само 10 дни, за да възстанови цялата си мрежа от 4000 сървъра и 45 000 компютъра. (Процесът отнема много повече време: някои служители в Мейдънхед работят ден и нощ почти два месеца, за да възстановят настройките на софтуера).

„Преодоляхме проблема чрез човешката устойчивост“, казва Снейб на публиката. Той обаче не казва много за сигурността на компанията преди „NotPetya“. 

Специалисти по сигурността твърдят, че някои сървъри на корпорацията до момента на атаката все още са работили с операционна система Windows 2000 – толкова стара, че Microsoft вече не я поддържа. Специалистите обръщат внимание на далеч не толкова перфектния софтуер на Mерск, на остарялата операционна система и, преди всичко, на недостатъчната мрежова сегментация.

Тази последна уязвимост би могла да позволи на злонамерен софтуер да има достъп до една част от мрежата и да се разпространява неспирно отвъд първоначалната си точка, точно както „NotPetya“. Сигурността никога не е била приоритет за ръководството. Малко фирми плащат толкова скъпо за това, че са пестили от сигурността. В речта си в Давос, Снейб твърди, че компанията е претърпяла само 20% намаление на общия обем на корабите по време на атаката.

Но освен парите и загубеното време, както и разходите за възстановяването на цялата мрежа, Mерск също трябваше да възстанови много от клиентите си, които са платили за пренасочване или съхранение на бракувани товари. Един клиент на компанията споделя, че получава седемцифрен чек от компанията, за да си покрие разходите по изпращане на товара в последната минута с чартърен полет.

В крайна сметка, според Снейб в Давос, „NotPetya“ струва на компанията между  250 и 300 млн. долара. Повечето от служителите, с които WIRED говори, подозират, че счетоводителите на компанията са намалили цифрата. Логистичните компании, чието препитание зависи от терминалите, собственост на Mерск, не бяха третирани толкова добре по време на прекъсването, като клиентите.

Bolton discussed #WannaCry and #NotPetya so it also opens the door for the U.S. to use such tools in non-cyberwarfare situations. — Daniel Stoller (@realdanstoller) September 20, 2018

По-широкият ефект на повредената глобална система на доставки, от която зависи доставка на продукти и производствени компоненти в точен момент, е много по-труден за измерване. И Мерск беше само една oт жертвите. Едва когато започнете да умножавате историята на Мерск и да си представяте една и съща ситуация, същите кризи, същото изтощително възстановяване и десетките други жертви на „NotPetya“, може да добиете реална представа за истинския мащаб на руската офанзива.

Една седмица след избухването на вируса, украинската полиция, в пълна бойна екипировка, нахлува в скромния щаб на Линкос груп, изкачвайки се по стълбите като тюлените, нахлули при Бин Ладен. Те намират това, което търсят: системата от сървъри, които са играли ролята на база за разпространение на чумата „NotPetya“. Машините са конфискувани.

Дори и сега, повече от година след катастрофалното нападение, експертите в областта на киберсигурността все още твърдят, че има въпросителни около „NotPetya“. Какви са били истинските намерения на хакерите? Фирмата за сигурност ISSP, включително Олех Деренянко и Олексий Ясински, твърдят, че атаката не цели единствено унищожаване. В края на краищата, хакерите, които пускат вируса, месеци наред имат безпрепятствен достъп до мрежите на жертвите.

Докато мнозина все още виждат международните жертви на „NotPetya“ като съпътстващи щети (на атаката срещу Украйна – б.р.), Крег Уилямс от Cisco твърди, че Русия е знаела добре колко голяма вреда червеят би причинил. Това действие, според него, трябваше да накаже изрично всеки, който би посмял дори да поддържа офис в границите на Украйна. „Всеки, който мисли, че това е случайно, е наивен“, казва Уилямс. „Това е зловреден софтуер, предназначен да изпрати политическо послание: Ако правите бизнес в Украйна, лоши неща ще ви се случват.“

Почти всеки, който е изучавал NotPetya, обаче, е съгласен с едно: че това може да се случи отново и дори да се повтори в още по-голям мащаб. Глобалните корпорации просто са прекалено свързани помежду си, информационната сигурност е твърде сложна, атакуваните повърхности са твърде широки, за да се предпазят от обучени от държавата хакери. Русия не е пряко порицана от правителството на САЩ конкретно за „NotPetya“, реакцията идва цели осем месеца след удара и е вплетена с други послания, обвиняващи Русия за всички хакерски атаки след изборите в САЩ през 2016. „Липсата на подходящ отговор е почти покана за продължение“, казва Томас Рид, професор по политически науки в Училището за международни изследвания на Джон Хопкинс.

Но най-траен урок от “NotPetya” може да бъде този за странното, наднационално бойно поле на кибервойната. Това е география, която все още не се поддава на човешката интуиция. „Физиката на киберпространството е напълно различна от всяка друга военна област“.

“NotPetya“ ни напомня, че разстоянието не е отбрана. Всеки хакер вече е на всяка врата. И мрежата от заплетени структури, които са обединили и развили света през последните 25 години, могат да бъдат сринати за няколко часа в един летен ден