Skip to main navigation menu Skip to main content Skip to site footer
Problemy Współczesnej Kryminalistyki

Vol. 25 (2021)

Artykuły

NotPetya – forensics and Polish criminal law perspective analysis

  • Piotr Słowiński
DOI: https://doi.org/10.52097/pwk.5356  [Google Scholar]
Published: 2023-03-23

Abstract

The aim of the article is to analyse NotPetya’s cyber-attack in terms of forensics and Polish criminal law. The discussion of forensic aspects includes the identification of techniques, tactics and procedures used by the perpetrators to launch the attack, including the malicious software used, the identification of victims and the justification for their selection by the attackers. In addition, difficulties in identifying the perpetrators have been outlined. The legal analysis included an indication of the possible legal classification of acts committed by the perpetrators under the Polish criminal code. The work concludes with an assessment of the significance of the attack, conclusions de lege ferenda, both for forensics and criminal law.

References

  1. Literatura [Google Scholar]
  2. Greenberg A., Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers, Doubleday, New York 2019. [Google Scholar]
  3. Maymí F., Bixler R., Jones R., Lathrop S., Towards a definition of cyberspace tactics, techniques and procedures, 2017 IEEE International Conference on Big Data (Big Data), Boston, MA, 2017, doi: 10.1109/BigData.2017.8258514, https://ieeexplore.ieee.org/document/8258514. [Google Scholar]
  4. Wróbel W., Zając D., Art. 268(a), w: Kodeks karny. Część szczególna. Tom II. Część II. Komentarz do art. art. 212–277d, Wolters Kluwer Polska, 2017, dostępny w: SIP Lex Omega. [Google Scholar]
  5. Źródła prawa [Google Scholar]
  6. Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (t.j. Dz. U. z 2020 r., poz. 1444). [Google Scholar]
  7. Źródła internetowe [Google Scholar]
  8. Bossert T., It’s official: North Korea is behind WannaCry, „The Wall Street Journal”, 18.12.2017, https://www.wsj.com/articles/its-official-north-korea-is-behind-wannacry-1513642537 (dostęp 30.09.2020). [Google Scholar]
  9. Botezatu B., Massive GoldenEye ransomware campaign slams worldwide users, Bitdefender, 28.06.2017, https://labs.bitdefender.com/2017/06/massive-goldeneye-ransomware-campaign-slams-worldwide-users/ (dostęp 30.09.2020). [Google Scholar]
  10. Brewster T., Is this Ukrainian company the source of the “NotPetya” ransomware explosion?, Forbes, 27.06.2017, https://www.forbes.com/sites/thomasbrewster/2017/06/27/medoc-firm-blamed-for-ransomware-outbreak/#7ba793fd73c8 (dostęp 30.09.2020). [Google Scholar]
  11. Brumfield C., Russia’s Sandworm hacking group heralds new era of cyber warfare, CSO Online, 22.11.2019, https://www.csoonline.com/article/3455172/russias-sandworm-hacking-group-heralds-new-era-of-cyber-warfare.html (dostęp 30.09.2020). [Google Scholar]
  12. Cerulus L., How Ukraine became a test bed for cyberweaponry, POLITICO, 14.02.2019, https://www.politico.eu/article/ukraine-cyber-war-frontline-russia-malware-attacks/ (dostęp 30.09.2020). [Google Scholar]
  13. Cherepanov A., Analysis of TeleBots’ cunning backdoor, WeLiveSecurity ESET, 04.07.2017, https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/ (dostęp 30.09.2020). [Google Scholar]
  14. Cherepanov A., TeleBots are back: Supply-chain attacks against Ukraine, WeLiveSecurity ESET, 30.06.2017, https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/ (dostęp 30.09.2020). [Google Scholar]
