Co ma do ukrycia BadRabbit?

Hakerzy uderzyli ponownie. 24 października sieć obiegła seria alarmujących informacji oznaczonych hasztagiem #badrabbit. Na solidną analizę ze strony serwisu Niebezpiecznik.pl przyszło nam jednak poczekać kilka dni.

Przypomnijmy – we wtorek 24 października komputery w ponad 15 krajach (m.in. Ukraina, Rosja, Bułgaria, Turcja, USA, Polska i Japonia) zaczęły odmawiać dostępu do danych na twardym dysku, żądając w zamian okupu wysokość 0,05 BTC (ok. 1000 zł). Jeśli nie doszłoby to wpłaty okupu w ciągu 40 godzin, cena miała wzrosnąć.

70% zainfekowanych komputerów znajdowała się na terenie Rosji, a ok. 14% na terenie Ukrainy, przy czym wśród tych drugich znajdowały się m.in. komputery kijowskiego metra, lotniska w Odessie oraz ukraińskiego Ministerstwa Infrastruktury. W Rosji ofiarami ataków padły m.in. agencje prasowe Interfax i Fontanka.

BadRabbit uderzył z dwóch kierunków. Pierwszym były zainfekowane strony, na których pojawiał się komunikat o możliwości pobrania aktualizacji Flasha. Aby doszło do infekcji, użytkownik musiał dobrowolnie zaznaczyć, że chce pobrać aktualizację, przy czym nie zawsze dochodziło do instalacji szkodliwego oprogramowania.

Drugim, bardziej niezawodnym sposobem, był wykradziony z NSA exploit Eternalromance, wykorzystujący podatność MS17-010 w systemie operacyjnym Windows. Konkretnie była to zmodyfikowana wersja exploita, który został wykorzystany także w atakach NotPetya z czerwca. Punktów wspólnych z czerwcowym atakiem jest więcej. Analizy badaczy wykazały, że 13% kodu źródłowego BadRabbit pochodziła z NotPetya, co może – ale nie musi – świadczyć o tym, że za obydwoma atakami stoją te same osoby. Kto konkretnie?

Zdaniem firmy ESET, za NotPetya stała grupa TeleBots, powiązana także z grupą BlackEnergy, która wysławiła się atakami na Ukrainie m.in. w grudniu 2015, kiedy to ofiarami padły firmy z sektora energetycznego oraz finansowego. Wątpliwość budzi jednak fakt, że o ile w przypadku NotPetya, wirus kasował dane z dysku i udawał jedynie ransomware, o tyle BadRabbit umożliwia odzyskanie danych.

Zdaniem Niebezpiecznik.pl atak dwutorowy mógł służyć zatarciu śladów. Podczas, gdy wzrok wszystkich zwrócony był na szeroką kampanię z wykorzystaniem aktualizacji Flasha, której efektywność była stosunkowo niska i uzależniona od naiwności użytkownika, dokonano także serii precyzyjnych uderzeń właśnie w kijowskie metro, lotnisko w Odessie oraz Ministerstwo Infrastruktury na Ukrainie – a zatem cele o znacznie większym znaczeniu, niż rosyjskie agencje prasowe. W dodatku 24 października mógł być jedynie datą zakończenia operacji zakrojonej na znacznie szerszą skalę, a zaszyfrowane dyski mogły stanowić „zasłonę dymną”.

Trudno oszacować, jakie rzeczywiście szkody wyrządzili hakerzy, jednak w okolicach 24 października na Ukrainie miało miejsce kilka interesujących wydarzeń, związanych z kwestiami zakupu gazu oraz rosyjskim gazociągiem Nord Stream 2:

24.10 - W Kijowie odbyła się konferencja „Oil&Gas”, podczas której amerykańska ambasador na Ukrainie Marie Yovanovitch informowała, ile straci Ukraina na uruchomieniu przez Rosję gazociągu Nord Stream 2 http://www.energetyka24.com/687175,przez-nord-stream-2-ukraina-moze-stracic-do-3-proc-pkb-co-z-polska

23.10 – Ukraina rozważa zakupy gazu z Rosji, ale stawia warunki http://biznesalert.pl/ukraina-moze-wznowic-zakupy-gazu-rosji-stawia-warunki/

W dniach 18-19 października, odbył się we Wrocławiu III Kongres Energetyczny, w trakcie którego dyskutowano o perspektywach sprzedaży gazu na Ukrainę http://www.energetyka24.com/684705,energetyczny-houdini-gaz-z-szelfu-norweskiego-dla-ukrainy-bez-baltic-pipe-komentarz

Ubiegłotygodniowy atak najprawdopodobniej stanowi element znacznie większej układanki, której rozwikłanie nie będzie łatwe.

fot. Ryan McGuire, pixabay.com, CC0

Bartosz Adamiak