Wired: Невероятная история NotPetya, самой разрушительной кибератаки всех времён

Энди Гринберг, журналист Wired, который в 2015 году освещал подробности судебного процесса над создателем Silk Road Россом Ульбрихтом, в отрывке из своей книги Sandworm увлекательно рассказывает о крупнейшей в истории кибератаке и даёт понять, насколько неустойчивыми могут быть централизованные системы и как децентрализация (и перебои с электричеством) решила судьбу компании Maersk.

Иллюстрации: Майк Маккуэйд

В один прекрасный солнечный летний день в Копенгагене крупнейший судоходный конгломерат в мире начал сходить с ума.

Синие окна шести этажей штаб-квартиры компании Maersk смотрят на воду возле дока, где датская королевская семья швартует свою яхту. В подвале здания можно найти магазин с фирменными сумками и галстуками Maersk и даже редкую Lego-модель гигантского судна компании Triple-E — в реальности этот корабль примерно такого же размера, как Empire State Building, и способен перевезти груз, которого хватило бы на ещё один небоскрёб.

В этом магазине также находится центр техподдержки — один стол, за которым сидят специалисты по «решению всех проблем» вместе с кассиром. После обеда 27 июня 2017 года озадаченные сотрудники Maersk начали собираться вокруг этого стола. Почти все они приносили свои ноутбуки, на экранах которых застряло сообщение в угрожающих красно-чёрных цветах. В нём говорилось что-то о «восстановлении файловой системы на диске С» и запрещалось отключать компьютер. Но большее беспокойство вызывал текст «Упс, ваши важные файлы зашифрованы». Ниже кто-то обещал расшифровать их в обмен на $300 в биткоинах.

IT-администратор Хенрик Йенсен работал через улицу, в другой части комплекса компании — в украшенном роскошным белым камнем здании, которое прежде служило королевским архивом для морских навигационных карт. Хенрик Йенсен — выдуманное имя. Почти все сотрудники, клиенты и партнёры Maersk, с которыми говорил автор, боятся последствий обнародования этой истории. Йенсен был одним из тех, кто занимался подготовкой обновлений программного обеспечения для 80 000 работников Maersk. И вдруг его компьютер перезагрузился.

Хенрик тихо выругался. Он предположил, что незапланированная перезагрузка — один из типичных выбрыков главного IT-отдела Maersk, который находится в Англии и контролирует большую часть корпоративной империи, восемь направлений деятельности которой (от портов и логистики до бурения нефтяных скважин) управляются 574 офисами в 130 странах по всему миру.

Йенсен оглянулся в поисках кого-нибудь из сотрудников из IT-отдела, которых наверняка постигла та же участь. Увиденное его не порадовало:

Мониторы вырубались один за другим: чёрный, чёрный, чёрный. Чёрный, чёрный, чёрный, чёрный, чёрный...

Йенсен с коллегами быстро поняли, что их компьютеры заблокированы. После перезагрузки они видели всё тот же чёрный экран.

Постепенно стал понятен масштаб кризиса. Через полчаса сотрудники Maersk начали бегать по коридорам и призывать коллег срочно выключить компьютеры или отключить их от сети — они уже поняли, что каждая упущенная минута может обойтись в десятки или сотни заблокированных машин. Сотрудники компании врывались в конференц-залы посреди совещаний и отключали компьютеры. Они также столкнулись с блокировкой электронных пропусков: их систему также парализовал загадочный вирус.

Отключение глобальной сети Maersk в первые два часа повергло в панику весь IT-персонал компании. Каждому сотруднику было приказано выключить компьютер и оставить его на столе. В аварийном режиме выключили даже телефонную сеть.

Около трёх часов пополудни исполнительный директор Maersk вошёл в комнату, где Йенсен и дюжина встревоженных коллег ожидали новостей, и... сказал им идти домой. Сеть Maersk была настолько сильно повреждена, что IT-отдел ничем не мог помочь. Несколько менеджеров всё же поручили своим подчинённым остаться в офисе, но через некоторое время ушли и они — без компьютеров и телефонов сидеть на работе не было смысла.

Йенсен, как и абсолютное большинство сотрудников Maersk, понятия не имел, когда cможет вернуться к работе. Гигант морских грузоперевозок, ответственный за 76 портов и 800 кораблей на маршрутах по всему миру, оказался парализован.