  15. Chiu A., New ransomware variant “Nyetya” compromises systems worldwide, Talos Intelligence Blog, 06.07.2017, https://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html; (dostęp 30.09.2020). [Google Scholar]
  16. Cimpanu C., M.E.Doc software was backdoored 3 times, servers left without updates since 2013, Bleeping Computer, 06.07.2017, https://www.bleepingcomputer.com/news/security/m-e-doc-software-was-backdoored-3-times-servers-left-without-updates-since-2013/; (dostęp 30.09.2020). [Google Scholar]
  17. Cimpanu C., Ukrainian police seize servers from where NotPetya outbreak first spread, Bleeping Computer, 04.07.2017, https://www.bleepingcomputer.com/news/security/ukrainian-police-seize-servers-from-where-notpetya-outbreak-first-spread/ (dostęp 30.09.2020). [Google Scholar]
  18. Command and Control (C&C) Server, TrendMicro, https://www.trendmicro.com/vinfo/us/security/definition/command-and-control-server (dostęp 30.09.2020). [Google Scholar]
  19. Cyber-attack: Europol says it was unprecedented in scale, BBC, 13.05.2017, https://www.bbc.com/news/world-europe-39907965 (dostęp 30.09.2020). [Google Scholar]
  20. DOD Dictionary of Military and Associated Terms, Department of Defense, https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/dictionary.pdf (dostęp 30.09.2020). [Google Scholar]
  21. Enterprise Matrix, MITRE ATT&CK, https://attack.mitre.org/matrices/enterprise/ (dostęp 30.09.2020). [Google Scholar]
  22. Exim Mail Transfer Agent Actively Exploited by Russian GRU Cyber Actors, National Security Agency US, 28.05.2020, https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2196511/exim-mail-transfer-agent-actively-exploited-by-russian-gru-cyber-actors/ (dostęp 30.09.2020). [Google Scholar]
  23. FedEx Corp. 2019 Annual Report, https://s1.q4cdn.com/714383399/files/doc_financials/annual/2019/FedEx-Corporation-2019-Annual-Report.pdf?utm_source=InvestorRelations&utm_medium=Referral&utm_campaign=AnnualReport2018&utm_content=FinancialInformationAnnualReports (dostęp 30.09.2020). [Google Scholar]
  24. Frankowicz K., WannaCry Ransomware, CERT.PL, https://www.cert.pl/news/single/wannacry-ransomware/ (dostęp 30.09.2020). [Google Scholar]
  25. Goodin D., Tuesday’s massive ransomware outbreak was, in fact, something much worse, Ars Technica, 28.06.2017, https://arstechnica.com/information-technology/2017/06/petya-outbreak-was-a-chaos-sowing-wiper-not-profit-seeking-ransomware/ (dostęp 30.09.2020). [Google Scholar]
  26. GReAT, Schroedinger’s Pet(ya), Securelist Kaspersky, 27.06.2017, https://securelist.com/schroedingers-petya/78870/ (dostęp 30.09.2020). [Google Scholar]
  27. Greenberg A., The confessions of Marcus Hutchins, the hacker who saved the Internet, WIRED, 12.05.2020, https://www.wired.com/story/confessions-marcus-hutchins-hacker-who-saved-the-internet/ (dostęp 30.09.2020). [Google Scholar]
  28. Greenberg A., The untold story of NotPetya, the most devastating cyberattack in history, WIRED, 22.08.2018, https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/ (dostęp 30.09.2020). [Google Scholar]
  29. Grossman N., EternalBlue – everything there is to know, Checkpoint, 29.09.2017, https://research.checkpoint.com/2017/eternalblue-everything-know/ (dostęp 30.09.2020). [Google Scholar]
  30. Haertle A., Komputery ofiar NotPetya mogły być zainfekowane co najmniej od kwietnia, Zaufana Trzecia Strona, 04.07.2017, https://zaufanatrzeciastrona.pl/post/komputery-zaatakowane-przez-notpetya-mogly-byc-zainfekowane-co-najmniej-od-kwietnia/ (dostęp: 30.09.2020). [Google Scholar]
