Вирус Petya.A и M.E.Doc: политическая игра и недобросовестные конкуренты

27 июня, в преддверии Дня Конституции Украины, в 10.30 "вирус-вымогатель" Petya.A начал свой кровавый путь. Он распространился по 64 странам, среди которых Украина, Франция, Германия и Испания.

В 21.30, почти по истечении суток, киберполиция и ее глава Сергей Демидюк делают первое заявление об угрозе украинским компаниям, называя главным виновником украинскую компанию M.E.Doc.

Этой заметкой я хочу разобраться, что же было на самом деле. И как к этим хитросплетениям истории причастно украинское правительство и компании-конкуренты сервиса M.E.Doc.

Сейчас компанию M.E.Doc, которая якобы рассылала вирус, украинские власти продолжают обвинять во всех смертных грехах. Сергей Демидюк в интервью Associated Press пообещал уголовное преследование, в то время как центр кибербезопасности НАТО говорит о большой опасности заражения вирусами и что компании и институты могут даже не догадываться, что в их коде может быть опасный вирус. А Служба безопасности Украины, изъяв оборудование компании, заявила агентству Reuters об изъятии "российского оборудования", хотя в самой компании заявляют, что оборудование у них не изымали и они продолжают работать согласно украинскому законодательству (недавно представив обновление, которое не допускает дальнейших взломов).

Но что же было на самом деле?

Версия первая. Российский след. Маловероятная. Как я уже писал выше, СБУ заявила об изъятии "российского оборудования". Звучит, конечно, очень убедительно. Но на Западе, где вирус Petya.A не обошел ни одной страны ЕС, считают иначе. Журналист Matt Burgess 5 июля 2017 года для британского журнала Wired разбирает подробно ситуацию и приходит к выводу, что следа российского государства там нет. Журналист американского издания The New York Times Andrew E. Kramer в своей статье размышляет о российском следе, но кроме желания увидеть его со стороны Украины, он не приводит ни одного аргумента в доказательство присутствия России.

Классический политический анализ требует: не выдавайте желаемое за реальное. Так и в случае с российским следом: название вируса Petya.A и его созвучность с именем президента, близость ко Дню Конституции никак не объясняют, почему заразились всего 12 500 компьютеров в стране и как заразились еще в 63 странах. Если бы след был российский и Украина была бы целью, было бы не 12 тыс. компьютеров, а 12 миллионов. И были бы не 64 страны с Украиной, а только Украина. К слову, РФ тоже пострадала от вируса. 

Российский след усмотрел еще и владелец интернет-магазина Rozetka Владислав Чечеткин: на своей Facebook-странице он связал M.E.Doc с беглым министром доходов и сборов Клименко. Эта версия не выдерживает критики, так как сама программа появилась задолго до Клименко, в 2009 году и еще госпожа Кужель (Александра Кужель в то время была главой Государственного комитета Украины по вопросам регуляторной политики и предпринимательства. – ”ГОРДОН”) заявляла об обязательном внедрении программы в государственные органы власти. 2009 год – это задолго до прихода Клименко и людей Януковича. Это еще правительство Тимошенко. И вряд ли Клименко продвигал бы программу, которую рекомендовали во времена Тимошенко. Жаль, что Владислав Чечеткин из Rozetka не пользуется Google и старается, вероятно, навредить компании M.E.Doc наряду с ее конкурентами. О них ниже.

Подведем короткий итог: СБУ и глава киберполиции выдают желаемое за действительное. Издание ”Медуза" цитирует "Лабораторию Касперского", где они заявили, что вирус, обрушившийся на весь мир, – это не вирус Petya (получается, наши правоохранители ищут то, чего не было, и не могут разобраться, кто же и как напал). А изданию TJ Вячеслав Закоржевский, руководитель департамента антивирусных исследований "Лаборатории Касперского", заявил, что M.E.Doc сама стала жертвой атаки, но никак не организовывала ее.

Версия вторая. Российские компании, которых "ушли". Высокая вероятность. 16 мая Украина решением президента блокирует часть российских сервисов. Это компании ”1С", ”Яндекс", ”ВКонтакте", ”Одноклассники". Большинство украинских коммерческих компаний переходят на заменители услуг по передаче бухгалтерской отчетности, в том числе сервисы M.E.Doc. Уже в начале июля киберполиция и СБУ заявляют, что вирус был занесен в программу M.E.Doc намного ранее дня старта заражения.