*** Кафе и парки в Киеве внезапно сменяются мрачным индустриальным ландшафтом. Под эстакадой шоссе, за усыпанными мусором железнодорожными путями и бетонными воротами, в четырёхэтажном здании скрывается Linkos Group — небольшая украинская софтверная компания. На третьем этаже находится серверная, где компьютеры подключены к сети проводами с пронумерованными от руки ярлыками. В обычный день на этих серверах фиксят баги и добавляют фичи в ПО для автоматизации отчётности под названием M.E.Doc. Его используют почти все, кто платит налоги или занимается бизнесом в стране.

В 2017-м эти сервера стали точкой отсчёта для самой разрушительной кибератаки с момента изобретения интернета.

В последние четыре с половиной года Украина переживает необъявленную войну с Россией, в результате которой погибло более 10 000 украинцев, а миллионы стали беженцами. Конфликт превратил страну в испытательный полигон для российских кибератак. В 2015 и 2016 годах группа российских хакеров Fancy Bear взломала серверы Демократического национального комитета США; другая группа, известная как Sandworm, взломала десятки украинских правительственных организаций и компаний. Хакеры проникли в сети самых разных организаций, начиная со СМИ и заканчивая железнодорожными компаниями, уничтожив терабайты данных. Циничные атаки носили сезонный характер. Так, две зимы подряд хакеры ставили своей целью отключение электричества (это были первые подтверждённые отключения электроэнергии, вызванные кибератаками).

Но для Sandworm это была лишь разминка. Весной 2017 года, без ведома кого-либо из Linkos Group, её участники захватили серверы компании, через которые внедрили бэкдор в тысячи компьютеров по всей стране и миру, на которых было установлена программа M.E.Doc. Затем, в июне 2017 года, они использовали этот бэкдор для запуска вируса под названием NotPetya.

Код, внедрённый хакерами, распространялся автоматически, быстро и повсеместно. Крейг Уильямс, директор отдела аутсорсинга Cisco Talos, одной из первых компаний, которая провела реверс-инжиниринг и анализ NotPetya, говорит:

На сегодняшний день это самый быстроразвивающийся вредоносный код, который мы когда-либо видели. К тому моменту, когда вы его обнаружите, ваш дата-центр уже исчезнет.

Свою репутацию NotPetya заработал благодаря двум мощными хакерскими эксплойтам, которые работают в тандеме. Один из них, созданный Агентством национальной безопасности США, известен как EternalBlue. EternalBlue использует уязвимость в протоколе Windows, позволяющую хакерам удалённо управлять любым компьютером, который подвержен уязвимости.

Создатели NotPetya объединили этот эксплойт с более старым, известным как Mimikatz и реализованным французским специалистом по безопасности Бенджамином Делпи в 2011 году. Депли изначально выпустил Mimikatz, чтобы продемонстрировать: Windows оставляет пароли пользователей в памяти компьютера. Как только хакеры получают доступ к компьютеру, Mimikatz вытаскивает эти пароли из ОЗУ и использует их для взлома других машин со сходными учётными данными. В сетях с многопользовательскими компьютерами это позволяет реализовать автоатаку на неограниченное число машин. Ещё до NotPetya Microsoft выпускала патч для уязвимости, которую использует EternalBlue. Однако EternalBlue в паре с Mimikatz оказались гремучей смесью. Делпи говорит:

Вы можете заразить непропатченные компьютеры, а затем получить с них пароли, чтобы заразить другие, пропатченные.

NotPetya получил своё название из-за сходства с вирусом-вымогателем Petya, который появился в начале 2016 года и требовал плату за ключ для расшифровки пользовательских файлов. Но «вымогательство» у NotPetya — лишь прикрытие: целью вредоносного ПО было необратимое уничтожение зашифрованных файлов на компьютере. Отправка биткоинов на адреса вымогателей была бесполезной: ключа просто не существовало.

Через несколько часов после своего первого появления вирус выбрался за пределы Украины и поразил невообразимое количество объектов по всему миру, от больниц в Пенсильвании до шоколадной фабрики в Тасмании. Он подорвал работу многонациональных компаний, таких как Maersk, фармацевтического гиганта Merck, европейской дочерней компании FedEx TNT Express, французской строительной компании «Сентр-Гобен» и производителя продуктов питания Mondelēz. Каждая из этих компаний понесла девятизначные убытки. Вирус орудовал и в России, поразив государственную нефтяную компанию «Роснефть».

