16 мая 2017

ОТРАВИТЕЛИ

Сотни тысяч компьютеров во всём мире поражены вирусом-вымогателем WannaCry
Фото: ссылка
ОТРАВИТЕЛИ - отравители колодцев: «Однажды ночью, когда все уже спали, в город явилась ведьма и влила семь капель лютого зелья в колодец, и примолвила: – Пусть отныне всякий испивший этой водицы лишится рассудка! Утром все горожане, кроме царя и его главного советника, напились той воды и безумие завладело их рассудком – сбылась ведьмина ворожба. Весь день в переулках и на рыночных площадях люди только и делали, что шептали друг другу на ухо: – Царь обезумел... Наш царь и его советник повредились в уме... Виданое ли дело, чтоб нами правил обезумевший царь! Долой его с трона!»
Джебран Халиль Джебран. Из книги «Безумец. Его притчи и стихи».

12 мая во всем мире начались массовые хакерские атаки. С этого дня компьютеры всего мира находятся под действием атаки, оказавшейся самой масштабной за всю историю. К 16 мая вирусом-вымогателем WanaCrypt0r 2.0 (он же WannaCry) заражены уже, по разным оценкам, от 200 тысяч до миллиона компьютеров в не менее чем 150 странах. Атакованы как компьютеры как частных лиц, так и коммерческих структур и госорганизаций, включая спецслужбы. Как минимум 40 тысяч компьютеров пострадали только в Китае. Атакам подверглись серверы больниц Великобритании, крупнейший железнодорожный оператор Германии, французский автопроизводитель ​Renault и другие.

В России хакеры атаковали сервер МВД, МЧС, Минздрава, РЖД, телекоммуникационные компании с «МегаФон», «ВымпелКом» и МТС и ряда российских банков. Атаки на электронную инфраструктуру зафиксировал Сбербанк. По некоторым данным, атакам подверглись и серверы Следственного комитета, однако в СК эту информацию опровергли.

Вирус, блокируя файлы в компьютерах, работающих на операционной системе Windows старой версии, требует выкуп за их разблокировку - платить надо в биткоинах. За снятие блокировки пользователям предлагалось в течение трех суток заплатить выкуп - от 300 до 600 долларов. И многие деньги перевели. Так, исполнители кибератаки уже получили более 42 тысяч долларов, однако до сих пор сумма со счетов не снята.

Глава Microsoft Брэд Смит заявил, что доля ответственности за глобальную кибератаку вируса-вымогателя WannaCry лежит на правительствах и спецслужбах, в частности он упомянул ЦРУ и АНБ США. По его словам, именно украденные из АНБ данные об уязвимостях затронули пользователей по всему миру. Предполагается, что создатели вируса взяли за основу вредоносную программу АНБ США Eternal Blue.

Слова Смита поддержал президент России Владимир Путин заявивший, что первичным источником вируса WannaCry являются американские спецслужбы. При этом российский лидер указал, что в результате хакерской атаки российские учреждения не понесли существенного ущерба.

Экспертные оценки

Историю с WannaCry назвали небывалой в истории массированной кибератакой всемирного значения. Но если слово «кибер» здесь ещё можно использовать, то остальные – нет. Это не атака и не всемирного значения. Это чисто медийный феномен. Ситуация следующая. Это обычный вирус, обычный винлокер, подобные которому в нашей, например, стране гуляют последние 10-12 лет. В WannaCry с точки зрения технологии нет ничего необычного, и с точки зрения метода внедрения – тоже. То есть это довольно распространённые вещи. Слова про атаку мирового значения, скорее, относятся к тому, что все мировые СМИ об этом пишут.

Вы можете найти в интернете статьи о, например, явлении ботнет (про это писали довольно много раз),. Ботнет – это сеть заражённых компьютеров. Она содержит в себе по меньшей мере миллиона полтора инфицированных устройств (есть мнения, что и гораздо больше). Хозяева компьютеров-зомби не знают о том, что они заражены и ботнет работает. Есть управляющий сервер, который присылает задания этим компьютерам – они их исполняют. То есть компьютеры превращены в рабов хакеров, которые сумели поставить на них вирусы. Хакеры «скликивают» рекламу на Ютубе – вот их бизнес. Вместе они «скликивают» рекламу в видео-роликах на три миллиона долларов в день. То есть это один из самых крупных хакерских проектов. Представьте себе: миллионы заражённых компьютеров, три миллиона долларов в день. А тут вам рассказывают, что «кибератака мирового значения» – это когда по всему миру заражено 200 тысяч пользователей и эти злоумышленники заработали 42 тысячи долларов. Понимаете соотношение?

