Он обрушил британскую систему здравоохранения, парализовал главную испанскую телекоммуникационную сеть, пробрался на заводы Renault и хозяйничал на компьютерах МВД РФ. Про него говорили Владимир Путин, Эдвард Сноуден, президент Microsoft, начальник кибербезопасности Австралии и другие высокопоставленные лица. Он появился только 12 мая, а уже навёл шороху во всём мире. Эпидемия WannaCry – не самая масштабная и не самая прибыльная для хакеров, но это главная эпидемия нашего времени. Потому что WCry показал – привычный нам цифровой мир можно выключить буквально щелчком пальцев.
Впрочем, вирус этого (пока?) не сделал – как и не принёс своим создателям оглушительных денег, несмотря на сверхзвуковую скорость распространения. А ещё в истории его разработки тянется шлейф из американских спецслужб и русских хакеров. Что-то тут явно не так – давайте разбираться, что именно.
Анамнез
Как это часто бывает с резонансными историями с тёмным прошлым, точно отследить первоначальную цепь событий почти невозможно – официальные лица перекладывают вину друг на друга, государственные структуры молчат, СМИ перевирают данные в угоду текущей информационной повестке.
Более-менее устоявшаяся версия событий следующая: летом прошлого года из технологических недр АНБ (Агентство национальной безопасности США) хакерская организация Shadow Brokers украла тонну кибероружия, которое американские спецслужбы использовали для своих целей. Событие, мягко говоря, незаурядное: все равно, что какая-нибудь организация обчистила бы засекреченную американскую базу.
Шумиху удалось замять, но в апреле 2017-ого правда всплыла наружу – Shadow Brokers начала выкладывать эксплойты в открытом доступе, видимо, отчаявшись их продать. Попутно хакеры оставили напутственное сообщение: мол, во всём виноват Трамп – отдали за него голос на выборах, а он разочаровал. Некоторые аналитики тут же связали деятельность группы то ли с российским правительством, то ли с российскими спецслужбами. Джейк Уильямс, исполнительный директор по кибербезопасности Rendition Infosec, назвал публикацию эксплойта «Местью России за ракетные удары по Сирии». С ним не согласился эксперт Джеймс Брэдфорд, написавший в колонке Reuters, что «Если бы Россия украла данные, им не было смысла их выкладывать и уж тем более пытаться продать».
В любом случае, какими бы мотивами ни руководствовалась Shadow Brokers, хакеры открыли ящик Пандоры, выпустив оттуда всю нечисть. Особую популярность, как позже выяснилось, получил вирус Eternal Blue, написанный специально для нужд АНБ. Эксплойт умеет проникать в брешь непропатченных версий Windows (особенно старых), используя для этого порт 445. Именно по такой схеме и работает WannaCry, окропивший всю планету за несколько суток. Вирус-вымогатель шифрует данные на жестком диске компьютера и требует выкуп за их разблокировку.
Анатомия вируса
Первоначальная скорость распространения WannaCry пугает – за сутки эта гадость облетела более 70 стран, поразив около сотни тысяч устройств. Сейчас же, по данным сайта MalwareTech botnet tracker, инфицировано более 300 тысяч систем. Первую волну удалось остановить благодаря наблюдательности 22-летнего английского программиста Марка Хатчинса. Парень увидел, что вирус шлёт сигналы на незарегистрированный домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Программист вместе со своим 28-летним коллегой зарегистрировал этот домен, и вирус «выключился».
Ребята тут же стали большими звёздами в Интернете (Марка позвали работать на Центр правительственной связи Великобритании), но вскоре вышла обновлённая версия вируса, лишённая этого изъяна, и эпидемия продолжилась.
Безусловно, по сравнению с крупными ботнетами, состоящими из миллионов зомби-устройств, показатели WCry не столь внушительны. Но здесь следует понимать, что речь идёт не о простом кликере рекламы – под ударом вымогателя оказались крупные государственные и частные компании без которых невозможно привычное функционирование общества. Кроме того, у вируса чрезвычайно опасная схема распространения, которая в теории может привести к настоящему хаосу.
