Киберрэкет мирового масштаба

№20(819) 19 -- 25 мая 2017 г. 17 Мая 2017 5

12 мая мир снова заговорил о хакерах, но не в связи с какими-либо выборами. Речь шла об интернет-мошенниках.

В прошлую пятницу компьютеры в 150 с лишним странах подверглись массовому заражению вирусом WannaCry (он же WannaCrypt).

Этот троян-шифровальщик проникает в систему и начинает кодировать имеющиеся в ней файлы. После этого компьютер блокируется, и на экране появляется сообщение о том, что данные зашифрованы и если пользователь хочет их вернуть, он должен перевести 300 долл. в биткоинах на указанный кошелек. В противном случае через три дня сумма выкупа будет удвоена, а через семь дней — зараженные данные удалены навсегда.

Троянский плач

В последние годы хакерские атаки против компаний, банков, отдельных людей и даже государств стали привычным делом, но заражение WannaCry беспрецедентно по своим масштабам. По данным Европола, по состоянию на 15 мая было атаковано более 200 тыс. пользователей по всему миру, что позволяет говорить о самом крупном в истории заражении вирусом-вымогателем.

Причем эпидемию пресекли не государственные службы по борьбе с киберугрозами, а 22-летний программист, который обнаружил, что вредоносная программа ссылается на некий анонимный несуществующий домен, и за 11 долл. зарегистрировал его на себя. Он хотел лишь изучить характер вируса, но неожиданно прервал его распространение. Видимо, создатели специально заложили в программу такой выключатель — на случай, если ситуация выйдет из-под контроля.

Как рассказали эксперты «Лаборатории Касперского», опасность нового вируса вот в чем: если для того, чтобы поймать обычный троян, пользователь должен сам совершить какую-то ошибку — скачать подозрительный файл, кликнуть на ненадежную ссылку, открыть вложение в письме, то WannaCry достаточно просто работающего и подключенного к интернету компьютера.

Вирус использовал известную уязвимость системы Windows и проникал в компьютеры по локальным сетям через используемый ими порт. Поэтому частным пользователям с индивидуальными роутерами опасность заражения не грозила. В компании Microsoft сообщили, что патч от уязвимости был выпущен еще несколько месяцев назад. Но многие пользователи предпочитают пиратский софт, а компании несвоевременно обновляют систему, поэтому они не установили обновление и оказались беззащитными перед атакой.

Очевидно, именно этим объясняется то, что лидером по числу заражений стала Россия (от 57 до 70% общего числа) — там многие пользователи отдают предпочтение нелицензионным программам, в т. ч. Windows, и не устанавливают обновлений. Хотя в последние годы Запад говорит о всесильных русских хакерах, в данном случае российские киберслужбы, похоже, оказались не на высоте. Ведь хакерской атаке подверглись даже государственные серверы.

Блокировку тысячи зараженных компьютеров (менее 1% общего количества) после паузы признали в МВД РФ — когда информация об этом просочилась в СМИ. «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус», — сообщила Ирина Волк, официальный представитель МВД России.

Также вирус вызвал сбой в работе кол-центра сотового оператора «Мегафон». Кроме того, об атаке сообщили в Минздраве, РЖД, Сбербанке, Банке России, МТС и «Вымпелкоме», но рапортовали, что вирус был отражен или же не повлек серьезных последствий.

Впрочем, не на высоте оказалась не только Россия. Заражению подверглись компьютеры испанского сотового оператора Telefonica, логистической компании FedEx, японских Nissan и Hitachi и даже сети госпиталей Великобритании, где использовались старые версии Windows, не получившие обновления. Некоторые больницы вынуждены были отменить запланированные операции и процедуры, перенаправив их выполение в другие больницы, не подвергшиеся атаке. Банки, по словам специалистов, пострадали меньше всего, так как чаще сталкиваются с подобными атаками и научились их отражать, да и вообще более ответственно подходят к обеспечению кибербезопасности — речь все же идет о больших деньгах.

