Największy w historii atak cyberterrorystów na kraje Europy, USA i Azji. Ucierpiały również polskie firmy.
Premier Beata Szydło zwołała w środę Rządowy Zespół Zarządzania Kryzysowego. Było to pokłosie zmasowanego ataku cybernetycznego, którego ofiarami padły firmy w Europie, Stanach Zjednoczonych i Azji. Do ataku doszło we wtorek po południu, a odpowiedzialnym był wirus Petya.
Pierwsza o ataku poinformowała Ukraina, gdzie zaatakowany został system bankowy i telekomunikacyjny. Utrudniona została praca największego lotniska, metra oraz zakładów energetycznych i ciepłowniczych.
Celem ataku były również polskie firmy. – Szereg firm został zaatakowany. W skrzynkach wielu firm znalazły się podejrzane maile, wiem o sporej liczbie wykrytych infekcji – alarmował dyrektor biura zarządzania usługami bezpieczeństwa w Exatel Jakub Syta.
Czarny wtorek
Atak zaczął się we wtorek po południu. Pierwszą instytucją, która poinformowała o problemie, był Narodowy Bank Ukrainy. Poinformowano, że niektóre banki mają problemy z płatnościami oraz obsługą klientów.
– Bank Narodowy jest przekonany, że ochrona infrastruktury bankowej przed oszustwami w cyberprzestrzeni zorganizowana jest w należyty sposób, a próby ataków komputerowych na systemy informatyczne banków zostaną zneutralizowane – brzmiało oświadczenie NBU.
Wkrótce okazało się, że skala ataku jest znacznie większa. Zaatakowane zostały komputery w siedzibie Rady Ministrów, o czym poinformował wicepremier Ukrainy Pawło Rozenko.
Ukraińcy najpierw podejrzewali o atak Rosję. – Atak zorganizowały służby specjalne Rosji – oświadczył doradca szefa MSW Anton Heraszczenko.
Wkrótce ogłoszono, że również Rosja padła ofiarą ataku. Wśród ofiar miał być rosyjski koncern naftowy Rosnieft. Zaatakowano rzekomo serwery koncernu i kontrolowanej przez niego spółki naftowej Basznieft. Firma miała reagować szybko i dzięki przejściu na system rezerwowy nie wstrzymano wydobycia i przetwarzania ropy. Atak na systemy informatyczne odnotowała również firma Evraz. Eksperci zachodni są jednak sceptyczni, podkreślają, iż śladowy atak na firmy rosyjskie w żaden sposób nie może być traktowany jako dowód, iż za globalnym cyberterrorystycznym atakiem nie stoi Rosja.
Jak poinformowała firma Group-IB, zaatakowanych zostało też kilkadziesiąt innych firm na Ukrainie i w Rosji. Wirus odpowiedzialny za sytuację, Petya, blokował komputery, a rzekomym sposobem na ich odblokowanie była wpłata równowartości 300 dolarów w bitcoinach na wskazany adres.
Szturm na Zachód
Po informacjach, jakie zaczęły spływać z Ukrainy i Rosji okazało się, że także firmy i instytucje w krajach Europy Zachodniej padły ofiarami ataku.
W Danii zaatakowany został koncern A.P. Moeller-Maersk działający w branży transportu morskiego i energii. – Możemy potwierdzić, że systemy teleinformatyczne Maersk nie działają (…) na skutek cyberataku. W dalszym ciągu oceniamy sytuację. Bezpieczeństwo naszych pracowników, naszych operacji i interesy naszych klientów jest naszym najwyższym priorytetem – informowało biuro prasowe.
W Wielkiej Brytanii spółka WPP z branży reklamy i public relations (poinformowała, że wiele należących do niej firm padło ofiarą ataku, ale nie podała szczegółów). We Francji koncern materiałowy Saint-Gobain. W Holandii terminale w największym w Europie porcie w Rotterdamie.
W Norwegii była to międzynarodowa firma, której norweskie służby nie wymieniły z nazwy.
Natomiast media w Hiszpanii informowały o atakach na międzynarodowe firmy – np. giganta spożywczego Mondelez czy firmę prawniczą DLA Piper.
Szwajcarska agencja rządowa MELANI stwierdziła, że do ataku użyto wirusa Petya, który jeszcze w 2016 roku spowodował awarie systemów teleinformatycznych.
Zaatakowano również Polskę
W Polsce cyberatak nabrał siły we wtorek ok. godziny 15.00, ale według zajmującego się bezpieczeństwem w sieci portalu Niebezpiecznik.pl pierwsze przypadki ataków odnotowano ok. godziny 13.00. Problemy dotknęły firm z branży logistycznej i mniejszych spółek usługowo-handlowych.