Чтобы подхватить WannaCry, необязательно ничего скачивать – он попадёт, грубо говоря, сам, через ту самую уязвимость в ОС. Это может быть большой неожиданностью даже для технически грамотного человека, который уверен, что «Если не нажимать на ссылки, то ничего и не произойдёт». Как выясняется, произойти может и без вашего участия; тот редкий случай, когда актуальна бессмертная фраза «Я ничего не делала, оно само».
Вторая особенность WannaCry – заразив устройство, он тут же ищет доступ в локальную сеть. И если доступ есть, а защиты почему-то не предусмотрено, то мгновенно поражается целая организация – поэтому так быстро под удар попали разнообразные социальные структуры, где к безопасности на местах обычно относятся спустя рукава. Плюс эффект неожиданности: на рабочем терминале, где, в обывательском смысле, вообще нет интерфейса, вдруг появляется зараза, уместная скорее для ноутбука подростка или бабушки. Или устройстве с важными данными – Интернет полон историй, как пациентов (в том числе и тяжелобольных) британских больниц приходилось отправлять домой или перенаправлять в другие клиники, потому что системы просто вышли из строя.
Заразившийся пользователь видит перед собой типичный баннер-вымогатель: WannaCry шифрует некоторые файлы, после чего вывешивает на рабочий стол условия. Необходимо отправить на биткоин-кошелёк эквивалент 300-600 долларов – итоговая сумма зависит от расторопности. Если жертва этого не сделает, через некоторое время файлы уничтожатся. Судя по отзывам экспертов из Symantec, отсылать деньги вымогателям бессмысленно – во-первых, так вы поддерживаете преступников, во-вторых, алгоритм выдачи ключей расшифровки написан с ошибкой. Пострадавшие, видимо, солидарны с Symantec и расстаются со средствами неохотно – на данный момент злоумышленники набрали почти 90 тысяч долларов со всех трёх известных биткоин-кошельков. Деньги вымогатели не снимают, несмотря на криптозащиту и анонимность цифровой валюты.
Складывается впечатление, что эпидемия WCry носит подчеркнуто демонстративный характер. Сотни заражённых уличных устройств, включая торговые автоматы и цифровые таблички, быть может, не представляют угрозу общественному строю, но наглядно демонстрируют, в какое время мы живем. Внезапно инфицированный банкомат, в котором вы привыкли каждый месяц снимать зарплату, пугает стократ больше, чем любые интернет-истории о хакерах и троянах: это произошло с вами, в вашем городе и с вашими знакомыми. Как будто бы наглядность и максимальная публичность – главное, чего добивались авторы WannaCry. И это странно – обычно вирусы создаются для другого.
…но лишь тогда, когда мне это будет выгодно
Давайте вновь посчитаем чужие деньги – за всё время работы авторы WannaCry получили 90 тысяч долларов. Учитывая объём заражённых устройств и шумиху, что крутится вокруг вируса, это копейки. Любой мало-мальски «раскрученный» троян за месяц заработает если не больше, то и не сильно меньше. И продолжит работать – втихую, без всей этой шумихи. Всего, напомним, от WCry пострадало около 300 тысяч устройств – это значит, что «расплатилось» с вымогателями менее 0,1% жертв.
Как-то не сходится. Интересен и очаг распространения – если верить карте Check Point, вирус особенно лютует на территории России, Индии, Украины, Тайваня, в меньшей степени Китая и, в последние дни, США. Минимальный тариф за разблокировку, напомним, составляет 300 долларов – примерно 17 тысяч российских рублей. Далеко не каждый гражданин РФ или Украины согласится отдать такую сумму, чтобы вернуть к жизни цифровые данные. Скорее всего, никаких важных данных у среднестатистического россиянина нет; да и едва ли он оценит их в стоимость бюджетного ноутбука.
