12 мая мир пережил небывалую по масштабам хакерскую атаку. Вирус с хулиганским названием WannaCry («Хочу плакать») поразил десятки тысяч компьютеров в более чем 150 странах мира. При этом больше всех пострадала Россия. «Наша Версия» выяснила, почему так произошло и чего следует ждать в будущем и готова ли Россия устоять в начавшейся кибервойне.
Около 20.00 в новостных лентах появилась информация, что целый ряд компаний в США, Великобритании, Китае, Испании и других странах столкнулись с неожиданной проблемой: на мониторе появляется сообщение о том, что данные на жёстком диске отныне зашифрованы и за возвращение доступа к ним требуется заплатить выкуп в криптовалюте, сумма которого составляет порядка 300 долларов.
Практически одновременно стало известно, что этого сценария вымогательства не избежала и Россия. При этом с блокированием компьютеров столкнулись не только коммерческие компании, в частности сотовый оператор «Мегафон» (19 мая у оператора и вовсе возникли серьёзные проблемы со связью. – Ред.), но и государственные ведомства, причём силовые. Так, атаке подверглась сеть Министерства внутренних дел. Кроме того, прошли сообщения о том, что под атакой вируса оказались Следственный комитет РФ, МЧС, РЖД и Минздрав.
К счастью, мировой катастрофы, о которой уже начали было говорить некоторые, не произошло. Менее чем за полдня был найден способ, как обезопасить компьютеры: выяснилось, что вирус использует уязвимость в операционной системе Windows, через которую злоумышленники получали удалённый доступ к компьютеру и устанавливали на него троян-шифровальщик. Для защиты оказалось достаточно всего лишь установить обновление, выпущенное Microsoft ещё два месяца назад.
Корейцы или американцы?
Авторов вируса ещё наверняка предстоит установить спецслужбам, хотя не факт, что этими знаниями они захотят поделиться с общественностью. Пока же существуют лишь версии. Так, 16 мая газета Daily Mail сообщила, что, по мнению аналитиков американской компании Symantec, за кибератакой может стоять группа северокорейских хакеров, которых ранее подозревали в причастности к краже денег из Центробанка Бангладеш и взломе студии Sony.
Впрочем, у этой версии есть и свои слабые стороны. Компьютерные гении из страны чучхе действительно доказали на практике свою высокую квалификацию, однако показали, что по мелочам не размениваются – в частности, из бангладешского Центробанка они увели 81 млн долларов. Сейчас же с растерянных пользователей по всему миру вымогателям удалось собрать всего лишь жалкие 42 тыс. долларов. К тому же целенаправленно вредить своим союзникам в лице России и Китая чересчур даже для экстравагантного Ким Чен Ына – может выйти себе дороже. В связи с этим уже звучат предположения, что северокорейцев всего лишь технично подставили.
Тем более что всё больше прослеживается если не прямая вина, то уж точно косвенная причастность к атаке со стороны спецслужб США. Газета Financial Times сообщила, что хакеры использовали модифицированную вредоносную программу, созданную в недрах Агентства национальной безопасности – именно разработанный её аналитиками инструмент для разведки eternal blue («неисчерпаемая синева») стал основой для WannaCry.
Об этом же официально заявил сам президент компании Microsoft Брэд Смит. По его словам, АНБ виновно в том, что собирало данные о потенциальных уязвимостях в компьютерных системах, и эти сведения были украдены хакерами.
Появились новые подробности происшествия на территории Загорского оптико-механического завода в Сергиевом Посаде. Известно, что за медицинской помощью обратились 52 человека.
Примечательно, что в отличие от предыдущих случаев хакерских скандалов на этот раз обвинения в возможной причастности к созданию вируса в адрес России практически не звучали. Причиной тому могло, впрочем, стать то обстоятельство, что именно РФ больше других пострадала от действий трояна.
«Пираты» пошли на дно
Кстати, а почему так произошло? И ладно бы, если под ударом оказались исключительно коммерческие компании, но если в ряду пострадавших оказывается МВД, как раз занимающееся борьбой с преступностью в Интернете, то возникают вопросы, как это в принципе могло произойти.
«Массовость случаев заражения вирусом компьютеров в государственных органах свидетельствует об их недостаточной защищённости, – считает генеральный директор компании – разработчика антивирусного программного обеспечения (ПО) «Доктор Веб» Борис Шаров, – равно как и их неуклюжие попытки изобразить полное спокойствие и отсутствие причин для волнений».