Это значит, что злоумышленники знали программу M.E.Doc и знали, что она запустит обновления. Кто, как не конкуренты, следят за тобой тщательнее остальных? Чтобы понять, как работают программы отчетности, нужно представить себе схему: в маленьком кафе с чашкой кофе сидит Иван Васильевич, бухгалтер. Выпивая чашку кофе, он заходит в программу, загружает отчет за какой-то период и отправляет в налоговую. Там же этот отчет получают и изучают.

Есть компьютер бухгалтера, программа отчетности и государственный орган. Госорган дает всем компаниям (программам) определенный код/маршрут, по которому он будет получать отчет. Этот код есть в каждой отчетной программе. В каждой. И уже вокруг него строится программное обеспечение. Такой код есть у других сервисов-конкурентов И если ты знаешь его, ты можешь в него проникнуть. Только нужны навыки. 

На рынке IT-услуг говорят, что выбор первичного заражения вирусом пал именно на компанию M.E.Doc, потому что после запрета российских сервисов именно она стала самой популярной программой для отправки отчетности. Более 400 тысяч клиентов.

Именно российские компании, по мнению рынка, заразили M.E.Doc вирусом Petya.A. Цель этого – дискредитировать украинские аналоги сервиса и вновь выйти на рынок. Политологи хорошо помнят, как представители российских фирм лоббировали в 2012 году ряд законопроектов, чтоб стать обязательной программой для всех компаний и государственных органов.

Версия третья. Украинские конкуренты не дремлют. Высокая вероятность. 23 мая 2007 года на сайте президента Украины появляется петиция с требованием закрыть компанию M.E.Doc (петиция №22/036992). За месяц до старта заражения Украины и, вероятно, уже в момент атаки на М.Е.Doc кто-то начинает кампанию против программного обеспечения. Мотивы все те же: 400 тысяч пользователей и желание отхватить себе побольше пользователей.

Скриншот: Kirill  Molchanov / Facebook

5 июля на бирже репостов (сайт, где можно заработать на том, что ставите лайки и делаете репосты в Facebook), появляется заказ на репосты по Украине. За 30 гривен вам предлагают сделать репост одной записи некоего Андрея Сергеевича Выговского.

Запись рекламирует другой, конкурентный, сервис. Реклама сервиса обошлась заказчику не менее чем в 1740 гривен (58 репостов по 30 грн). Напомню, этот заказ появился 5 июля. На следующий день после того, как Сергей Демидюк заявил об изъятии серверов M.E.Doc (текст его заявления доступен на сайте Reuters).

Также в сети начали работать боты, которые распространяют заявления против компании M.E.Doc. Вот, например, мониторинг You Scan показывает, что синхронно в Twitter начала распространяться информация против компании аккаунтами, очень схожими между собой. Тезисы распространяются идентичные.

Скриншот: Kirill  Molchanov / Facebook

Скриншот: Kirill Molchanov / Facebook

Можно ли сейчас говорить о причастности конкурентов к внедрению вредоносного кода в структуру M.E.Doc? Да, можно. Компании, которые являются прямыми конкурентами и, поговаривают, вполне могли занести вирус. Кибершпионаж и атаки конкурентов в мире – вполне реальное явление. Стоит только вспомнить вирус Icefog.

Честная ли это конкуренция? Это конкуренция по-украински. Будь это в США, уже бы антимонопольный комитет и ФБР заинтересовались такой нечистоплотной компанией. 

Подводя итоги, хочу подчеркнуть, что вопрос недобросовестной конкуренции должны расследовать правоохранители. Российского следа, следа бывшего главы налоговой, следов динозавров и марсиан не нашли ни журналисты TJ, ни британского Wired, ни американского The New York Times.

Что касается государства, важно понимать, что вначале – следствие, а потом громкие заявления для западных изданий. Украинское государство не готово к мировым кибератакам. Яркий пример халатности – заявление замминистра информационной политики Дмитрия Золотухина для канала ”112 Украина", в котором он признался, что в своей работе государственного чиновника использует не защищенную технику и каналы связи, а "свой ноутбук"  (видео эфира смотреть с 11.30). Так у самых важных чиновников страны могут воровать важные гостайны, а они даже не чувствуют за это ответственности. 

В США Хиллари Клинтон обвинена в халатности за использование частной почты для государственных документов. Это стоило ей нескольких пунктов рейтинга, которых не хватило для победы. А в Украине замминистра за похожий проступок все еще на должности. При этом такие, как он, обвиняют во всех грехах только коммерческий сектор, не видя в себе еще большей угрозы. 

Важно: халатность государственных органов и чиновников ведет к возможности таких вот атак, как Petya.A.

Создает условия для нечестной конкуренции.

Источник: Kirill  Molchanov / Facebook

Опубликовано с личного разрешения автора