Дело в том, что атаки идут всё время. Последняя отличается от предыдущих только тем, что, во-первых, вирус сам себя объявляет – «я тут, на компьютере, вот тебе страшная красная плашка, я тебя сейчас напугаю, а ты мне деньги плати». И, во-вторых, тем, что СМИ это дело раскрутили с действительно редким размахом. Каждый день в оборот мировой сети запускают несколько множество вирусов – 30-40 тысяч. И создаются они в основном автоматическими генераторами вирусов. Это работает так: вирус берёт генераторы вирусов уже с известными деталями (такой конструктор); хакер выбирает, какие свойства ему нужны, генерирует вирус; потом прогоняет его через наиболее популярные антивирусы (их штук тридцать), удостоверяется, что вирус их пробивает в настоящий момент, его не ловят. После этого хакер отдаёт продукт тем, кто умеет рассеять вирус. Например, разослать в электронной почте в спаме, применяется социотехника, уговаривающая открыть вложения. Или выкладывают вирус на серверы, где скачивают популярные фильмы, программы, порно, ещё что-то. Выкладывают заражённые файлы и добиваются, чтобы их тоже скачали. То есть идёт посев вируса с применением социотехники. Большинство вирусов, сгенерированные таким образом, не становятся успешными. Но какие-то становятся успешными – и гораздо более успешными, чем этот вирус WannaCry. Только они тихие. Они создают ботнет на миллион компьютеров и дальше начинают тихо, эффективно выкачивать для своих хозяев деньги, то есть рассылать спам, взламывать сервера, осуществлять DDoS-атаки и так далее. Поскольку они себя не рекламируют, то пользователи элементарно не знают, что их компьютеры заражены. Поэтому истерия о том, что это «самая крупная атака в истории» – это всё ерунда. Это просто журналисты придумали.

Крупных атак было в истории много. Самая первая массовая атака, про которую много писали, случилась в январе 2003 года. В сеть был запущен первый массовый «червь», который обрушил многое в Южной Корее, почти сорвал выборы в Канаде и так далее. Тоже действовал по всему миру, был не менее распространённым. То есть это довольно обычное, рядовое явление. Значит, уникальность майского вируса 2017 года только в том, что его очень сильно раскрутили СМИ. Почему – это отдельный разговор. Можно рассуждать о том, что уникальность WannaCry в том, что он не сконструирован генераторами, а извлечён из арсенала американского АНБ. Это боевой вирус, который слегка перелицевали, оживили (потому что в открытый доступ его выкладывали в результате утечек стерилизованным, неживым) – и запустили. Я думаю, что туда вставили плашку о шифровании с требованием о выкупе, чтобы он себя объявлял – просто для того, чтобы посмотреть, как вирус будет распространяться по миру. И действительно, сейчас журналисты услужливо делают карты распространения для хакеров.

В нашем сегменте интернета всюду пишется, что особенно сильно вирус ударил по России. Тут у многих возникает вопрос: можно ли представить интернет неким водоёмом, куда вирус изливается отравителями как яд? И каждый, кто испил из водоёма (то есть каждый, кто включил компьютер) в какой бы стране он не был – рискует. Есть ли у вирусов какая-то прицельность или нет?

Дело не в прицельности, просто разная уязвимость у разных регионов. Четырнадцать лет назад очень сильно зацепило Южную Корею. У них обрушилось чуть ли не всё: банки, супермаркеты, выключался свет. А в России ничего этого не было. Почему? Потому что тот вирус был направлен на серверы под управлением Windows, а у нас в стране гораздо более модные юникс-серверы. Кроме того, у корейцев был очень низкий уровень сисадминов – условно говоря, всякие пэтэушники занимались настройкой серверов, потому что же это Windows – каждый может... То есть Корея как регион была очень уязвима. А Россия тогда оказалась неуязвимой. Кроме всего прочего, у нас тогда были сверхквалифицированные сисадмины: как правило, люди с высшим образованием, окончившие физфак университета, Физтех, которые хорошо знали, что надо накатывать обновления. Дело в том, что тогда Microsoft тоже выкатил «заплатку» задолго. Нашёл уязвимость летом, за полгода до января 2003 года, объявил об уязвимости, выпустил заплатку, её нужно было скачать и обновить программное обеспечение. У нас в стране это просто все сделали, а в Корее нет, потому что там, видимо, вообще никто ничего не читал. То есть люди везде разные. У нас, например, сейчас велика доля пиратских версий Windows, которые не обновляются или обновляются как-то криво. Выросла доля пользователей, которые вообще не понимают, что такое обновление или что им надо защищаться. Вот оно и бабахнуло. То есть мы оказались уязвимы вовсе не потому, что кто-то на нас настраивался.

