sunny
9°С Москва
USD 92.26
EUR 99.71
BTC 70,333.76
20:54 14 сентября 2018
Наука и техника

История "НеПети": зачем была нужна крупнейшая кибератака и кто за ней стоит

История "НеПети": зачем была нужна крупнейшая кибератака и кто за ней стоит

В июне 2017 года таинственный вирус NotPetya поразил сотни тысяч компьютеров по всему миру. В атаке обвинили русских хакеров, которые при этом использовали разработанных США "червей", а сами "серверы-убийцы" находились в Киеве. Как хакерам удалось парализовать сотни компаний и зачем была нужна атака, не принесшая им ни копейки?

Сели на мель всем офисом

В Копенгагене стоял прекрасный солнечный летний день, когда в крупнейшей в мире компании, специализирующейся на морских грузовых перевозках, начался настоящий хаос.

Штаб-квартира AP Møller-Maersk расположена у продуваемой ветрами, облицованной камнем эспланады городской гавани. У северо-восточного угла здания стоит корабельная мачта с датским флагом, и все шесть этажей с синими тонированными окнами смотрят на воду, где в доке ставит свою яхту датская королевская семья. В подвале этого здания сотрудники могут посетить корпоративный сувенирный магазин. Здесь же расположен центр технической поддержки – за одним единственным столом, рядом с кассиром магазина, сидят айтишники компании.

27 июня 2017 года растерянные сотрудники начали собираться у этого стола по двое и по трое, большинство – со своими ноутбуками. На экранах компьютеров высвечивались сообщения в черной и красной гамме: «Восстановление файловой системы на диске C» и жесткое требование не выключать компьютер. На мониторах некоторых машин появились более сюрреалистические сообщения - «упс, ваши важные файлы зашифрованы» и требование оплатить 300 долларов в биткоинах за разблокировку.

Системный администратор Хенрик Йенсен работал в другой части комплекса Maersk, в расположенном через улицу пышном здании из белого камня, которое в предыдущие века служило королевским архивом морских карт и лоций. (Хенрик Йенсен – это его не настоящее имя. Как и почти все сотрудники, клиенты или партнеры Maersk, с которым беседовал автор материала, он опасается последствий своих публичных выступлений). Йенсен занимался подготовкой обновления программного обеспечения для почти 80 тысяч сотрудников Maersk, когда его компьютер спонтанно перезапустился.

Йенсен тихо выругался. Он предположил, что незапланированная перезагрузка была типичным резким телодвижением центрального айти-отдела Maersk, не пользующегося большой любовью подразделения, расположенного в Англии. Подразделение поддерживало функционирование почти всей этой корпоративной империи, занимавшейся бизнесом по восьми направлениям – начиная от портов и логистических цепочек и заканчивая бурением нефтяных скважин. 574 офиса компании размещались в 130 странах мира.

Йенсен собирался спросить, прервали ли кого-нибудь еще в их опенспейсе айти-отдела таким же грубым образом. И когда он вытянул голову, то увидел, как в комнате быстро гаснут экраны мониторов. Один за другим.

«Я видел, как по экранам катилась черная волна. Черная, черная, черная. Черная, черная, черная, черная, черная», - вспоминает Йенсен.

Как быстро обнаружили Йенсен и его соседи, компьютеры были намертво заблокированы. После перезагрузки опять появлялся тот же самый черный экран.

Во штаб-квартире Maersk начали осознавать масштабы кризиса. Уже через полчаса сотрудники компании бегали по коридорам и кричали своим коллегам, чтобы они выключили свои компьютеры или же отключили их от корпоративной сети до того, как вредоносное программное обеспечение сможет заразить их. Их осенило, что каждая минута означает десятки или сотни зараженных компьютеров. Технари врывались в конференц-залы и отключали компьютеры прямо в разгар деловых совещаний. Вскоре сотрудники, собиравшиеся предупредить других обитателей здания, столкнулись с заблокированными дверями, которые открывались электронными ключами. Работа дверей также была парализована вредоносной и по-прежнему таинственной программой.

