«Кибертеррор стал частью гибридной войны. Анонимные хакеры показали свою силу»
Массовая атака червей-вымогателей WannaCry держала в напряжении весь мир в течение недели. Атака компьютерных злоумышленников с использованием уязвимостей операционной системы Windows XT (и более старых версий) началась в пятницу 12 мая, когда на сотнях тысяч компьютеров в 74 странах произошло шифрование файлов и на экранах мониторов появилось объявление о вирусном нападении с требованием выкупа путем перевода денег на три кошелька криптовалюты Биткоин. Нападение червей-вымогателей WannaCry было тщательно спланировано и организовано.
Хакеры точно определили временные рамки атаки - после заражения жертве отводилось 3 суток на выплату выкупа в размере 300 долларов США, после этого величина первоначального выкупа увеличивалась вдвое, а по истечении 8 суток все зараженные файлы уничтожались червем. Злоумышленниками были точно определены цели нападения, сообщение о выкупе были написаны на 28 языках, заранее зарегистрированы три биткоин-кошелька с адресами "115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn", "12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw" и "13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94", на которые жертвы атаки стали переводить деньги в надежде восстановить потерянные данные.
Для более сильного психологического воздействия на жертву, на экране пораженного компьютера отображался обратный отсчет времени, которое «осталось» у жертвы для выплаты выкупа и спасения информации. Читатель может самостоятельно наблюдать в реальном масштабе времени на сайте blockchain.info, как на указанные кошельки злоумышленников поступают деньги их жертв. К 19:00 19 мая на три кошелька поступило 310 переводов на сумму 48,11 биткоин, что при текущем курсе 1980 USD/BTC составляет сумму 95,21 тыс. долл. США.
Финансовая эффективность нападения сравнительно невысокая, только один из тысячи зараженных компьютеров выплачивал выкуп хакерам, однако это нападение широко освещалось в средствах массовой информации, привлекло внимание правоохранительных органов многих стран и стало ярким примером современного компьютерного терроризма, важного компонента гибридной войны. Нападение показало уязвимость существующих компьютерных систем во всем мире и посеяло страх в сердцах людей, что является основной задачей терроризма.
Компьютерный терроризм – это яркий пример международного симбиоза организованных преступных групп, тесно взаимодействующих со спецслужбами различных стран, с целью крупномасштабных нарушений критических элементов национальной инфраструктуры и незаконного получения денежных средств. При этом преступная деятельность переносится из реального в виртуальный мир, а ее финансирование осуществляется все более с помощью виртуальных валютных систем (криптовалют).
Если в условиях гибридной войны частные военные компании используются для решения силовых задач, то негосударственные группы хакеров сеют хаос и страх у населения, наносят ущерб и разрушают информационную инфраструктуру противника. Для решения этой задачи хакеры должны иметь доступ к современным средствам «кибероружия», над которым работают крупнейшие секретные службы мира.
Особую роль в области мировой радиоэлектронной разведки играет Агентство национальной безопасности (АНБ) Министерства обороны США, по экспертным оценкам годовой бюджет этой сверхсекретной организации достигает 45 млрд. долл. США. АНБ проводит исследования в области информатики, включая криптографию, онтологию, базы знаний, лингвистику, создание суперкомпьютеров и т.д. Однако, у АНБ случаются и утечки, так в 2013 году Эдвард Сноуден сообщил мировому сообществу о существовании глобальной программы разведки PRISM, в том же году Der Spiegel опубликовал каталог NSA ANT, в котором описываются 48 инновационных способа сбора информации с помощью программных и аппаратных средств.
АНБ разработало технологию АРТ (развитой устойчивой угрозы) с помощью которой возможно скрытно нападать на технологическую инфраструктуру цели и адаптироваться к усилиям защищающейся стороны на ликвидацию угрозы. Среди хакерских групп, использующих технологию АРТ, получила известность группировка Equation Group, вредоносное программное обеспечение которой может самоуничтожаться, что затрудняет идентификацию этой технологии. Лаборатория Касперского обнаружила более 500 поражённых Equation Group компьютерных систем в России, Иране, Индии, Сирии и других странах, при этом она характеризует эту группировку как «наиболее продвинутое вредоносное ПО, которое они когда-либо видели». Специалисты указывают на возможные тесные связи этой группы с проектами АНБ.
В августе 2016 года в твите хакерской группы The Shadow Brokers было опубликовано приглашение к участию в аукционе по приобретению программного обеспечения Equation Group, которое открывалось словами: «Вниманию государственных спонсоров кибероружия и и тех, кто его использует для получения прибыли! Сколько вы готовы заплатить за кибероружие?» В группе The Shadow Brokers был выставлен на продажу и эксплойт EternalBlue, который и был использован в черве-вымогателе WannaCry. Тем самым АНБ косвенно помогла созданию WannaCry, разработав эксплойт EternalBlue для передачи файлов в Microsoft Windows без ведома законного пользователя системы.
Отдельные эксперты связывают нападение WannaCry с деятельность хакерской северокорейской группировки Lazarus, ответственную за похищение 81 млн. долларов США у Центрального банка Багладеш весной 2016 года.
В последнее время наблюдается резкий рост распространения вирусов-вымогателей. По данным страховой компании Beazley, в первой половине 2016 года было зафиксировано 86 атак вирусов-вымогателей по сравнению с 43 случаями за весь 2015 год. Вымогатели обыкновенно требуют выплаты в биткоинах, что ведет к росту спроса на эту криптовалюту, т.к. компаниям среднего размера дешевле выплатить сравнительно небольшой выкуп, чем разворачивать дорогостоящую систему компьютерной безопасности.
Биткоин-кошельки вымогателей известны правоохранительным органам и им в охоте за хакерами WannaCry будут помогать тысячи участников сети Интернет. Так анонимный пользователь Интернета, скрывающийся под ником MalwareTechBlod, приостановил дальнейшее распространение вируса WannaCry, зарегистрировав сайт под именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com – интернет адресу к которому постоянно обращался вирус-шифровальщик. По мнению экспертов Symantec Security Response отслеживание перевода денег злоумышленникам было бы значительно затруднено, если бы им удалось создавать индивидуальные биткоин-кошельки для каждой атакованной жертвы.
В целом массированная атака вируса-вымогателя по всему миру показала эффективность анонимных хакеров в определении целей и сбора информации о них, выработки стратегии проникновения на атакуемые объекты, процесса встраивания в компьютеры жертвы, последующего распространения по локальным сетям и шифрования информации.
С другой стороны, массированная атака привела к росту резкому продаж Microsoft Windows и антивирусных программ по всему миру. Атака также послужила сигналом к более широкому использованию облачных технологий для хранения данных.
Автор: профессор Александр Ильинский, декан Международного финансового факультета Финансового университета при Правительстве РФ