По оценкам Белого дома, общий ущерб от атаки составил $10 млрд. Эту цифру подтвердил бывший советник по вопросам безопасности Том Боссерт, который на момент атаки занимал высшую должность по вопросам кибербезопасности при президенте Трампе. В феврале Боссерт и американские спецслужбы сообщили, что российские военные ответственны за запуск вредоносного кода. Ущерб от вредоносной программы WannaCry, которая распространилась по миру за месяц до NotPetya (в мае 2017 года), составлял от $4 млрд. до $8 млрд. Другими словами, NotPetya установил абсолютный антирекорд. Боссерт говорит:

Хотя человеческих жертв не было, это эквивалентно использованию ядерной бомбы в тактических целях. Это та степень безрассудства на мировой арене, которую мы не можем стерпеть.

Через год после того, как NotPetya потряс весь мир, Wired детально изучил последствия атаки для компании Maersk. Руководители судоходного гиганта, как и прочие жертвы за пределами Украины, отказались официально комментировать ситуацию.

На самом деле речь не о Maersk и даже не об Украине. Это история об оружии, которое применили в среде, где нет государственных границ и где фактический ущерб обретает неожиданную логику. Нападение, направленное на Украину, ударило по Maersk, что принесло убытки всему миру.

*** Алексей Ясинский надеялся на спокойный вторник. Это был день, предшествующий Дню Конституции Украины, выходному дню, который большинство из его коллег уже распланировали. Ясинский возглавлял исследовательский отдел в Information Systems Security Partners (ISSP).

Утром ему позвонил директор ISSP и сказал, что Ощадбанк, второй по величине банк в Украине, подвергся кибератаке. Банк сообщил ISSP, что столкнулся с вирусом-вымогателем. Через полчаса Ясинский уже был в отделе информационной безопасности Ощадбанка. Он говорит, что сотрудники были шокированы и растеряны, поскольку около 90% компьютеров оказались заблокированы. После быстрого изучения логов в банке Ясинский увидел, что атака была реализована вирусом, который каким-то образом получил учётные данные администратора.

В офисе ISSP Ясинскому начали звонить и писать о других подобных случаях в компаниях по всей Украине. Кто-то оплатил выкуп, но, как и подозревал Ясинский, это не дало никакого результата. По его словам, «серебряной пули» для NotPetya не существовало.

Генеральный директор ISSP Роман Сологуб проводил выходной на южном побережье Турции вместе со своей семьёй. Но клиенты ISSP просто разрывали его телефон, напуганные тем, как NotPetya обрушивает их сеть. К нему также обращались за советом, узнав о вирусе.

Сологуб вернулся в отель, где и провёл остаток дня, ответив примерно на 50 звонков. Операционный центр ISSP, который контролировал сети клиентов в режиме онлайн, предупредил Сологуба, что NotPetya ужасающе быстрый: потребовалось всего 45 секунд, чтобы обвалить сеть крупного украинского банка. Компания «Укрэнерго», сеть которой ISSP помогала восстановить после кибератаки в 2016 году, снова попала под удар. Сологуб вспоминает слова разочарованного IT-директора «Укрэнерго»:

Помните, мы собирались внедрить новые инструменты контроля безопасности? Ну, уже поздно.

К полудню основатель ISSP, серийный предприниматель Олег Деревянко, тоже отменил свой выходной. Праздник он готовился провести с семьёй в деревне, но тут начались бесконечные звонки насчёт NotPetya. Он вынужден был съехать с шоссе и остановиться возле одного из придорожных кафе. Он настоятельно порекомендовал всем руководителям отключить компьютеры от сети, даже если бы это прекратило работу всей компании. Но во многих случаях уже было слишком поздно. Деревянко говорит, что к тому времени, как его сообщения доходили до адресатов, инфраструктура уже была потеряна.

NotPetya заживо съедал украинские компьютеры. Он затронул по меньшей мере четыре больницы в Киеве, шесть энергетических компаний, два аэропорта, более 22 украинских банков, банкоматы, платёжные системы в магазинах и транспорт, а также практически все правительственные организации. «Правительство было мёртвым», — резюмирует министр инфраструктуры Украины Владимир Омелян. По данным ISSP, пострадали не менее 300 компаний, а, по оценке одного высокопоставленного украинского чиновника, 10% всех компьютеров в стране были уничтожены. Атака даже затронула компьютеры, используемые учёными на Чернобыльской очистной станции. «Это была массовая бомбардировка всех наших систем», — говорит Омелян.