Айтишникам компании потребовалось более двух часов панических усилий, чтобы отключить всю компьютерную сеть. Каждый сотрудник получил указание выключить компьютер и оставить его на своем столе. Цифровые телефоны на каждом рабочем месте были бесполезны при аварийном отключении компьютерной сети.

Около 15.00 исполнительный директор Maersk вошел в комнату, где Йенсен и с десяток его коллег с тревогой ожидали новостей, и велел им идти домой. Компьютерная сеть Maersk была настолько сильно повреждена, что даже ее айтишники были бессильны что-либо сделать. Некоторые из менеджеров компании, приверженцы старых традиций, сказали своим подчиненным остаться в офисе. Но многие сотрудники, ставшие абсолютно бесполезными без компьютеров, серверов, маршрутизаторов или настольных телефонов, просто ушли.

Йенсен вышел из здания и окунулся в теплый июньский день. Как и подавляющее большинство работников Maersk, он понятия не имел, когда сможет вернуться на рабочее место. Морской гигант, нанявший его, ответственный за работу 76 портов со всех частях света, эксплуатирующий около 800 морских судов, включая контейнерные суда, перевозящие десятки миллионов тонн грузов, что составляет почти пятую часть всего судоходства в мире, сел на мель.

Атака Кремля американским червем

На окраине модного квартала Подол в Киеве кофейни и парки резко сменяет мрачный индустриальный пейзаж. Пройдя под дорожной эстакадой через усыпанные мусором железнодорожные пути в бетонные ворота, вы попадете в четырехэтажную штаб-квартиру Linkos Group, небольшой семейной украинской компании, специализирующейся на программном обеспечении.

Три лестничных пролетах вверх и вот вы уже серверной, где на стеллаже размещены компьютеры размером с коробку из под пиццы. Они соединены между собой клубком проводов и помечены пронумерованными от руки ярлыками. В обычный день эти серверы выдают нагора стандартные обновления - исправления ошибок, заплатки в системах безопасности, новые функции – для бухгалтерской программы M.E.Doc. Оно используется почти всеми, кто платит налоги или же занимается бизнесом на Украине.

Но на мгновение в 2017 году эти машины превратились в эпицентр самой разрушительной кибератаки с момента изобретения Интернета - атаки, которая началась, по крайней мере, с нападения одного государства на другое.

Последние четыре с половиной года Украина находится в состоянии необъявленной разрушительной войны с Россией, жертвами которой стали более 10 000 украинцев, а счет беженцев идет на миллионы. В ходе этого конфликта Украина превратилась в полигон для отработки тактики выжженной земли российскими кибервойсками. В 2015 и 2016 годах, когда связанные с Кремлем хакеры, известные как Fancy Bear, были заняты взломом серверов Национального комитета Демократической партии США, другая группа агентов, известных как Sandworm, взломала компьютерные сети десятков украинских правительственных организаций и компаний. Они проникли в сети жертв, начиная от средств массовой информации и заканчивая железнодорожными фирмами, взрывая логические бомбы, уничтожившие терабайты данных.

Но не эти атаки стали грандиозным финалом работы Sandworm. Весной 2017 года, без ведома кого-либо из Linkos Group, российские военные хакеры захватили серверы обновлений компании, что позволило им зайти с черного хода в тысячи компьютеров по всей стране и миру, в которых установлен M.E.Doc. Затем, в июне 2017 года, саботажники использовали этот черный ход, чтобы запустить кусок вредоносной программы под названием NotPetya, их самое разрушительное кибероружие до сей поры.

Код, который запустили хакеры, был заточен на то, чтобы распространяться автоматически, быстро и без разбора. «На тот момент это было самое быстрое распространяющееся вредоносное ПО, которое мы когда-либо видели», - говорит Крейг Уильямс, директор отдела в подразделении Cisco Talos, одной из первых компаний по обеспечению компьютерной безопасности, которая реконструировала и проанализировала NotPetya.

