Создать публикацию

Вирус Петя и Сонм совпадений

Вирус Петя (на самом деле нет)
Вирус Петя (на самом деле нет)

27 июня я написал пост, в котором предположил, что мне арест акций, принадлежащих АФК "Система" вполне логичен, поскольку АФК, с одной стороны, называет иск "Роснефти" необоснованным, а свою позицию юридически безупречной. А с другой стороны сообщает "Ведомостям", что "Роснефть" не предлагает внесудебного урегулирования. Но если позиция юридически безупречна - зачем тогда внесудебное урегулирование? Тогда надо идти в суд. И поскольку тут очевидны некоторые противоречия, то арест акций кажется вполне разумной обеспечительной мерой. А то мало ли что.

Но я-то просто предположил, а добрые люди™ показали, что параллельно с чаяниями внесудебного урегулирования, некоторые блогеры пишут очень, очень похожие друг на друга посты:

Имен блогеров не даю, у каждого свой хлеб. Но найдете без труда.
Имен блогеров не даю, у каждого свой хлеб. Но найдете без труда.

Обратите внимание на тезисы: "деньги есть", "АФК предлагает пойти на мировую" и "не пора ли власти вмешаться?". А теперь другой пост:

Подсказка: из Телеграма
Подсказка: из Телеграма

Видите? "Деньги есть", "АФК предлагает мировое соглашение", "апеллируют к Кремлю". Не знаю, как вам, а лично мне кажется, что это кампания. А зачем кампания тем, у кого безупречная юридическая позиция? Ну, разве что эти два блогера (а есть и другие, просто не хочу утяжелять текст) просто так совпали во мнениях.

Так зародились мои сомнения, а теперь о том, какие другие сомнения родились из этих сомнений. Я опубликовал свой пост в 11:54, а всего через полтора часа, когда обсуждение в комментариях было в самом разгаре, в Твиттере появилось вот это:

Моей первой реакцией было - DDOS-атака, и и это, вроде бы, блестяще подтверждало мою гипотезу о том, что у АФК не всё в порядке с юридической позицией. Если есть кампания (см. два поста выше), то DDOS-атака на серверы цели - это логичное дополнение этой кампании.

Но в тот момент еще никто не знал, что будет дальше. Обратите внимание на время - 14:38. Уже в 14:53 в Телеграм-канале Сайберсекьюрити и Ко появились следующие сообщения:

У всех всё плохо
У всех всё плохо

Это - первые сообщения о вирусной атаке в канале человека, который следит за вирусными атаками. Именно из них стало понятно, что речь идет не о DDOS-атаке, а о вирусе-вымогателе. Его название еще не известно, но подразумевается WannCry, атаковавший весь мир всего 6 недель назад. То есть, Роснефть и Башнефть попали под удар этого вируса первыми. И только потом зараза стала расползаться по другим кампаниям и странам.

Но вирус-вымогатель - это не DDOS-атака. Если DDOS-атаку можно предположить составной частью кампании, то атаку вируса-вымогателя как-то не очень. Тем более, что в тематических каналах стали писать, что речь идет об известном еще с апреля 2016 года вирусе Petya. А первая атака этого вируса была направлена на компании Германии, а вовсе не на "Роснефть" и "Башнефть". "Совпадение" - подумал я.

Но жизнь меня опровергла. "Лаборатория Касперского" заявила, что это - не Petya. А совсем другой вирус.

В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью.

undefined

А позже стало известно, что вирус этот никакой не вымогатель, я прямой терминатор-деструктор, базвозвратно уничтожающий данные.

Это не шифрующий данные вымогатель (ransomware), а деструктивная программа уничтожения данных. Шифрование данных, выполняемое вирусом, необратимо.

undefined

Справедливости ради замечу, что автор этих слов, ведущий Телеграм-канала Сайберсекьюрити и Ко, далее пишет вот что:

Сейчас я могу подтвердить, что атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый, энергетический сектор и гос. аппарат.

undefined

Но ведь в его собственном канале первые сообщения об атаке касались вовсе никакой не Украины, а "Роснефти" и "Башнефти". На серверах "Башнефти" столько всего интересного о предмете судебного разбирательства. А "Роснефть" управляет огромной инфраструктурой, и разве есть лучший способ реализовать тезис "пора государству вмешаться" (то есть - обратить на ситуацию внимание первого лица), чем парализовать эту инфраструктуру?

И это чуть было не удалось. Вот сообщение от 15:05 (напомню, первое сообщение об атаке было в 14:30):

Хакеры атаковали нефтедобытчиков в ХМАО. Все крупнейшие месторождения "встали" из-за вируса, который распространился сегодня утром на компьютерах дочерних предприятий "Роснефти". Под атаку попали ВСЕ активы компании, включая "Юганскнефтегаз", "Самотлорнефтегаз", "Варьеганнефтегаз". Для понимания: прямо в эту секунду, парализована добыча примерно каждой третьей тонны российской нефти.

undefined

Я ничего не берусь утверждать. Но АФК "Система" - это крупнейшая в стране IT-компания с широчайшим спектром специализаций. И на следующий день после того, как суд арестовывает принадлежащие ей акции, на сервера истца и компании, являющейся предметом судебного разбирательства, обрушивается масштабнейшая кибератака, имеющая своей целью уничтожить все данные (в том числе, например, все операционные данные о предыдущих владельцах). Параллельно с этим мы наблюдаем массовую публикацию постов о том, что арест акций необоснован, что надо договариваться и что государство должно вмешаться в спор двух хозяйствующих субъектов. Не знаю, как вам, а лично мне кажется, что как-то многовато тут совпадений.

А Украина - это как раз очень удобно для того, чтобы переключить внимание с намеренного уничтожения данных.

Это просто оценочное суждение. Гипотеза без подтверждения. Набор совпадений.

А там уже сами судите.

p.s. Вот вы не поверите, но уже после того, как я написал этот текст, то зашел на ФБ к автору самого первого поста сверху. Того самого, где про "лихую корпорацию" и "не пора ли вмешаться?" И ВОТ ЧТО УВИДЕЛ:

Ты туда не смотри, ты сюда смотри!
Ты туда не смотри, ты сюда смотри!

Ну что - это тоже совпадение, а? Участник кампании переводит стрелки на Украину.

Да, наверное, это тоже совпадение. Только я уже сбился со счета, которое именно.