Когда Деревянко вышел из кафе, чтобы заправить свой автомобиль, он обнаружил, что система оплаты АЗС через карту была захвачена NotPetya. У него не было наличных, и он посмотрел на датчик топлива, гадая, хватит ли его, чтобы добраться до деревни. По всей стране украинцы задавали себе аналогичные вопросы: хватит ли у них наличных на продукты и топливо, получат ли они свои зарплаты и пенсии. Тогда весь мир обсуждал, был ли NotPetya просто вирусом-вымогательством или представлял собой оружие кибервойны. Сотрудники ISSP уже начали давать ему новое определение: массовое скоординированное кибервторжение.

На фоне этого один-единственный взлом стал роковым для Maersk: в одесском офисе операционный финансовый руководитель Maersk попросил айтишников установить M.E.Doc на компьютеры — это дало NotPetya всё, что ему было нужно.

***

Грузовой терминал в городе Элизабет, штат Нью-Джерси, — один из 76, принадлежащих Maersk. Десятки тысяч штабелированных, идеально подогнанных модульных контейнеров покрывают всю территорию бухты Ньюарк, над которой возвышаются огромные голубые краны.

В хороший день около 3000 грузовиков прибывают в терминал, привозя или увозя разнообразный груз — от авокадо до запчастей для тракторов. Эта процедура начинается в воротах терминала, где сканер автоматически считывает штрих-код с контейнера, а сотрудник Maersk говорит с водителем грузовика через акустическую систему. Водитель получает распечатанный документ на место, где большой кран погружает контейнер из грузовика на корабль для отправки груза за океан (или наоборот, на грузовик передаётся заокеанский груз).

Утром 27 июня Пабло Фернандес (это выдуманное имя) хотел отправить груз, доставленный десятком грузовиков, в порт на Ближнем Востоке. Фернандес работал экспедитором, то есть посредником, которому владельцы платили за благополучную доставку их грузов.

Около девяти часов вечера телефон Фернандеса начал разрываться от звонков разозлённых клиентов. Все они только что услышали от водителей, что их грузовики застряли у терминала Элизабет. Люди не могли разгрузить или получить свои контейнеры. Вскоре сотни 18-колесных грузовиков выстроились в многокилометровую линию. Через несколько часов, всё ещё не получив никаких сообщений от Maersk, управление порта предупредило, что терминал компании будет закрыт на оставшуюся часть дня.

Фернандес и другие разозлённые клиенты Maersk столкнулись с довольно мрачными перспективами: они могли попытаться получить свой груз по завышенным ценам, но, если их груз проходит по узкой цепочке поставок (например, это компоненты для завода), закрытие Maersk из-за риска остановки производственных процессов может обойтись в сотни тысяч долларов в день. Многие из контейнеров были набиты скоропортящимися товарами, которым нужно постоянное охлаждение. Их нужно было срочно перевезти, чтобы они не испортились.

Фернандесу пришлось искать склад в Нью-Джерси, где он мог бы оставить груз до получения вестей из Maersk. В первый день ему пришло только одно официальное электронное письмо с непонятного gmail-адреса, которое, по его словам, читалось как «тарабарщина» и ничего не объясняло. Центральный сайт компании, Maerskline.com, был недоступен, и никто в компании не отвечал на звонки. Некоторые из контейнеров, которые он отправил на корабли Maersk, будут бесконтрольно перемещаться между мировыми портами в течение следующих трёх месяцев. Фернандес говорит, что Maersk тогда превратилась в огромную чёрную дыру.

***

Через несколько дней после начала кризиса в Maersk Хенрик Йенсен сидел в своей квартире в Копенгагене, наслаждаясь яйцами пашот, тостами и мармеладом. Уйдя из офиса во вторник, он так и не услышал ни слова от своего начальника. Но вот телефон наконец зазвонил.

Ответив, он понял, что находится в режиме конференции с тремя сотрудниками Maersk. Они сказали, чтобы он немедленно отправлялся в офис Maersk в Мейденхеде (Англия), городке к западу от Лондона, где располагается IT-подразделение конгломерата Maersk Group Infrastructure Services.

Два часа спустя Йенсен уже был в самолете на Лондон, а затем — в машине по дороге к восьмиэтажному стеклянному зданию в центре Мейденхеда. Приехав, он увидел, что четвёртый и пятый этажи превратились в круглосуточный «центр по аварийным ситуациям», единственной целью которого было восстановление глобальной сети Maersk.