«Вы не успеете глазом моргнуть, а ваш дата-центр уже обрушился».

NotPetya был запущен с помощью двух работающих совместно хакерских эксплойтов, компьютерных программ, использующих уязвимости в программном обеспечении и применяемых для проведения атаки на вычислительную систему. Один из них, EternalBlue, был разработан Агентством национальной безопасности США, но просочился наружу после взлома ультрасекретных файлов агентства в начале 2017 года. EternalBlue использует уязвимость в конкретном протоколе Windows, позволяющую хакерам свободно управлять своим собственным кодом на любом компьютере, где не были установлены заплатки в системах безопасности.

Архитекторы NotPetya объединили эту цифровую отмычку с более старым изобретением, известным как Mimikatz, пробной версией, созданной французским экспертом в области компьютерной безопасности Бенджамином Делпи в 2011 году. Делпи изначально выпустил Mimikatz, чтобы продемонстрировать, что Windows оставляет пароли пользователей в оперативной памяти компьютеров. Как только хакеры получили первоначальный доступ к компьютеру, Mimikatz смог вытащить эти пароли и использовать их для взлома других машин, для доступа к которым использовались те же учетные данные. В сетях с многопользовательским доступом это позволяет провести автоматизированную атаку, перескакивая с одной машины к другой.

Еще до запуска NotPetya Microsoft выпустила патч для защиты от EternalBlue. Но EternalBlue и Mimikatz вместе, тем не менее, представляли смертельную комбинацию. «Вы можете заразить компьютеры, которые не пропатчены, а затем вы можете получить пароли с этих компьютеров, чтобы заразить другие компьютеры, которые были пропатчены», - говорит Делпи.

NotPetya был так назван из-за своего сходства с программой-вымогателем Petya, которая появилась в начале 2016 года и вымогала у жертв выкуп за разблокировку их файлов.

Но требования о выкупе от NotPetya были всего лишь уловкой: целью вредоносного ПО было просто разрушать.

Вирус необратимо зашифровывал основные загрузочные записи дисков компьютеров, хранящие информацию, где найти свою операционную систему. Попытки жертв атаки откупиться от него были бесполезны. Не существовало ключа, позволяющего расшифровать содержимое диска компьютера.

Запуск NotPetya был актом кибервойны, чтобы вы не вкладывали в это понятие. И он был даже более взрывоопасным, чем предполагали его создатели. Через несколько часов после своего появления, червь выскочил за пределы Украины и начал заражать бесчисленное количество компьютеров по всему миру, от больниц Пенсильвании до шоколадной фабрики в Тасмании. Он нарушил работу транснациональных компаний, включая Maersk, фармацевтический гигант Merck, европейскую дочернюю компанию FedEx TNT Express, французскую строительную компанию Saint-Gobain, производителя продуктов питания Mondelēz и корпорацию Reckitt Benckiser. В каждом случае, причиненный им ущерб исчислялся девятизначными цифрами. Он даже перекинулся обратно в Россию, заразив компьютеры государственной нефтяной компании «Роснефть».

Вирус без границ

Но история вируса NotPetya это не история про Maersk или же Украину. Это история об использовании национальным государством оружия в среде, где национальные границы не имеют никакого значения, и где сопутствующий ущерб распространяется сообразно жестокой и неожиданной логике: от удара, направленного на Украину, страдает Maersk, а удар по Maersk отзывается во всем мире.

Алексей Ясинский полагал, что в этот вторник в офисе ничего экстраординарного не случится. Завтра Украина готовилась отметить национальный праздник, День Конституции, и большинство его сослуживцев или планировали как провести выходные или уже отдыхали. Но не Ясинский. Последний год он возглавлял компьютерную лабораторию в Information Systems Security Partners (ISSP), компании, занимающейся кибербезопасностью, быстро завоевавшей авторитет среди жертв кибервойны против Украины.