  31. Helmore E., Ransomware attack reveals breakdown in US intelligence protocols, expert says, „The Guardian”, 13.05.2017, https://www.theguardian.com/technology/2017/may/13/ransomware-cyber-attack-us-intelligence (dostęp 30.09.2020). [Google Scholar]
  32. How to Accidentally Stop a Global Cyber Attacks, MalwareTech, 13.05.2017, https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html (dostęp 30.09.2020). [Google Scholar]
  33. https://en.wikipedia.org/wiki/GRU_(G.U.) (dostęp 30.09.2020). [Google Scholar]
  34. https://pl.wikipedia.org/wiki/G%C5%82%C3%B3wny_Zarz%C4%85d_Wywiadowczy (dostęp 30.09.2020). [Google Scholar]
  35. https://www.pcmag.com/encyclopedia/term/kill-switch (dostęp: 30.09.2020). [Google Scholar]
  36. https://www.techopedia.com/definition/4001/kill-switch (dostęp 30.09.2020). [Google Scholar]
  37. Hultquist J., Sandworm team and the Ukrainian power authority attacks, FireEye, 08.01.2016, https://www.fireeye.com/blog/threat-research/2016/01/ukraine-and-sandworm-team.html (dostęp 30.09.2020). [Google Scholar]
  38. Ivanov A., Mamedov O., ExPetr/Petya/NotPetya is a wiper, not ransomware, Securelist Kaspersky, 28.06.2017, https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/ (dostęp 30.09.2020). [Google Scholar]
  39. Kolejny groźny globalny atak: ransomware Petya (NotPetya). Ofiary także w Polsce. Dotyczy również zaktualizowanych Windowsów!, Niebezpiecznik, 27.06.2017, https://niebezpiecznik.pl/post/kolejny-grozny-globalny-atak-tym-razem-ransomware-petya-ofiary-sa-takze-w-polsce/ (dostęp 30.09.2020). [Google Scholar]
  40. Kovacs E., U.S., Canada, Australia attribute NotPetya attack to Russia, Security Week,16.02.2018, https://www.securityweek.com/us-canada-australia-attribute-notpetya-attack-russia (dostęp 30.09.2020). [Google Scholar]
  41. Lee T.B., The WannaCry ransomware attack was temporarily halted. But it’s not over yet, Vox, 15.05.2017, https://www.vox.com/new-money/2017/5/15/15641196/wannacry-ransomware-windows-xp (dostęp 30.09.2020). [Google Scholar]
  42. M.E.Doc developer signs agreement with SBU on countering cyberattack threats, Interfax Ukraine, 12.07.2018, https://en.interfax.com.ua/news/general/517610.html (dostęp 30.09.2020). [Google Scholar]
  43. Majdan K., Hakerzy wywołali chaos na Ukrainie. Jak doszło do ataku ransomware?, Business Insider, 28.06.2017, https://businessinsider.com.pl/technologie/nowe-technologie/notpetya-atak-zlosliwym-oprogramowaniem-na-ukraine/s7bnll2 (dostęp 30.09.2020). [Google Scholar]
  44. Maloney S., What is an Advanced Persistent Threat (APT)?, Cybereason, 09.01.2018, https://www.cybereason.com/blog/advanced-persistent-threat-apt (dostęp: 30.09.2020). [Google Scholar]
  45. Malware Spotlight: What are wipers?, Infosec Institute, 19.11.2019, https://resources.infosecinstitute.com/malware-spotlight-what-are-wipers/#gref (dostęp 30.09.2020). [Google Scholar]
  46. Microsoft Defender ATP Research Team, New ransomware, old techniques: Petya adds worm capabilities, Microsoft, 27.06.2017, https://www.microsoft.com/security/blog/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/?source=mmpc (dostęp 30.09.2020). [Google Scholar]
  47. Nakashima E., Russian military was behind ‘NotPetya’ cyberattack in Ukraine, CIA concludes, „The Washington Post”, 13.01.2018, https://www.washingtonpost.com/world/national-security/russian-military-was-behind-notpetya-cyberattack-in-ukraine-cia-concludes/2018/01/12/048d8506-f7ca-11e7-b34a-b85626af34ef_story.html (dostęp 30.09.2020). [Google Scholar]