Государственные информационные системы Украины, по официальным данным, в результате атаки почти не пострадали. Пресс-служба Госспецсвязи отметила, что «в результате оперативно принятых мер и благодаря заблаговременному предупреждению о массовой рассылке этого шифровальщика и предоставлению необходимых рекомендаций удалось избежать большинства случаев инфицирования информационных систем государственного сектора».

Правда, по данным «Лаборатории Касперского», антивирусной компании Avast и других экспертов, Украина находится в первой тройке или пятерке по числу заражений после России (лидирующей с большим отрывом) — наравне с Индией и Тайванем. Если украинским службам кибербезопасности удалось оперативно локализовать угрозу, можно только порадоваться. И надеяться — дело тут не в том, что общий уровень компьютеризации учреждений в нашей стране низок, значит, никакие вирусы им пока не грозят.

На мировом уровне эпидемия была купирована только к 15 мая. Хотя компьютерные эксперты предупреждают, что могут появиться клоны опасного вируса, уже без встроенного «выключателя», поэтому нужно быть наготове и не забывать обновлять защитное ПО.

Следствие ведут киберзнатоки

Несмотря на масштабы заражения, хакеры к 15 мая заработали всего около 50 тыс. долл., поступивших от тех, кто желал раскодировать свои данные. Вроде бы сумма небольшая, да и эпидемию удалось довольно быстро остановить. Но география и количество заражений обнажили огромные прорехи в кибербезопасности по всему миру и вывели угрозу на новый уровень. Ведь если сейчас, несмотря на все рассуждения о хакерах и цифровой защите, заблокированными оказались сотни тысяч компьютеров, в т. ч. государственных, кто может гарантировать, что в следующий раз не будут заражены системы железных дорог или министерств обороны?

По идее, произойти этого не должно, ведь если где-то кибербезопасность должна быть на высшем уровне, то именно в этих ведомствах. Но на практике возможно, что как раз государственные борцы с хакерами и стали косвенной (а по мнению конспирологов — и прямой) причиной эпидемии.

В США традиционно принято винить во всем русских хакеров, и на сей раз в СМИ тоже поначалу появились сообщения, что за атакой-де стоит группа Fancy Bear (эта группа — ее ассоциируют с Кремлем — ответственна, например, за обнародование информации о западных спортсменах, которым по состоянию здоровья разрешено принимать запрещенные препараты). Однако вскоре выяснилось, что след ведет в противоположном направлении — к самому Агентству национальной безопасности США (АНБ).

Для атаки хакеры использовали модифицированную программу EternalBlue, которая была разработана в АНБ. Вообще-то софт был украден хакерами из группы The Shadow Brokers у коллег из Equation Group в 2016-м и выложен в сети в апреле 2017-го. Вот только на связь Equation Group с АНБ указывали многие эксперты. Писали об этом и в WikiLeaks, а в «Лаборатории Касперского» обнаружили, что сама программа EternalBlue похожа на Stuxnet, компьютерного червя, которого американские и израильские спецслужбы использовали для атаки против объектов, связанных с иранской ядерной программой. Это, кстати, никакая не конспирология, а вполне официальная информация: в 2011 г. Хиллари Клинтон заявила, что проект по разработке вируса Stuxnet оказался успешным, и иранская ядерная программа была отброшена на несколько лет назад.

О том, что американские спецслужбы косвенно причастны к эпидемии, написал и самый известный экс-сотрудник ЦРУ и АНБ Эдвард Сноуден. «Решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизни пациентов больниц», — написал он в «Твиттере».

Если слова Сноудена кому-то показались неубедительными, позже их подтвердил другой авторитетный источник — сам президент Microsoft Брэд Смит. «Ранее мы уже видели, как данные об уязвимости, которые собирало ЦРУ, появились на WikiLeaks. Сейчас украденные у АНБ данные об уязвимости ударили по пользователям по всему миру», — написал Смит в своем блоге. Кражу вредоносных кодов у правительственных служб Смит считает аналогом похищения ракет «Томагавк» у американской армии, если бы речь шла об обычных вооружениях. Как тут не вспомнить, что сеть SkyNet, уничтожившая человечество в фильмах о Терминаторе, тоже была разработана американскими военными!