Поэтому, когда утром ему позвонил директор ISSP и сказал, что Ощадбанк, второй по величине банк в Украине, подвергся хакерской атаке, его это особо не взволновало. В банке ISSP сообщили, что они столкнулись с вирусом-вымогателем. С подобными проблемами все чаще сталкиваются компании по всему миру, привлекающие внимание киберапреступников, ориентированных на получение прибыли. Но когда через полчаса Ясинский вошел в отдел ИТ-безопасности Ощадбанка в его центральном киевском офисе, он понял, что это было что-то новое. «Сотрудники были растеряны и шокированы», - вспоминает Ясинский. Около 90 процентов компьютеров банка (а их были тысячи) были заблокированы, демонстрируя сообщения от NotPetya о «восстановлении диска» и требования выкупа.

После быстрого изучения уцелевших журналов загрузки, Ясинский понял, что банк подвергся атаке «червя», который каким-то образом получил учетные права администратора. Поэтому он и разбушевался во внутренней сети банка как заключенный, укравший ключи у начальника тюрьмы.

Покуда он анализировал нарушения в работе банковской сети, уже сидя в офисе ISSP, Ясинскому начали поступать звонки и сообщения от людей по всей Украине. Аналогичные проблемы возникли в других компаниях и правительственных учреждениях. Один из звонивших рассказал, что жертва атаки попыталась заплатить выкуп. Как и подозревал Ясинский, это не возымело никакого эффекта. Это не был обычный вирус-вымогатель.

«Для этого не было никакой серебряной пули, никакого противоядия», - говорит он.

NotPetya пожирал живьем украинские компьютеры на общенациональном уровне. Только в Киеве червь поразил четыре больницы, шесть энергетических компаний, два аэропорта, более 22 украинских банков, банкоматы и карточные платежные системы у ритейлеров и на транспорте и практически все федеральные агентства. «Правительство перестало функционировать», - резюмирует министр инфраструктуры Украины Владимир Омелян. По данным ISSP, пострадали не менее 300 компаний, по оценке высокопоставленного правительственного чиновника 10 процентов всех компьютеров в стране были уничтожены. Атака даже привела к остановке компьютеров, используемых учеными на Чернобыльской очистной площадке, в 60 милях к северу от Киева. «Это была массовая бомбардировка всех наших систем», - говорит Омелян.

Портово-транспортный коллапс

На фоне этой эпидемии одна единственная инфекция стала особенно роковой для Maersk: в офисе в Одессе, финансовый руководитель операций Maersk на Украине попросил ИТ-администраторов установить программное обеспечение M.E.Doc на одном из компьютеров. У NotPetya появилась та единственная опора, в которой он нуждался.

Погрузочный терминал в Элизабет, штат Нью-Джерси – один из тех 76, что входят в управляющую контейнерными терминалами компанию APM Terminals, принадлежащую Maersk – расположен в заливе Ньюарк на рукотворном полуострове и занимает площадь в два с половиной квадратных километра.

Штабеля из десятков тысяч модульных грузовых контейнеров закрывают собой обширный асфальтовый пейзаж, и 60-метровые голубые краны нависают над заливом. С верхних этажей небоскребов нижнего Манхэттена, в восьми километрах отсюда, они выглядят как брахиозавры, собравшиеся на водопой в Юрский период.

В хороший день около 3 000 грузовиков прибывают к терминалу, чтобы разгрузить или встать под погрузку сотен тонн самого разнообразного товара – начиная от пеленок и заканчивая тракторными запчастями. Этот процесс, как и у авиапассажиров, начинается с регистрации грузовика у ворот терминала, где сканеры автоматически считывают штрих-коды контейнера, а клерк компании Maersk, сидящий на воротах, общается с водителем с помощью акустической системы. Водитель получает распечатанный пропуск, где указано место его парковки, чтобы массивный кран мог снять контейнер с платформы и поставить его в штабель в грузовой зоне. Оттуда он будет погружен на контейнеровоз и уплывет через океан. Ну, или все тоже самое, только в обратном порядке.

