Международное расследование атаки на Norsk Hydro заняло 2,5 года
24/11/21
В марте 2019 года произошла крупнейшая в истории Норвегии кибератака – один из мировых производителей алюминия Norsk Hydro подвергся атаке с использованием вымогательского ПО, которая повлекла за собой сбой в работе производственных объектов. Порядка 500 серверов и 2,7 тыс. компьютеров компании были заблокированы, а на мониторах отображалось уведомление с требованием выкупа.
В расследовании данного инцидента участвовали восемь стран, в результате чего в конце октября нынешнего года власти задержали десяток подозреваемых в Украине и Швейцарии. Теперь прокуроры Норвегии, Франции, Великобритании и Украины оценят имеющиеся доказательства и решат, как продвигаться дальше.
Хронология дела Norsk Hydro подчеркивает сложный характер и часто медленные темпы международных правоохранительных расследований, которые должны соответствовать строгим юридическим требованиям. По словам прокуроров, международное сотрудничество полиции требует «очень и очень много времени».
В марте Nork Hydro заявила, что инцидент обошелся ей в сумму от 800 млн до 1 млрд норвежских крон (около $90 млн и $112 млн соответственно). Norsk Hydro с готовностью поделилась выводами своего внутреннего расследования с норвежскими следователями. Тем не менее властям Норвегии пришлось ждать, пока Norsk Hydro восстановит свои системы, прежде чем они смогли получить от компании большую часть сведений. Ограниченные возможности путешествий на фоне пандемии COVID-19 также замедлили ход расследования. Должностные лица часто общались по видеоконференцсвязи, но конфиденциальную информацию обсуждали только лично.
Хакеры, организовавшие атаку, выдавали себя за легитимных пользователей в сети компании с целью установить программу-вымогатель. Злоумышленники проникли в систему компании в декабре 2018 года путем отправки вредоносного письма якобы от имени делового партнера.
После атаки ИБ-специалисты Norsk Hydro разделились на три группы. Одна из них работала над устранением проблем после взлома, другая занималась расследованием, а третья восстанавливала системы. Примерно в то же время следователи французской полиции, расследовавшие отдельный инцидент с вымогательским ПО поняли, что он связан с инцидентом Norsk Hydro, и они попросили объединить расследования.
В определенные моменты норвежским властям приходилось ждать с получением свидетельств взлома, потому что уголовное законодательство в некоторых из вовлеченных стран требовало решения суда для обмена данными.
В конечном итоге сотрудничество привело к полицейским рейдам. 29 октября нынешнего года Европол сообщил об аресте 12 человек, подозреваемых в осуществлении вымогательских атак. В ходе обысков полиция изъяла пять автомобилей класса люкс, электронные устройства и $52 тыс. наличными.