Есть, кстати, простое соображение (не моё, многие люди об этом пишут), что на самом деле, поскольку WannaCry довольно сильно нацелен на корпоративный формат файлов, которые он шифрует, то, если бы этот вирус был специально нацелен на Россию, было бы естественно ожидать, что будет использован формат файла 1С. Но вирусом WannaCry этот формат не обрабатывается. Файлы 1С, очень распространённые в нашей стране, не шифруются этим вирусом. Поэтому налицо просто общая уязвимость. Все регионы мира в плане компьютерной безопасности – очень разные. И здесь важна операционная обстановка. Везде люди разные, они по-разному ставят обновления, везде свой набор антивирусов и так далее. Поэтому на кого-то события 12-14 мая подействовали, на кого-то нет. Считайте, что на кого-то сильно действует солнце или перчённая пища, а на кого-то – нет.

Интернет – это не один водоём, он разбит на довольно замкнутые, хотя и сообщающиеся озёра. Например, если вы напишите вирус, который работает через паблики ВКонтакте, то вы не заразите никого в Америке. Люди везде используют разные средства. Везде разный набор программ. Например, русская, китайская или индийская Windows могут принципиально отличаться по уязвимости. То есть думать, что в интернете всё одинаковое, ты туда выплеснул яд и все одинаково отравились – это неверно. Кроме того, не забывайте, что бывают целевые – так называемые таргетированные атаки. Тогда вирус пишется вовсе не для того, чтобы широко распространиться, а для того чтобы внедриться куда-то в конкретную организацию. Такого сейчас тоже очень много. Для них пишутся специальные антивирусы, которые умеют бороться с таргетированными атаками не путём баз сигнатур вирусов, а путём анализа их поведения. Задействуются такие алгоритмы, которые смотрят: не совершает ли программа на компьютере подозрительных действий. Именно потому, что ни в каких базах антивирусов таргетированного вируса не будет. Он будет заточен только под МВД, только под медицину или ещё под что-то. Цель – украсть данные из конкретной организации. Но к WannaCry подобное отношения не имеет.

Кто же всё-таки устраивает подобные атаки? Есть два варианта. Либо это криминальное коммерческое подполье, такой андеграунд, то есть киберпреступники. Либо это спецслужбы. Но спецслужбы США, нападающие на Россию, вообразить сложно – это акт войны. Особенно, если атака касается критической инфраструктуры и госорганизаций. Этого никто в здравом уме делать вот так прямо не будет. Чушь это. То, что американцы пишут – чушь. Как и то, что мы ожидаем – США будут влиять на выборы-2018. Как только будет доказано (а доказано будет), что это атака именно американских спецслужб на Россию, мир войдёт в опасную фазу, чего никто не хочет. Почему США не объявляют нам войну из-за «атак русских хакеров»? Потому что все знают, что это медийный симулякр, что ничего этого не было на самом деле. Вот когда они Иран шарахнули этим вирусом Stuxnet и там пожгли центрифуги – вот там это был реальный акт войны. Но дело в том, что Иран для них и для израильтян – прямой военный противник. Поэтому я верю в то, что они на Иран напали и на Северную Корею могут напасть таким образом, но чтобы на Россию – не бывает так, это ерунда. Спецслужбы на критическую инфраструктуру не нападают, а уж коммерческие хакеры тем более, потому что им нужно, чтобы всё тихо работало и приносило им деньги. То есть WannaCry – не тот случай.

Президент «Microsoft Corp.» Бред Смит возлагает частичную ответственность за киберпроисшествие конца прошлой недели на спецслужбы правительства США. Раскритиковал американские разведслужбы, в том числе ЦРУ, АНБ. Но он же не обвинил их в кибервойне, а сказал совершенно другую вещь: «спецслужбы делают инструменты для работы, потом эти инструменты утекают через субподрядчиков, потом кто-то это применяет. А они, нехорошие люди, зная уязвимость Windows, которую, возможно, сами и нашли, никому об этом не сообщают, чтобы её годами эксплуатировать». Смит же эту претензию предъявляет. Разумная претензия? – да.

Зародилась и такая экзотическая версия, что это сама компания «Майкрософт» понуждает таким образом пользователей приобретать новые версии Windows и обновляться до них. Это, конечно, ерунда. Это равноценно тому, что моей жене Наталье Касперской уже почти 25 лет всякий, кто хочет искромётно пошутить, при встрече говорит: вы же, наверное, сами вирусы пишите в «Лаборатории Касперского». А я хочу озвучить другую версию. Представьте себе, что кто-то приготовил специальный патч как бы от «Майкрософта» с заранее заложенными туда уязвимостями. Дальше он запускает вирус, пользователи приходят в ужас, скачивают патч – и вот тогда они ставят, наконец, настоящую уязвимость.

Слово дня 15 мая 2017
Экспертные оценки:
1.0x