Утром 27 июня Пабло Фернандес ожидал, что десятки грузовых автомобилей встанут под разгрузку, а их контейнеры будут отправлены из Элизабет в один из портов Ближнего Востока. Фернандес - экспедитор - посредник, которому владельцы грузов платят, чтобы их собственность без проблем прибыла в пункт назначения в другой части света.

Около 9 часов утра по местному времени телефон Фернандеса начал гудеть – один за другим звонили разозленные владельцы грузов. Все они только что услышали от водителей грузовиков, что их транспортные средства застряли у принадлежащего компании Maersk терминала в Элизабет.

«Люди прыгали вверх и вниз», - говорит Фернандес. «Они не могли ни въехать, ни выехать с грузом с территории терминала».

Ворота, уязвимое место всего терминала Maersk в Нью-Джерси, встали. Замолчали и вахтеры у ворот.

Вскоре сотни большегрузных трейлеров вытянулись за пределами терминала в многокилометровую линию. Один из сотрудников расположенного поблизости терминала другой компании в том же порту Нью-Джерси наблюдал, как грузовики встают бампер к бамперу, и конец этой колонны уже было не разглядеть. Он видел, как за час до этого ворота отключались то на 15 минут, то на полчаса. Но через несколько часов, (Maersk все это время молчала) управление порта предупредило, что терминал компании будет закрыт на оставшуюся часть дня. «Именно тогда мы начали понимать, - вспоминает сотрудник близлежащего терминала, - это была атака». Полиция начала приказывать водителям, сидевшим в кабинах, разворачиваться со своим массивным грузом и убираться восвояси.

Фернандесу и бесчисленным другим обезумевшим клиентам Maersk приходилось выбирать между плохим и очень плохим. Они могли бы попытаться перекинуть свои ценные грузы на другие корабли по повышенным тарифам, так как все это делалось бы в последнюю минуту. Или же, если их груз был составной частью логистической цепочки, например, комплектующие для какого-либо производства, отключение ворот терминала означало оплату перевозки авиатранспортом по непомерным ценам. В противном случае возникал риск остановки производственного процесса. А один день простоя стоил бы сотни тысяч долларов. Многие контейнеры – рефрижераторы – были электрифицированы и набиты скоропортящимися товарами, требующими низких температур. Их нужно было подключить где-то к сети или же их содержимое начнет гнить.

Фернандесу пришлось найти склад в Нью-Джерси, где он мог оставить груз своих клиентов в ожидании сигналов от Maersk. Центральный веб-сайт компании Maerskline.com, где размещались заказы, не работал, а в самой компании никто не отвечал на телефонные звонки. Некоторые из контейнеров, которые он отправил на кораблях Maersk в тот день, еще три месяца будут болтаться неучтенными в грузовых терминалах и в портах по всему миру. «Это как черная дыра, - вспоминает Фернандес со вздохом. «Это была полная жо…а».

Фактически, это была катастрофа вселенского масштаба. Аналогичная драма разыгрывалась на 17 из 76 терминалов компании, от Лос-Анджелеса до Альхесираса в Испании, от Роттердама в Нидерландах до Мумбаи в Индии. Ворота были заблокированы. Краны застыли. Десятки тысяч грузовиков получили от ворот поворот у пребывающих в бессознательном состоянии терминалов по всему миру.

«Было понятно, что в глобальной транспортной сети проблем такого масштаба раньше не возникало», - вспоминает один из клиентов Maersk.

Эстафета Гана - Лондон

Спустя несколько дней после того как его компьютер выключился в офисе компании Maersk, Хенрик Йенсен сидел у себя в квартире в Копенгагене, наслаждаясь бранчем из яиц-пашот, тостов и мармелада. Поскольку после того как он ушел из офиса во вторник, никто из его начальников с ним не связывался. И вдруг его телефон зазвонил.