– Do bycia ofiarą ataku w Polsce przyznało się kilka polskich spółek. Firma Raben ze względu na „międzynarodowe zagrożenie wirusowe wstrzymała wszystkie operacje transportowe”, a od rana nie funkcjonuje też Inter Cars. Wiemy też o ofiarach wśród kancelarii prawnych. Wedle naszych Czytelników, ofiarą ransomware padły też firmy: TNT w Katowicach, Kronospan, Mondelez we Wrocławiu oraz jedna z działających na polskim rynku firm medycznych obecna także za wschodnią granicą. Nikt więc nie powinien się więc czuć bezpiecznie – informował Niebezpiecznik.pl.
Jeszcze we wtorek wieczorem rzecznik prasowy Ministerstwa Cyfryzacji Karol Manys przekonywał, że Narodowe Centrum Cyberbezpieczeństwa „nie otrzymało żadnych niepokojących sygnałów z Polski”.
Departament Bezpieczeństwa Narodowego KPRM podał wieczorem, że Agencja Bezpieczeństwa Wewnętrznego monitoruje sytuację, a do Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL nie wpłynęło żadne zgłoszenie dotyczące wirusa typu ransomware o nazwie Petya potwierdzające, by instytucje z zakresu CERT.GOV.PL (administracja rządowa oraz infrastruktura krytyczna) padły ofiarą kampanii hakerskiej.
Jednak już późnym wieczorem rzecznik prasowy rządu Rafał Bochenek poinformował, że premier Beata Szydło zwołała na środę Rządowy Zespół Zarządzania Kryzysowego.
Co ciekawe – wcześniej zastępca ministra koordynatora służb specjalnych Maciej Wąsik twierdził, że nie ma sygnałów o aktywności hakerskiej w publicznej domenie w Polsce, a CERT ABW nie sygnalizował „żadnych szczególnych” zdarzeń.
Atak na świecie
Ataki nie ograniczały się tylko do Europy. W Stanach Zjednoczonych pierwszym odnotowanym celem cyberataku był koncern farmaceutyczny Merck. – Nasz system informatyczny został złamany na skutek światowego cyberataku – przekazała rzeczniczka prasowa koncernu. Atak wykryto ok. godziny 17.00 czasu polskiego, początkowo w oddziałach na Wschodnim Wybrzeżu USA. Zaatakowane zostały firmy również w Azji – np. w Indiach.
Wszystkie ataki były podobne. Petya blokował komputer, a na ekranie wyświetlał się komunikat: „Jeśli widzisz ten tekst, to oznacza, że Twoje pliki nie są już dostępne, bo zostały zaszyfrowane. Być może jesteś teraz zajęty poszukiwaniem sposobu, by odzyskać swoje pliki, ale nie trać czasu. Nikt nie może odzyskać plików bez odszyfrowania ich przez nas”.
Eksperci Niebezpiecznik.pl, którzy na bieżąco monitorowali sytuację, uprzedzali jednak, by nie wpłacać okupu, bo skrzynka hakerów została wyłączona.
Z kolei amerykański producent oprogramowania antywirusowego „Norton”, firma Symantec wskazała, że za atakiem stoi grupa hakerska Lazarus, która wiąże się z Koreą Północną.
Strach ma wielkie oczy
Najbardziej niepokojące informacje napływały jednak z Ukrainy. Wirus nie ominął bowiem sieci komputerowej w nieczynnej elektrowni atomowej w Czarnobylu – informowała „Rzeczpospolita”.
Ukraińskie władze uspokajały jednak, że systemy technologiczne stacji działają w zwykłym trybie (elektrownia w Czarnobylu została zamknięta po wybuchu jej czwartego reaktora w 1986 roku, ale obecnie działa tam zakład przechowywania zużytego paliwa jądrowego).
Po ataku nie działała jednak strona internetowa elektrowni. – W wyniku tymczasowego odłączenia systemu Windows monitoring promieniowania placu przemysłowego (wokół reaktora – red.) odbywa się ręcznie. Automatyczny system kontroli promieniowania w strefie działa w trybie zwykłym – oświadczono w komunikacie.
Ataki nasilają się
Wtorkowy atak był kolejnym w ostatnim czasie. W maju przeprowadzono podobny atak na masową skalę. Ofiar wirusa o nazwie WannaCry było ponad 200 tys. w 150 krajach. Były to m.in. brytyjskie szpitale, rosyjskie i chińskie ministerstwa, firmy telekomunikacyjne (rosyjski Megafon, hiszpańska Telefonica, Portugal Telecom), uczelnie, producenci samochodów (Renault, Nissan) czy przewoźnicy i kurierzy (Frankfurt Sbahn, Deutsche Bahn, Fedex).
To, co powinno budzić zaniepokojenie to fakt, że wówczas atakiem padły komputery użytkowników systemu Windows, którzy od miesięcy go nie aktualizowali. W przypadku Petya ofiarami padli nawet ci użytkownicy, którzy posiadali w pełni zaktualizowane systemy operacyjne.