Может быть, не хватает ресурсов? Говоря о ситуации в целом, ведущий аналитик отдела развития компании «Доктор Веб» Вячеслав Медведев комментирует её следующим образом: «Как ни смешно, но данный троян вообще не представляет угрозы ни для кого, кто просто устанавливает все обновления. Рекомендация по отказу от неиспользуемого сервиса – сентябрь 2016 года, патч, закрывающий уязвимость, вышел в марте. Как минимум у администраторов было два месяца на его установку. Другой вопрос, если в компаниях используется пиратское ПО, на которое избегают ставить обновления или неподдерживаемые системы, для которых нет обновлений».
О том, что именно любовь отечественных пользователей к пиратскому софту во многом явилась причиной массовости заражения, указал и генеральный директор компании Attack Killer Рустэм Хайретдинов. Потому можно гадать: то ли Россия случайно стала основной жертвой, то ли хакеры оказались слишком хитроумными, учтя национальные особенности. Действительно, приходилось не раз видеть, как те же сотрудники
правоохранительных органов используют на служебных компьютерах «ломаные» программы и даже пиратские базы данных – к примеру, телефонных операторов или номеров автомобилей. Аргумент был один: всё это можно получить официально, но на оформление бумажек уйдёт время. Так что впору вспоминать советский опыт, повсеместно вешая плакаты с призывами: «Будь бдителен! Враг подслушивает!».
Чужое – не своё
Впрочем, вряд ли проблему безопасности удастся решить одним лишь повышением дисциплины. Эксперты указывают: очень сложно говорить о безопасности в ситуации, когда практически вся использующаяся в стране компьютерная техника имеет зарубежное происхождение. Да, аппаратура, закупаемая для нужд оборонных и стратегически важных производств, подвергается проверкам, однако риск всё равно остаётся. Уже не раз высказывались версии, что импортный софт и хард могут иметь «врождённый» потенциал, позволяющий удалённо снимать информацию и брать компьютер под контроль. А что, на сайте ЦРУ открыто рассказывается о случае 1982 года, когда благодаря вирусу, искусно «вшитому» в приобретённую СССР систему автоматического управления, удалось устроить взрыв на газопроводе в Сибири (отечественные спецслужбы этого не подтверждают. – Ред.). Логично предположить, что с того времени хакерские методики значительно шагнули вперёд.
К тому же совсем необязательно запускать «червя» в систему управления атомной станции, как это произошло в Иране, где благодаря вирусу Stuxnet американцам удалось вывести из строя центрифуги. Даже выведение из строя компьютерной сети в каком-нибудь департаменте транспорта или ЖКХ, где уровень защиты явно ниже, чем в МВД, способно парализовать жизнь в городе. Кстати, ещё два года назад «Лаборатория Касперского» сообщила об обнаружении группы хакеров, занимавшихся кибершпионажем в отношении российских правительственных органов и финансовых институтов. При этом ими использовался ранее не встречавшийся модуль, позволяющий перепрограммировать операционную систему жёстких дисков. Из-за этого проникший в компьютер вирус нельзя было ни обнаружить, ни избавиться от него. В свою очередь, «червь» позволяет получать данные с компьютера, даже если он отключён от Интернета. Сколько компьютеров смогли заразить злоумышленники и какие данные они успели похитить, осталось неизвестным.
Тем временем
Эксперты предупреждают: всё случившееся выглядит более чем тревожно.
«В последнее время очень многие говорили о том, что АНБ, другие спецслужбы и хакеры со всего мира сосредоточены на так называемых таргетированных атаках, – рассказал «Коммерсанту» глава представительства компании Check Point Software Technologies в России и СНГ Василий Дягилев. – То есть пугали тем, что вирус может быть специально разработан под вашу компанию и сделает плохо только вам. Сейчас же мы увидели, к чему привела нетаргетированная атака, нацеленная не на конкретную компанию, а на весь мир. Это действительно очень тревожный сигнал. Можно говорить о том, что организаторы этой веерной атаки добились потрясающих результатов. Я бы сказал, что это только начало той волны, которая может продолжиться в дальнейшем».
А в том, что подобные атаки вскоре могут повториться, сомневаться не приходится. «Троян был создан на основе украденного у Агентства национальной безопасности инструмента, – поясняет Вячеслав Медведев. – Украденные программы и наборы эксплойтов выложены в открытый доступ и доступны всем желающим. Особой квалификации для создания новых версий не требуется. И можно ожидать, что будут ещё и ещё атаки – уже иных пользователей».
