Saugumo analitikai įsitikinę, kad daugelio pirmųjų „Petya“ infekcijų priežastis – programišių pakoreguotas „MeDoc“ programinės įrangos atnaujinimas: virusas į sugadintus kompiuterius išplito naujinio pavidalu. Tuo tarpu J.Nicholso analizė parodė, kad toks viruso platinimo būdas buvo santykinai nesudėtinga užduotis. Mat plačiausius kelius tokiam viruso platinimui atvėrė „MeDoc“ kibernetinio saugumo spragos.
Ištyręs „MeDoc“ infrastruktūrą J.Nicholsas nustatė, kad centrinėse „MeDoc“ naujinių tarnybinėse stotyse buvo naudojama pasenusi FTP programinė įranga su puikiai žinoma saugumo spraga, kuria nesunku pasinaudoti pasitelkus viešai prieinamą programinę įranga. Kol kas nėra žinoma, ar būtent per šią spragą į Ukrainos įmones prasmuko programišiai – ir ar apskritai šia spraga buvo įmanoma pasinaudoti – tačiau tokių morališkai pasenusių technologijų naudojimas yra ženklas, kad sistema buvo apleista ir nesaugi bei galimai skylėta ne vienoje vietoje.
„Labai įmanoma, kad tą galėjo padaryti bet kas“, – sakė kibernetinio saugumo ekspertas. Tačiau pripažino, kad pats pasinaudoti FTP saugumo spragomis nebandė, nes nenorėjo atlikti jokių neteisėtų veiksmų. „Norint būti 100 proc. užtikrintam, reikėtų pačiam atlikti įsilaužimą į tarnybinę stotį“, – sakė J.Nicholsas.
Ukrainos valdžios institucijos jau informavo „MeDoc“ apie kriminalinių kaltinimų iškėlimo galimybę. Ukrainos kibernetinės policijos vadovas Serhijus Demidiukas per interviu naujienų agentūrai „Associated Press“ sakė, kad įmonė jau ne vieną kartą buvo įspėta dėl nepakankamo kibernetinio saugumo priemonių taikymo – dažniausiai įspėjimus pateikdavo privataus sektoriaus įmonės. „Jie apie savo spragas žinojo. Jiems įvairios antivirusines priemones kuriančios įmonės tą ne kartą sakė. Už tokį aplaidumą atsakingiems asmenims gresia baudžiamoji atsakomybė.“
Vargu ar ši informacija padės bent kiek aiškiau nustatyti, kas yra tikrieji šio kibernetinio išpuolio vykdytojai: kai pro saugumo spragas gali pralįsti net dramblių kaimenė, tą gali atlikti ir paprasčiausi nusikaltėliai. Tačiau jau nuo pirmųjų išpuolio dienų vis daugiau ir daugiau kibernetinio saugumo įmonių išpuolį sieja su Rusija, o penktadienį bendrovė ESET savo pranešime nurodė, kad išpuolio vykdytojai yra grupuotė „Dark Energy“, kuri 2016 metais buvo sutrikdžiusi elektros energijos tiekimą Ukrainoje. Sekmadienį kita su NATO bendradarbiaujanti įmonė oficialiai priskyrė „Petya“ ataką „valstybiniam veikėjui“ ir tvirtino, kad šis išpuolis yra pakankamas, kad inicijuotų kolektyvinį NATO šalių atsaką per penktojo straipsnio aktyvavimą.