  48. Newman L.H., The ransomware meltdown experts warned about is here, WIRED, 12.05.2017, https://www.wired.com/2017/05/ransomware-meltdown-experts-warned/ (dostęp 30.09.2020). [Google Scholar]
  49. Oprogramowanie ransomware, Malwarebytes, https://pl.malwarebytes.com/ransomware/ (dostęp 30.09.2020). [Google Scholar]
  50. Osborne C., NonPetya ransomware forced Maersk to reinstall 4000 servers, 45000 PCs, ZDNet, 26.01.2018, https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-due-to-notpetya-attack/ (dostęp 30.09.2020). [Google Scholar]
  51. Palmer D., Petya ransomware: Cyberattack costs could hit $300m for shipping giant Maersk, ZDNet, 16.08.2017, https://www.zdnet.com/article/petya-ransomware-cyber-attack-costs-could-hit-300m-for-shipping-giant-maersk/ (dostęp 30.09.2020). [Google Scholar]
  52. Palmer D., Security warning: Attackers are using these five hacking tools to target you, [Google Scholar]
  53. ZDNet, 11.10.2018, https://www.zdnet.com/article/security-warning-attackers-are-using-these-five-hacking-tools-to-target-you/ (dostęp 30.09.2020). [Google Scholar]
  54. Perekalin A., Bad Rabbit: nowa epidemia ransomware, Kaspersky Blog, 24.10.2017, https://plblog.kaspersky.com/bad-rabbit-ransomware/8396/ (dostęp 30.09.2020). [Google Scholar]
  55. Petya Ransomware: What we know now, ESET, 27.06.2017, https://www.eset.com/us/about/newsroom/corporate-blog/petya-ransomware-what-we-know-now/; (dostęp 30.09.2020). [Google Scholar]
  56. Pompeo M.R., The United States Condemns Russian Cyber Attack Against the Country of Georgia, Press Statement, Department of State US, 20.02.2020, https://www.state.gov/the-united-states-condemns-russian-cyber-attack-against-the-country-of-georgia/ (dostęp 30.09.2020). [Google Scholar]
  57. Porup J.M., What is Mimikatz? And how to defend against this password stealing tool, CSO Online, 05.03.2019, https://www.csoonline.com/article/3353416/what-is-mimikatz-and-how-to-defend-against-this-password-stealing-tool.html (dostęp 30.09.2020). [Google Scholar]
  58. Прикриттям наймасштабнішої кібератаки в історії України став вірус Petya (Diskcoder.C) (tłum. na ang.: Petya virus (Diskcoder.C) became a cover for the largest cyber attack in the history of Ukraine), Cyberpolice Ukraine, 05.07.2017, https://cyberpolice.gov.ua/news/prykryttyam-najmasshtabnishoyi-kiberataky-v-istoriyi-ukrayiny-stav-virus-diskcoderc-881/ (dostęp 30.09.2020). [Google Scholar]
  59. Ransomware definition, w: Cambridge Dictionary Online, https://dictionary.cambridge.org/pl/dictionary/english/ransomware (dostęp 30.09.2020). [Google Scholar]
  60. Ransomware, TrendMicro, https://www.trendmicro.com/vinfo/us/security/definition/ransomware; (dostęp 30.09.2020). [Google Scholar]
  61. Reckless campaign of cyber attacks by Russian military intelligence service exposed, National Cyber Security Centre UK, 03.10.2018, https://www.ncsc.gov.uk/news/reckless-campaign-cyber-attacks-russian-military-intelligence-service-exposed (dostęp 30.09.2020). [Google Scholar]
  62. Rouse M., Obfuscation definition, Techtarget, https://searchsoftwarequality.techtarget.com/definition/obfuscatio (dostęp 30.09.2020). [Google Scholar]
  63. Rządowy zespół kryzysowy o cyberatakach, IAR, 28.06.2017, https://www.polskieradio.pl/78/1227/Artykul/1782601,Rzadowy-zespol-kryzysowy-o-cyberatakach; (dostęp 30.09.2020). [Google Scholar]
