И.С. Ашманов. Расстановка точек над вирусной атакой
http://ic.pics.livejournal.com/ss69100/44650003/1066441/1066441_300.jpgСамая массовая вирусная атака в истории»! Вирус остановил компьютеры всего мира! Это атака спецслужб! Они хотят посеять хаос! А если они в метро или на АЭС!!!
Это сейчас можно услышать по всем каналам, от Первого на центральном ТВ до самого последнего блога.
На самом деле, конечно, как обычно, всё не совсем так или совсем не так.
Для тех, кто привычно читает заголовок и первые шесть абзацев, сразу сообщу содержание и выводы. В сети такой спойлер называется TLDR (too long; didn’t read).
Итак,
TLDR:
Атака – довольно типовая. Это обычный вирус-шифровальщик. В Рунете они свирепствуют последние лет 10-12.
Атака – довольно мелкая. Заражено 200-300 тысяч компьютеров по миру. Это примерно на порядок меньше самых известных массовых атак, которые происходят каждый год. И на полтора-два порядка меньше масштаба тайных заражений пользователей при создании коммерческих ботнетов.
Это – медийная атака. Такой крик в СМИ поднялся из-за деградации наших СМИ в последние годы, склонности переписывать заголовки и новости друг у друга и хвататься за горячее, а вовсе не из-за какой-то особой опасности вируса или его особой распространённости. Через пару дней никто и не вспомнит – потому что сейчас в нашем медийном поле все сенсации живут 3-5 дней максимум.
Теперь подробно:
1. История и обстоятельства. Вирус – довольно типовой шифровальщик, т.н. винлокер. Приёму блокирования и шифрования файлов и вымогательства выкупа – уже примерно 20 лет. Волны таких вирусов несколько раз поражали российские сети компьютеров. Рассылают их русские киберпреступники, автор даже лично знает одного такого, кто как-то спьяну хвалился, что винлокеры в Рунете придумал он.
2. Уязвимость тоже известная. Сама по себе уязвимость Windows найдена и исправлена в марте 2017, для неё существует патч (заплатка). Патч скачивается с сайта Микрософт или устанавливается автоматическим обновлением.
3. Антивирусы ловят этот вирус. Встроенный антивирус Windows Defender также его ловит (при условии, что установлен патч). Все известные антивирусы либо умели ловить этот вирус, либо уже выпустили «лечилки».
4. Кого заражали? Поскольку уязвимость известна, опубликована и исправлена, заражались компьютеры, где:
a. Не установлены обновления Windows,
b. Не стоит свежий антивирус.
5. Кого зацепило? Вирус-вымогатель распространился в 74 странах мира, в том числе в России. Заражены РЖД, «МегаФон» и «ВымпелКом», МВД. Также хакеры пытались взломать серверы Минздрава, однако ведомству удалось предотвратить атаку. Атаки на электронную инфраструктуру зафиксировал и Сбербанк. Система по выдаче прав ГИБДД также подверглась вирусной атаке и не работает в ряде регионов. В Германии атаке хакеров также подверглись системы железнодорожного оператора Deutsche Bahn. В Великобритании под ударом оказались сервисы больниц.
6. «Самая массовая атака в истории». Это просто неправда. Эта атака – не очень массовая, просто самая раскрученная за последние месяцы. 300 тысяч заражённых компьютеров и 40 тысяч долларов заработано создателями вируса! Просто офигеть. Это бытовая, каждодневная атака.
7. Массовые атаки – это когда по всему миру у всех осыпаются буквы на экране. Не помните? Понятно.
Вот примеры действительно массовых заражений: https://ru.wikipedia.org/wiki/ILOVEYOU
Червь I Love You, три миллиона заражений по всему миру.
Или вот: https://xakep.ru/2003/01/27/17448/
Червь Slammer, миллионы копий, десятки тысяч заражений в час, падение Южной Кореи, нарушение работы выборов в Канаде, замедление Интернета по всему миру.
А вот это сегодняшняя повседневность — рабочая лошадка, ботнет Methbot на пару миллионов компьютеров, который просто тихо работает, без вот этого всего медийного шума, зарабатывая миллионы долларов в день: https://habrahabr.ru/company/kingservers/b
8. Боевой вирус ЦРУ/АНБ. Действительно уникальной и пикантной особенностью ситуации является то, что код этого конкретного вируса был выложен в утечке Викиликс, среди прочих боевых хакерских инструментов американских спецслужб. Хотя код был «стерилизован», вирусописатели оживили и модифицировали его. Комментирует Сноуден:
«…«Вот это да, АНБ создало инструменты для взлома американского софта, которые в итоге угрожают жизни сотен пациентов», — написал экс-сотрудник АНБ в своём Твиттере. Сноуден отметил, что АНБ создало программы для атаки на софт, «несмотря на предупреждения», что в итоге и привело к катастрофическим последствиям. По его словам, если бы ведомство своевременно сообщило о найденных уязвимостях, у пострадавших пользователей были бы годы, чтобы подготовиться к атаке».
9. Детали борьбы с вирусом:
a. Временно удалось остановить атаку вируса WannaCrypt. Оказалось, что в коде вируса был прописан адрес сайта, явно путём набора случайных букв на клавиатуре. Скорее всего, владельцы вируса таким образом «забили» ненужную инструкцию в чужом коде, не планируя управлять вирусом с сайта.
В минувшие выходные некий британский программист 22 лет заметил, что программа обращается к адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwe
b. Компания Microsoft выпустила экстренные обновления для устаревших операционных систем в связи с международной массированной хакерской атакой. Как сообщается на официальном сайте, обновления устраняют опасную уязвимость в Windows XP, Windows 8 и Windows Server 2003, поддержка которых была прекращена несколько лет назад.