Йенсен говорит, что некоторые сотрудники Maersk не выдержали удара NotPetya и оказались в больнице. Другие спали в офисе прямо на своих столах или в конференц-залах. Казалось, что в Мейденхед каждую минуту прибывали люди со всех уголков света. Maersk забронировала практически все гостиничные номера на десятки километров вокруг, все хостелы и каморки возле пабов. Кто-то съездил в ближайший продуктовый магазин и выгрузил на кухне целую гору снеков.

Руководила этим «центром восстановления» консалтинговая компания Deloitte. Maersk предоставила британской фирме все ресурсы для устранения проблемы NotPetya, поэтому в офисе Мейденхеда постоянно находилось до 200 сотрудников Deloitte, а также до 400 сотрудников Maersk. Всё компьютерное оборудование, используемое Maersk с момента появления NotPetya, было конфисковано. Дисциплинарными санкциями угрожали любому, кто попытается его использовать. Вместо него сотрудники обошли все магазины электроники в Мейденхеде и скупили там все новые ноутбуки и WiFi-роутеры. Йенсен, как и сотни других IT-специалистов Maersk, получил один из свежих ноутбуков с поручением «делать свою работу». Он говорит:

Всё было очень просто: «Найдите себе место и приступайте к работе».

В начале операции IT-специалисты, восстанавливающие сеть Maersk, пошли не лучшим путём. У них были резервные копии почти всех отдельных серверов Maersk за три-семь дней до NotPetya. Но в итоге никто не мог найти резервную копию ключевого уровня сети компании: контроллеров доменов, то есть серверов, которые функционируют как детальная карта сети Maersk и определяют пользователей, имеющих доступ к системам.

150 контроллеров доменов Maersk были запрограммированы для синхронизации данных друг с другом, так что теоретически любой из них мог бы функционировать как резервная копия для всех остальных. Но эта децентрализованная стратегия резервного копирования не учитывала один сценарий, в котором данные в каждом контроллере также одновременно стирались. Один из сотрудников Maersk заключил, что без контроллеров ничего восстановить не получится.

После изнурительной проверки сотен дата-центров по всему миру администраторы Maersk наконец нашли один-единственный уцелевший контроллер в Гане. Во время атаки NotPetya экстренное отключение электричества отрезало ганский компьютер от сети. Таким образом, он содержал единственную найденную копию данных контроллера, которая осталась нетронутой.

Однако, когда в Мейденхеде была установлена связь с офисом Ганы, обнаружилось, что пропускная способность сети очень маленькая и требуется несколько дней, чтобы передать несколько сотен гигабайт в Великобританию. Кто-то предложил сотруднику из Ганы прилететь в Лондон, но оказалось, что никто из западноафриканского офиса не имел британской визы. В итоге была организована «эстафета»: один сотрудник из офиса в Гане прилетел в Нигерию, чтобы встретиться с лондонским сотрудником Maersk в аэропорту и передать очень ценный жёсткий диск. Через полтора часа второй сотрудник прилетел в лондонский аэропорт Хитроу.

После завершения этой «спецоперации» офис Мейденхеда начал постепенно возвращать Maersk в онлайн. Через несколько дней работники портов компании снова могли читать базовую информацию о поставках, поэтому операторы больше не шли вслепую к судам, которые могли перевозить до 18 000 контейнеров. Maersk потребовалось несколько дней, чтобы начать принимать заказы на новые поставки через Maerskline.com. После этого ушла ещё неделя, чтобы терминалы по всему миру хоть как-то заработали.

Во время всех этих действий сотрудники Maersk управляли контейнерами через персональные gmail-аккаунты, WhatsApp и вносили данные в таблицы Excel. Один из клиентов компании вспоминает об этом:

Я могу сказать вам, что это довольно странный опыт — доставить 500 контейнеров через WhatsApp, но мы это сделали.

Примерно через две недели после атаки Maersk наконец смогла предоставить персональные компьютеры большинству сотрудников. В копенгагенской штаб-квартире столовая стала «переустановочным конвейером». Компьютеры были выстроены в ряд по 20 штук, и по ним проходились работники техподдержки с флешками в руках.

Вернувшись из Мейденхеда, Хенрик Йенсен нашёл свой ноутбук среди сотен других; жёсткий диск стёрли и поставили чистый Windows. Всё, что он и другие сотрудники Maersk хранили на компьютерах, навсегда исчезло.