Аналогичная ситуация с Тайванем – там серьёзно пострадал образовательный сектор: школы, университеты. Их сотрудники, разумеется, никакого выкупа не платили, ведь, учитывая масштаб, итоговая сумма могла бы перекрыть весь бюджет, который поступил не из частного кармана. Это вообще характерно для пострадавших государственных структур, проигнорировавших функцию оплаты – как минимум потому, что в таких организациях масштабные траты зачастую невозможны без бюрократических процедур. Возможно, авторы WannaCry метили в обеспеченные, но не защищённые частные компании. Возможно, надеялись на простых пользователей. Но одно точно можно сказать наверняка – если вымогатели хотели много заработать за счёт жертв, их план провалился.
Однако вирусы не всегда приносят деньги «в лоб» – иногда в игру вступают другие факторы. Кому может быть выгодна масштабная истерия вокруг WannaCry? Ответов, на самом деле, гораздо больше, чем кажется на первый взгляд.
Наиболее логичный вариант – антивирусные компании. В 2016-м, по сообщению РБК, продажи антивирусного ПО были худшими за последние три года. А что же сейчас? Например, выросли акции Sophos – производителя систем информационной безопасности – на целых 8,5%, и достигли рекордных значений. Как нетрудно догадаться, всплеск произошёл на фоне новостей о деятельности WannaCry.
Не отстают и коллеги. У финской компании F-Secure обновлён 16-летний максимум. На 3,5% подорожали бумаги NCC Group. Может так быть, чтобы компании по защите ПО всего мира скинулись и распространили опасный вирус, чтобы напомнить о себе?
Второй возможный мотив, точнее, целый кластер – политические притязания различных государств. Под шумок «киберэпидемии» можно как обвинить международного оппонента (что, собственно, и произошло), так и подружиться ради долгоиграющей выгоды. Можно пролоббировать ряд реформ по импортозамещению – пресс-секретарь МВД РФ Ирина Волк уже заявила, что серверы ведомства не пострадали только потому, что они работают на других операционных системах, под управлением отечественного процессора «Эльбрус». «Защита от страшного вируса» – отличный предлог, чтобы запретить компаниям использовать «дырявую» Windows, а вместо него обязать ставить отечественный заменитель. Опять же, пример Китая, где давно переходят на свой софт – уровень заражений там гораздо ниже, чем в том же Тайване и Индии.
Потирают сейчас руки и компании, которые делают системы кибербезопасности для организаций. WannaCry вывел проблему на глобальный уровень, а им только это и надо: испуганное правительство теперь точно раскошелится на пару крупных заказов. Ради такого стоило слегка переписать Eternal Blue и вбросить вирус в населённые страны. А громкий след АНБ, опять же, поможет оставаться в тени.
Наконец, на такой шаг могла пойти и сама Microsoft. Может показаться, что это ситуация из разряда «назло бабушке отморожу себе уши», но давайте порассуждаем. Таким нехитрым образом компания привлекает внимание к новой ОС, напоминая всем луддитам, сидящим на XP и других «старичках» – это уже небезопасно, переходите на «десятку», а заодно и обогатите наши счета на сотни миллионов долларов. Дополнительный плюс в копилку Microsoft – оперативно закрытая уязвимость: обновление безопасности вышло еще в марте. Да и экстренно выпущенный патч для неподдерживаемых версий как бы подчёркивает – смотрите, как мы о вас заботимся, обновляем 14-летний Windows Server 2003.
О дивный новый мир
Кто бы ни стоял за масштабной кибератакой, им удалось наглядно показать уязвимость современной цивилизации. Наше мнимое благополучие и якобы защищённость мощными технологиями может развалиться за пару дней. Банки перестанут работать, встанут заводы, взбесится электроника, поезда сойдут с ума, сотовые операторы поднимут белый флаг, телевидение потухнет, интернет-провайдеры отключатся. А виной всему будет несложный вирус, юркнувший в морально устаревшую операционную систему. Апокалипсис, иди за мной.
Автор текста: Илья Божко
Источник: 4pda.ru