  64. Smith B., The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack, Microsoft Blog, 14.05.2017, https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/ (dostęp 30.09.2020). [Google Scholar]
  65. Symantec Security Response Team, What you need to know about the WannaCry Ransomware, Symantec (Broadcom), 23.10.2017, https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/wannacry-ransomware-attack (dostęp 30.09.2020). [Google Scholar]
  66. Tactics, Techniques and Procedures, Radware, 09.12.2019, https://security.radware.com/ddos-experts-insider/hackers-corner/tactics-techniques-procedures/ (dostęp 30.09.2020). [Google Scholar]
  67. TeleBots aka Sanworm, Malpedia, https://malpedia.caad.fkie.fraunhofer.de/actor/telebots (dostęp 30.09.2020). [Google Scholar]
  68. The Dukes. 7 Years of Russian Cyberespionage, F-Secure, 09.2016, https://blog-assets.f-secure.com/wp-content/uploads/2020/03/18122307/F-Secure_Dukes_Whitepaper.pdf (dostęp 30.09.2020). [Google Scholar]
  69. Threat Intelligence Report OPERATION ‘Rocket Man’, Security Response Center (ESRC), 08.2018, http://blog.alyac.co.kr/attachment/cfile24.uf@99219C4F5BC3F4E01751D3.pdf (dostęp 30.09.2020). [Google Scholar]
  70. V. Chebyshev et al., IT threat evolution Q3 2019. Statistics, Securelist Kaspersky, 29.11.2019, https://securelist.com/it-threat-evolution-q3-2019-statistics/95269/ (dostęp 30.09.2020). [Google Scholar]
  71. Voreacos D., Chiglinsky K., Griffin R., Merck cyberattack’s $1.3 billion question: Was it an act of war?, Bloomberg, 03.12.2019, https://www.bloomberg.com/news/features/2019-12-03/merck-cyberattack-s-1-3-billion-question-was-it-an-act-of-war (dostęp 30.09.2020). [Google Scholar]
  72. Wakefield J., Tax software blamed for cyber-attack spread, BBC, 28.06.2017, https://www.bbc.com/news/technology-40428967 (dostęp 30.09.2020). [Google Scholar]
  73. WannaCry Ransomware, EUROPOL EC3, https://www.europol.europa.eu/wannacry-ransomware; (dostęp 30.09.2020). [Google Scholar]
  74. WannaCry: BSI ruft Betroffene auf, Infektionen zu melden, Heise Online, https://www.heise.de/newsticker/meldung/WannaCry-BSI-ruft-Betroffene-auf-Infektionen-zu-melden-3713442.html (dostęp 30.09.2020). [Google Scholar]
  75. What Is an Advanced Persistent Threat (APT)?, Cisco, https://www.cisco.com/c/en/us/products/security/advanced-persistent-threat.html (dostęp 30.09.2020). [Google Scholar]
  76. Wiele polskich firm zostało zaatakowanych przez wirusa Petya, Polskie Radio 24, 28.06.2017, https://www.polskieradio.pl/130/3993/Artykul/1782398,Wiele-polskich-firm-zostalo-zaatakowanych-przez-wirusa-Petya (dostęp 30.09.2020). [Google Scholar]
  77. Media społecznościowe [Google Scholar]
  78. Post opublikowany na portalu społecznościowym Facebook, https://www.facebook.com/medoc.ua/posts/1904044929883085 (dostęp 30.09.2020). [Google Scholar]
  79. Post opublikowany na portalu społecznościowym Twitter, https://twitter.com/craiu/status/880343543373586432 (dostęp 30.09.2020). [Google Scholar]
  80. Post opublikowany na portalu społecznościowym Twitter, https://twitter.com/Snowden/status/863425539616284673 (dostęp 30.09.2020). [Google Scholar]
  81. Post opublikowany na portalu społecznościowym Twitter, https://twitter.com/kaspersky/status/879749175570817024/photo/1 (dostęp 30.09.2020). [Google Scholar]
  82. Post opublikowany na portalu społecznościowym Twitter, https://twitter.com/CyberpoliceUA/status/879772963658235904?s=20 (dostęp 30.09.2020). [Google Scholar]