«Неоднократно «эксплойты» (подвид вредоносных программ, использующих уязвимость для взлома сетей. — В. С.), находящиеся в руках государственных органов, попадали в открытый доступ и причиняли масштабный ущерб», — добавил Смит. Он считает, что власти должны не использовать полученные данные об уязвимости системы для своих целей, а немедленно передавать их разработчикам, чтобы те могли оперативно устранить прорехи в безопасности.

В самом АНБ эти обвинения никак не прокомментировали, а представители Министерства внутренней безопасности США заявили, что в курсе ситуации с вирусом и работают над предотвращением заражений и устранением последствий. Несмотря на усилия спецслужб по всему миру, создателей вредоносного кода пока так и не удалось обнаружить. Это в случае «вмешательства» в американские выборы сразу было все ясно и ФБР, и ЦРУ, и другим службам, здесь же задача оказалась посложнее. Эксперты даже не могут сойтись во мнении, действовала ли это хорошо подготовленная группа профессионалов, дерзкие любители или даже просто хакер-одиночка, который решил подзаработать.

15 мая в Symantec и «Лаборатории Касперского» заявили, что более ранняя версия кода WannaCry появлялась в программах Lazarus Group, которую часто называют северокорейской хакерской организацией. На следующий день об этом со ссылкой на собственные источники написало и агентство Reuters, хотя делать выводы о причастности КНДР к атаке рано.

Характерно, что вредоносный код с легкостью попадал в компьютеры, использующие кириллицу, хотя вирусы, которые связывают с русскими хакерами, обычно избегали поражения таких машин. Кроме того, время создания кода указывает часовой пояс в девяти часах к востоку от Гринвича, что позволяет определить местоположение хакеров — Япония, Корея, Китай, Индонезия, Филиппины и Дальний Восток. Но все это — лишь косвенные улики, которые к тому же могут быть прописаны специально, чтобы запутать следствие.

То, что авторы вируса забыли зарегистрировать на себя домен, который в итоге остановил его распространение, позволяет некоторым экспертам предположить, что атака стала делом рук удачливых новичков. Но не исключено, что это была не ошибка, а хитро продуманный ход, реальной же целью атаки было не столько собрать побольше денег, сколько проверить уязвимость компьютеров по всему миру, замаскировав под попытку рэкета.

Все это не может не тревожить. В современных фильмах часто показывают, как хакеры, работающие на суперзлодея, перехватывают контроль над автомобилями в городе, атомными электростанциями или баллистическими ракетами, но совсем бы не хотелось, чтобы подобный сюжет стал реальностью.

Уважаемые читатели, PDF-версию статьи можно скачать здесь...

История болезни: найдите Квиташвили

«В названии законопроекта №6327 надо было написать: о лишении украинцев любых...

Мирный атом для Пхеньяна

В иррациональности следует обвинять вовсе не Пхеньян, а Соединенные

Фальшивая практичность рукотворного яда

Производство экоупаковки экономически более выгодно, чем приносящая огромный вред...

Российская угроза: Германия укрепляет рубежи...

Каждый год в Потсдаме, в исследовательском аналитическом IT-центре «Институт имени...

Загрузка...
Загрузка...

1 млрд. 281 млн. 238 тыс. грн. потрачено на армию...

Аграрии, работающие в поле, получили вчетверо меньше

Стон общества вместо вершины правосудия

Произошла еще одна публичная дискредитация судебной реформы, циничная демонстрация...

Компания «Благовест» поможет снять 1-комнатную...

По поводу правдивости указанной информации можно не переживать

Как закалялись кибермышцы

Вашингтону не следует в обязательном порядке отвечать контратакой

Морковка с ГМО

Не знаю, кто как, но президент выглядел абсолютно счастливым, когда объявил измученной...

Комментарии 0
Войдите, чтобы оставить комментарий
Пока пусто
Блоги

Авторские колонки

Ошибка