Ответив на звонок, он оказался на линии с тремя сотрудниками компании. Они сказали, что он необходим в офисе Maersk в Мейденхед, в Великобритании, где размещалась штаб-квартира повелителей компьютерных сетей компании. Ему сказали бросить все и вылетать туда. Немедленно.

Два часа спустя Йенсен уже сидел в самолете, направлявшемся в Лондон. До восьмиэтажного здания из стекла и кирпича в центре Мейденхед он добирался на автомобиле. Когда он приехал, то обнаружил, что четвертый и пятый этажи здания были превращены в центр аварийных операций, работавший круглосуточно. Его единственная задача: восстановить глобальную сеть Maersk после того как ее обрушил NotPetya.

Приступивших к восстановлению сети компании ИТ-специалистов ждало ужасное открытие. Они располагали резервными копиями почти всех отдельных серверов Maersk, сделанными в период между семью и тремя днями до атаки NotPetya. Но никто не мог найти резервную копию для одного ключевого слоя сети компании: ее контроллеров домена, серверов, которые устанавливают основные правила, определяющие, какие пользователи имеют доступ к каким системам.

Порядка 150 контроллеров домена были запрограммированы на взаимную синхронизацию, так что теоретически любой из них мог бы функционировать как резервная копия для всех остальных. Но эта децентрализованная стратегия резервного копирования не учитывала один сценарий: если все контроллеры домена стираются одновременно. «Если мы не сможем восстановить контроллеры домена, - вспоминает свои ощущения сотрудник ИТ-подразделения Maersk, - мы ничего не можем восстановить».

После суматошного поиска – обзвона сотен админов в центрах обработки данных по всему миру, отчаявшиеся специалисты компании наконец, нашли один единственный выживший контроллер домена - в удаленном офисе в Гане. Незадолго до атаки NotPetya, здесь случилось отключение электричества и компьютер вырубился из сети. Таким образом, сохранилась единственная известная копия данных контроллера домена компании, нетронутая вредоносным ПО – благодаря перебоям с электричеством.

Однако, когда инженеры в Мейденхеде установили связь с офисом в Гане, они обнаружили, что пропускная способность линии была настолько маленькой, что для передачи резервной копии контроллера весом в сотни гигабайт в Великобританию потребовалось бы несколько дней. Возникла идея – посадить сотрудника офиса в Гане на ближайший самолет в Лондон. Но ни один из сотрудников западноафриканского офиса не имел британской визы.

В итоге была запущена эстафета: сотрудник из офиса в Гане вылетел в Нигерию, чтобы встретиться с другим сотрудником Maersk в аэропорту и передать ему драгоценный жесткий диск. Затем этот сотрудник сел на рейс в Великобританию и через шесть с половиной часов привез краеугольный камень всех восстановительных работ. Но для того, чтобы вернуть разбросанные по всему миру терминалы в рабочий режим потребуется больше недели.

Спустя пять месяцев после того как компания оправилась от атаки вируса, ее председатель Джим Хагеманн Снабе, сидевший на сцене Всемирного экономического форума в Давосе, Швейцария, высоко оценил «героические усилия» по спасению компьютерной сети.

Начиная с 27 июня, когда его первый раз разбудили телефонным звонком в 4 часа ночи в Калифорнии, сказал он, потребовалось всего 10 дней, чтобы компания перестроила всю свою сеть из 4000 серверов и 45 000 персональных компьютеров. (Полное восстановление заняло гораздо больше времени: некоторые сотрудники в Мейденхеде продолжали работать день и ночь в течение почти двух месяцев, чтобы восстановить настройку программного обеспечения.) «Мы преодолели проблему с помощью человеческой стойкости», - сказал Снабе аудитории.