Через пять месяцев после того, как Maersk оправилась от атаки NotPetya, председатель компании Джим Хагеманн Снабе на сцене Всемирного экономического форума в Давосе (Швейцария) высоко оценил «героические усилия» IT-подразделения. Он сказал, что потребовалось всего десять дней, чтобы компания перестроила всю свою сеть из 4000 серверов и 45 000 компьютеров (хотя полное восстановление заняло гораздо больше времени: некоторые сотрудники компании в Мейденхеде продолжали работать день и ночь в течение почти двух месяцев, чтобы восстановить систему Maersk).

С тех пор, говорит Снабе, Maersk работает не только над улучшением своей кибербезопасности, но и над тем, чтобы сделать её «конкурентным преимуществом». И действительно, после NotPetya, по словам IT-специалистов компании, практически все функции безопасности, о которых они просили, были оперативно утверждены. Мультифакторная аутентификация была внедрена по всей компании вместе с полным обновлением всех систем до Windows 10.

До атаки Снабе мало говорил о кибербезопасности. По словам сотрудников Maersk, некоторые серверы корпорации вплоть до атаки работали под Windows 2000. В 2016 году одна группа IT-руководителей настаивала на реорганизации безопасности всей глобальной сети. Они обратили внимание на устаревшие операционные системы и ПО Maersk, а прежде всего — на недостаточную сегментацию сети. Последняя уязвимость позволяла вредоносным программам, имеющим доступ в одной части сети, распространиться далеко за её пределы — именно это и сделает NotPetya через год.

В своём выступлении в Давосе Снабе утверждал, что компания потеряла лишь 20% от общего объёма перевозок во время кризиса NotPetya благодаря быстрому реагированию и обходным решениям. Но, помимо потерянных денег и простоев, а также затрат на восстановление сети, Maersk возместила убытки многим из своих клиентов за перенаправление или хранение их грузов. Один из клиентов Maersk получил семизначный счёт за быструю отправку его груза реактивным самолётом. Maersk, говорит он, выплатила ему миллион после обсуждения, которое длилось не больше двух минут.

В целом, по словам Снабе, убытки от NotPetya составили $250-300 млн. Потери логистических компаний, чей доход зависит от принадлежащих Maersk терминалов, не были учтены в полной мере. Джеффри Бадер, президент одной из транспортных компаний, расположенных в бухте Ньюарка, считает, что некомпенсированные расходы перевозчиков в сумме тянут на десятки миллионов долларов.

Стоимость ущерба от простоя Maersk для мировой цепочки поставок, которая зависит от своевременной доставки продуктов и производственных компонентов, измерить ещё сложнее. И, конечно же, Maersk была только одной из жертв. Merck, пострадавший производить лекарств, сообщил акционерам о потере $870 млн. FedEx, чья европейская дочерняя компания TNT Express из-за атаки несколько месяцев восстанавливала часть данных, потеряла $400 млн. Французский строительный гигант «Сен-Гобен» — примерно столько же. Reckitt Benckiser, британский производитель презервативов Durex, недосчитался $129 млн., а Mondelēz, владелец производителя шоколада Cadbury, отчитался о $188 млн. убытков. Компании без публичных акционеров сохранили свои потери в секрете.

***

Через неделю после атаки NotPetya украинская полиция ворвалась в штаб-квартиру Linkos Group. По словам основателя компании Олеси Линник, работники компании с недоумением смотрели на людей в масках и с оружием, которые выстраивали их в ряд вдоль стен в коридорах. На втором этаже полицейские разбили дверь тараном, несмотря на то, что Линник сама предлагала им ключи. По её словам, это была абсурдная ситуация.

Вооружённый полицейский отряд нашёл за дверью то, что искал: сервера, которые сыграли роль нулевого пациента в эпидемии NotPetya. Их конфисковали, положив в полиэтиленовые пакеты.

Даже сейчас, через год с лишним после атаки, эксперты по кибербезопасности всё ещё спорят о NotPetya. Какова были настоящая цель хакеров? Сотрудники ISSP, в том числе Олег Деревянко и Алексей Ясинский, считают, что злоумышленники прежде всего хотели добиться удаления данных. В дополнение к панике и сбоям, которые вызвал NotPetya, он мог также уничтожить доказательства шпионажа.

Тем не менее почти все, кто изучал NotPetya, согласны в одном: ситуация может повториться в более широких масштабах. Глобальные корпорации слишком взаимосвязаны, а информационная безопасность слишком сложна. Есть слишком много узких мест, которые нужно защитить от хакеров.

Но самый важный урок NotPetya — это география кибервойны: несколько серверов для бухгалтерского софта распространили хаос на всемирном уровне. NotPetya своим появлением напомнил, что расстояние — это уже давно не защита.