Эксперты не нашли доказательств причастности российских спецслужб к атаке на Украину компьютерного вируса NotPetya

В феврале 2020 года европейские депутаты впервые озвучили возможность применения санкций в ответ на кибератаки. Пять месяцев спустя, 30 июля, Евросоюз ввел санкционные меры в отношении структур и граждан России, якобы имеющих отношение к кибератаке NotPetya. Довольно символичное решение, если учесть, что в этом году вирус отмечает своеобразный юбилей – три года. В честь этого события украинское интернет-издание Liga.Net выпустило собственное расследование, которое подтвердило несостоятельность обвинений в адрес русских хакеров. Украинские журналисты и эксперты признают, что доказательств их участия по-прежнему нет, а наибольшую выгоду в результате кибератаки получила не Россия.

Эксперты  не нашли доказательств причастности российских спецслужб к атаке на Украину компьютерного вируса NotPetya

Эпидемия компьютерного вируса-стирателя NotPetya началась 27 июня 2017 года, охватив свыше 65 государств. Последствия нанесенного экономического ущерба оцениваются в десятках миллиардов долларов. Согласно статистике, от вируса пострадали, главным образом, украинские, российские и европейские компании. На Западе не замедлили возложить ответственность за кибератаку на российских хакеров, причислив их к спецслужбам Кремля.

При этом специалисты в области кибербезопасности утверждают, что определить со 100% достоверностью авторов хакерской атаки невозможно. Этот постулат неоднократно озвучивали американские эксперты научно-исследовательского центра RAND и IT-фирмы Wired. По мнению сотрудника международной компании Group-IB Р. Миркасымова, «задача атрибуции – сложная и не может быть формализована. Попытки ввести формальные модели и использовать их часто приводят к ложным выводам». В случае же с NotPetya, – утверждает эксперт, – никаких проверяемых доказательств, что за атакой стоят именно спецслужбы России, предоставлено не было. «Есть они или нет, мы сможем узнать только, когда дело будет рассекречено или опубликовано».

До тех пор, пока этого не произойдет, предположения о причастности российских спецслужб – всего лишь спекуляции. Между тем журналисты издания Liga.Net, вслед за западными коллегами, называют Россию главным бенефициаром кибератаки на Украине, ссылаясь на политический подтекст: с одной стороны, непрекращающийся конфликт на Донбассе, с другой – символичное время проведения атаки, а именно канун дня Конституции Украины. Однако это не объясняет, почему злоумышленники, которые якобы связаны с российскими спецслужбами, нанесли киберудар по предприятиям в стольких странах. Более того, России это было совершенно невыгодно по ряду причин.

Во-первых, в 2017 году полным ходом шло расследование предполагаемого вмешательства русских хакеров в предвыборную кампанию в США. Вполне логично, что после такого громкого политического скандала в любой новой хакерской атаке стали бы искать русский след. Зачем России так подставляться?

Во-вторых, нелепо даже предполагать, что спецслужбы, безотносительно принадлежности конкретной стране, станут кусать руку, которая их кормит – государство. NotPetya парализовал работу российских госкорпораций, крупного и малого бизнеса и нанес значительный ущерб российским нефтяным компаниям. С трудом верится, что хакеры на службе Кремля станут атаковать нефтегазовую промышленность – один из столпов российской экономики.

В-третьих, в начале 2017 года начались трудные переговоры с Данией о прокладке трубопровода «Северный поток-2» через ее территориальные воды, и именно в это время вирус-стиратель наносит датскому морскому грузоперевозчику Moller-Maersk урон в 300 млн. долларов. Не исключено, что NotPetya изначально и был направлен на Maersk, чтобы дискредитировать Россию в глазах Дании и сорвать реализацию газового проекта.

Примечательно, что русских хакеров обвинили именно в кибератаке NotPetya, вызвавшей наибольший резонанс. Между тем на Украине ей предшествовали еще два кибернападения – шифровальщик XData (середина мая 2017 г.) и эксплойт PSCrypt (середина июня 2017 г.).

Следует отметить, что одним из способов атрибуции киберинцидента является анализ так называемого почерка хакеров. Именно так компании ESET (Словакия) пришли к выводу, что за распространением NotPetya, предположительно, могут стоять российские разработчики. Результаты специалистов можно было бы воспринять всерьез, если бы не один любопытный факт: за три месяца до кибератаки в открытом доступе оказалась крупная утечка секретных документов ЦРУ, из которой следует, что в составе американской спецслужбы функционирует некая группа

UMBRAGE, которая «собирает и хранит внушительную библиотеку техник нападения, «украденных» с хакерского оборудования, произведенного в других странах, в том числе в Российской федерации. При помощи UMBRAGE и связанных с ним проектов ЦРУ может не только увеличить общее количество видов атак, но и увести след, оставляя «отпечатки» тех групп, чья техника была украдена.

Однако аналитики в своем расследовании не учли эту информацию. Кроме того, странной выглядит позиция украинской компании Linkos Group, разработчика финансового программного обеспечения M.E.Doc, с которой началось распространение вируса NotPetya. СМИ писали, что фирму предупреждали об уязвимости ее сетей Журналисты Liga.Net подчеркивают, что Linkos Group отделалась репутационным уроном. Не известно, чтобы кто-то предъявлял компании финансовые претензии и требовал компенсации за нанесенный вирусом урон. На почти монопольном положении программы M.Е.Doc атака никак не сказалась. Скорее наоборот: проблемы появились у конкурентов. Бизнесмены жаловались, что из-за кибератаки не успели вовремя подать отчетность в налоговую и были вынуждены заплатить штраф, несмотря на заверения премьер-министра, что санкций не будет. Через несколько недель после атаки четыре компании-производители ПО для финотчетности публично обратились к премьер-министру с жалобой на некорректную работу серверов Государственной фискальной службы.

Последовала продолжительная судебная тяжба, суд встал на сторону Linkos Group, сочтя формулировки письма некорректными.

Таким образом, последствия кибератаки для Украины оказались не столь негативными, как изначально убеждали СМИ. Наоборот, резко возросший спрос на защитное программное обеспечение и сервисы кибербезопасности обеспечили беспрецедентную прибыль украинским и американским разработчикам. NotPetya также поспособствовал развитию отношений между Украиной и США в области кибербезопасности: страны наладили обмен информацией, а Американское агентство международного развития обязалось инвестировать в украинскую кибербезопасность 38 млн. долларов. Наконец, Украина обосновала создание собственных кибервойск, которым, по словам народного депутата Верховной Рады, США оказывают профессиональную и экспертную помощь, а также предоставляют все необходимое оборудование. Не за горами формирование новой структуры – государственного киберцентра. Что ж, остается только порадоваться неожиданно открывшимся финансовым возможностям Украины.

Проведя собственное расследование киберинцидента трехлетней давности, украинские журналисты в очередной раз подтвердили факты, ранее озвученные экспертами в области кибербезопасности: ни один аргумент в пользу привлечения России к ответственности за NotPetya не выдерживает никакой критики, а доказательства причастности российских спецслужб так и вовсе представлены не были.

Можно сколько угодно рассуждать о вероятном политическом подтексте или мотивации предполагаемых организаторах кибернападения, в конечном итоге значение имеют только факты. И они красноречиво свидетельствуют о том, что кибератака NotPetya способствовала привлечению огромных инвестиций в украинскую и американскую экономику, а также способствовала улучшению отношений между Украиной и США.