10. Как сейчас работают вирусы? Большая часть вирусов сейчас генерируется автоматическими генераторами вирусов, с выбором функциональности, как в конструкторе. Хакеры генерируют вирусы, их прогоняют через все популярные антивирусы, чтобы проверить – пробивает или нет; потом те вирусы, что не распознаются, «засеивают» через ресурсы для скачивания, заражённые сайты и т.п. Всего в день генерируется и засеивается несколько десятков тысяч вирусов. До 3-5 миллионов в год. 95-99% вирусов – не успешны. То есть вброс этого вируса – довольно типовой, но успешный.
11. Может ли это быть атака спецслужб? Это довольно распространённая версия – что это государственные хакеры (России или США, неважно).
Нет, не может. Атака спецслужб на критическую инфраструктуру и/или госучреждения, с выведением из строя или препятствованием работе – это акт войны. Все, кто нужно, поймёт, кто это сделал, а это может привести к войне.
И если атака кибервойск США и Израиля такого рода на Иран возможна – например, вирус Stuxnet («Стухнет»), который вывел из строя 30% обогатительных центрифуг Ирана и затормозил развитие атомной программы – Иран и так по сути военный противник Израиля, они там ядерщиков убивают пачками, то на Россию, очевидно, нет. Дурных нема.
12. Могут ли такие вирусы привести к катастрофам? Вывести из строя АЭС, свести с неба самолёт, взорвать завод? В среднем – нет. Спецслужбы и кибервойска государств этого не будут делать, пока не начнётся настоящий горячий конфликт (а тогда ракеты будут более разрушительны), а коммерческие хакеры заинтересованы в том, чтобы всё работало, деньги зарабатывались, и их не разыскивали спецслужбы, как террористов.
Случайно, конечно, всякое случается. Сдуру и всякое можно сломать. Можно даже вообразить хакеров на службе ИГИЛ (если бы автор не был уверен, что и ИГИЛ, и прочие «мировые террористы» — это перчатка на руке США, чисто прагматический инструмент геополитики).
В общем, мировое инфернальное зло, которое творит зло ради самого зла и возможности посмеяться сатанинским смехом за кадром – оно в основном водится в Голливуде. Все остальные злодеи – прагматики. Прагматики в разрушении плотины или АЭС в мирное время – нет.
13. Почему такой успех? Успех скорее медийный. Заражения с десятками тысяч и сотнями тысяч заражённых компьютеров – повседневность. В сети на хакеров и спамеров работают ботнеты из миллионов заражённых компьютеров (см. выше).
Технический успех заражения обеспечен тем, что:
a. Люди не обновляют Windows,
b. Люди не ставят актуальных антивирусов,
c. Слабая политика ИБ в организациях,
d. Вирус изначально был хорошо «посеян», то есть разослан в почту с хорошей социотехникой и/или выложен на очень популярных сайтах для скачивания, где люди качают порно, пиратку, прочий «варез», как говорится. То есть сработала удачная социотехника.
Медийный успех вируса обеспечен тем, что:
e. Широкое распространение: сотня стран мира.
f. Вирус появлялся в утечках про спецслужбы США.
g. Вирус объявляет себя на компьютере, вывешивает страшную красную планку.
h. Новость «села» на тему о «русских хакерах»:
«… Британские СМИ заподозрили Россию в причастности к кибератакам в 74 странах мира в отместку США за совершенные авиаудары по Сирии. Об этом сообщила газета The Telegraph. Журналисты предполагают, что вирус-вымогатель запустила якобы связанная с Россией хакерская группировка Shadow Brokers».
i. Зацепило Европу, затем у нас заразилось МВД, РЖД и другие госорганы, что важно для наших СМИ.
j. Прокомментировал Сноуден (что это инструменты АНБ).
k. По этим причинам произошла и происходит бурная раскрутка в СМИ.
Выводы:
l. Политической подоплёки – нет. Вирус сработал в Европе, России и других странах. Везде. «Русские хакеры» — не при чём. ЦРУ – тоже.
m. Коммерческой подоплёки тоже, возможно, нет, заработок там небольшой (на 15 мая – 42К долларов). Скорее – тренировка. Или демонстрация работы вирусов из арсенала АНБ.
n. Почему заразили МВД и другие ведомства? Во-первых, беспечность, во-вторых, возможно, запрет на автоматическое обновление Windows (что, в принципе, можно понять). Пиратские копии, популярные у нас, тоже внесли свою лепту.
o. Типовой случай, слегка выше среднего. В общем, это – типовая успешная массовая вирусная атака, получившая хорошую прессу из-за горячей темы про «русских хакеров», Викиликса и российского МВД.
p. Зачем запустили? Скорее всего, попробовать, работают ли боевые АНБшные вирусы. Для этого и нелепое требование 300 долларов, благодаря которому журналисты услужливо делают для хакеров карты распространения их вируса.
q. Будет ли следующая волна? Да вряд ли. Все встряхнулись, скачали, установили, перепрошились и забегали. Какие-то «афтершоки» будут, вероятно, но небольшие.
r. Будут ли следующие атаки? Обязательно. Люди же не меняются. Как и Windows.
s. Конспирология напоследок. Ну и самая страшная версия (шутка одного из известных российских специалистов в ИБ): вирус – приманка, разводка, а настоящие, рабочие уязвимости сейчас все скачивают в обновлениях и заплатках.
Источник.