Однако Снабе мало что сказал о политике компании в области компьютерной безопасности в эпоху до нападения вируса. Вплоть до дня атаки некоторые сервера компании работали на Windows 2000 – операционной системе такой старой, что Microsoft ее больше не поддерживала.

Некоторые компании заплатили еще дороже за подобную медлительность. В ходе выступления в Давосе Снабе утверждал, что общие объемы грузоперевозок в период бездействия, вызванного вирусом, сократились всего лишь на 20 процентов. Но помимо простоев, а также затрат на восстановление всей сети, Maersk также возместил многим своим клиентам расходы на перенаправление или хранение их выгруженного груза. Один из клиентов Maersk рассказал, что получил от компании чек с семизначной цифрой – на покрытие расходов на отправку груза самолетом, зафрахтованным в последний момент. «Они выплатили мне целый миллион после не более чем двухминутного обсуждения», - говорит он.

NotPetya не прощается

В целом, как сказал Снабе в Давосе, NotPetya обошелся Maersk от 250 до 300 миллионов долларов. Но большинство сотрудников компании, с которыми поговорил WIRED, считают, что бухгалтеры компании занизили цифру.

Гораздо сложнее оценить ущерб, нанесенный остановкой работы компании, глобальной логистической цепочке в целом, которая очень зависит от своевременной поставки товаров и промышленных изделий. И, конечно же, Maersk был не единственной жертвой. Merck, один из крупнейших фармпроизводителей в мире, вынужденный из-за вируса временно остановить производство некоторых лекарств, потерял 870 миллионов долларов из-за вредоносного ПО. FedEx, чья европейская дочерняя компания TNT Express пострадала в результате атаки вируса и которой потребовались месяцы, чтобы восстановить некоторые данные, потеряла 400 миллионов долларов. Французский строительный гигант Saint-Gobain потерял примерно столько же. Reckitt Benckiser, британский производитель презервативов Durex, потерял 129 миллионов долларов, а Mondelēz, владелец шоколадного производителя Cadbury, - 188 миллионов долларов. И это не считая непубличные компании, которые подсчитывали свои убытки втайне от широкой общественности.

Неделю спустя после вспышки вируса, украинская полиция в камуфляже и со штурмовыми винтовками, ворвалась в скромную штаб-квартиру Linkos Group. Они бежали по лестницам, как «морские котики», штурмующие дом бен Ладена.

По словам основателя компании Олеси Линник, полицейские направили винтовки на недоумевающих сотрудников и выстроили их в шеренгу в коридоре. На втором этаже, рядом с ее офисом, вооруженные полицейские даже разбили дверь одной из комнат металлической дубинкой, несмотря на предложение Линник открыть ее ключом. «Это была абсурдная ситуация», - говорит Линник.

Военизированный полицейский отряд наконец нашел то, что искал: стойку с серверами, которые сыграли роль нулевого пациента в распространении чумы по имени NotPetya. Они конфисковали совершившие преступление машины и положили их в полиэтиленовые пакеты.

Даже сейчас, когда после катастрофического распространения вируса прошло уже больше года, эксперты по кибербезопасности все еще спорят о тайнах NotPetya. Каковы были настоящие намерения хакеров? Сотрудники компании ISSP, в том числе Алексей Ясинский, считают, что это была операция не только уничтожения, но и очистки. В конце концов, хакеры, которые запустили вирус, месяцами имели беспрепятственный доступ к компьютерным сетям жертв. Помимо, спровоцированной им паники и сбоев в работе, NotPetya, возможно, также уничтожил доказательства шпионажа или даже разведки для будущего саботажа.

Тем не менее, почти все, кто изучал NotPetya, согласны с одним тезисом: все это может повториться или повториться в более широких масштабах. Глобальные корпорации слишком взаимосвязаны, информационная безопасность слишком сложная штука, линия фронта слишком растянута, чтобы защититься от подготовленных государством хакеров, намеревающихся высвободить следующего червя, что потрясет мир.