Напомним, в минувшую пятницу на огромном количестве компьютеров появился вирус-шифровальщик WannaCry. Он не давал возможность открывать хранящиеся на дисках данные, а за их расшифровку требовал 300 долларов в криптовалюте (виртуальные деньги).
Хотя, вред атакой трояна был причинен компьютерам в Китае, Индии, США, в Украине и Тайване, в странах Западной Европы, где были выведены из строя компьютеры британских больниц — всего более чем в 70 странах, наиболее массированные нападения вирус осуществил именно на компьютерные системы, расположенные в России. Банк России, Сбербанк, Минздрав. РЖД, «Мегафон»... большинство атакованных организаций, в том числе МЧС России, рапортовали об успешном отражении атаки. Но оказались и такие, чья работа оказалась чуть ли не парализованной. Например, в МВД РФ. Источники в министерстве рассказали об атаке на внутренние сети ведомства. Ей подверглись в основном региональные управления. Так, в некоторых регионах в ГИБДД в пятницу была прекращена выдача водительских прав и госномеров. Среди таких называют, в частности Санкт-Петербург, Татарстан, Сибирь, Карелию...
В Москве, как выяснил «МК», полиция тоже пострадала.
Около 15-30 пятницы у нас в отделе зависли все компьютеры, - рассказал «МК» сотрудник одного из подразделений столичной ГИБДД. - Стало невозможно поставить машину на учет, снять с учета - любые действия с нашей базой.
Другой сотрудник московской полиции, работающий в следствии, рассказал, что в пятницу в его подразделении работали все индивидуальные компьютеры сотрудников, но доступа в общую базу не было. Полицейский, работающий в дежурной части столичного отдела полиции, рассказал, что ограничение доступа к базам данных было и у них, но через некоторое время все вернулось на свои места.
Официально ведомство подтвердило, что была зафиксирована вирусная атака на персональные компьютеры, находящиеся под управлением операционной системы Windows. Всего заражено около 1 тысячи компьютеров (0,1%), они были оперативно блокированы. При этом, серверные ресурсы МВД не подвергались заражению. «В настоящий момент вирус локализован, проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты», — сообщила официальный представитель МВД Ирина Волк.
Не удивительно, что популярной в эти дни была версия о том, что истинной причиной атаки стали секретные данные, которые при помощи трояна скачивали злоумышленники. А также версия о том, что это ответ некоей группы хакеров на то, что русские вмешивались в ход избирательного процесса. Якобы, это была разведка боем, в ходе которой системы защиты важнейших структур России проверялись на крепость. То ли еще будет! Не менее загадочными стали и сообщения о том, как удалось остановить «эпидемию». Дескать, сделал это случайно один везунчик...
Что на самом деле произошло в минувшую пятницу, кто в этом виноват и какие уроки необходимо извлечь из этой кибератаки, «МК» рассказал руководитель компании «Лавина-пульс», специалист по кибербезопасности Андрей Масалович.
- Первая атака подобного класса была в 2004 году, вызвав эпидемию вируса, который назывался Sasser. В Microsoft Windows есть такой модуль - LSASS. Упрощенно говоря, это привратник, который стоит в дверях вашего компьютера и, если кто-то постучался, определяет, впускать его или нет. Тот, кто прихлопнет привратника, беспрепятственно зайдет внутрь. Интересно, что тогда развернулась точно такая же схема атаки, как и сейчас. В марте Microsoft нашла уязвимость, опубликовала ее, сообщила о том, что она сделала исправление и попросила всех это исправление поставить на компьютерах. Кто-то это сделал, кто-то не сделал. При этом, никто кроме некоторых специалистов, не считал что дальше могут быть проблемы.
- Почему?
- Такие вещи не очень опасны, поскольку саму нападающую часть троянской программы сделать очень трудно. Ту часть, которая свинячит — деньги вымогает, файлы портит, сделать элементарно. А чтобы внедрить ее на чужой компьютер, должен поработать хакер очень высокого класса. Так вот, в 2004 году Microsoft сообщила что дырка закрыта, все успокоились, а в конце апреля появился троян Sasser и в начале мая — замечаете насколько похоже? - легли компьютеры в половине мира. Во-первых, пострадали компьютеры простых пользователей, которые пользовались либо пиратскими версиями, либо старыми, в которых был отключен апгрейд или он не был оплачен. Иными словами - у тех пользователей, кто не очень следит за гигиеной жизни в Интернете. А с другой стороны «легли» серверы спецслужб и министерств.
- В чем причина?
- Там критическая инфраструктура и хозяева серверов боятся, что под видом апгрейда может залезть какая-нибудь зараза. И потому, апгрейды снаружи, даже если они хорошие, не пускают. Вместо этого делают специальный сервер-репозитарий, на котором это все скапливается, а потом грамотный администратор должен сесть и разобраться, что из этого допускать, а что нет. Ну, и раздать это своим компьютерам.
Но, как рассказал эксперт, все дело в том, что работа таких администраторов связана с огромным количеством бумаг, которые необходимо постоянно заполнять, чтобы отчитаться, что в их организации с защитой персональных данных все хорошо, таких документов администратор должен сдавать около 70.
- И вот представьте, сидит специалист по безопасности и пишет, а в это время на сервере-репозитории копится набор критических обновлений, они сигнализируют: немедленно сделайте апгрейд. Когда у него освободятся руки, он посмотрит. Причем, этого с него никто и не требует - он делает это в свободное от работы время. Может подойти, а может и не подойти. Но тогда в случае атаки серверы спецслужб и крупных министерств лягут первыми. Что регулярно и происходит.
По словам Масаловича, в марте 2017 года Майкрософт также опубликовала, что у нее есть уязвимость на тот же порт, на тот же самый протокол, который позволяет «свалить привратника» и получить доступ в систему.
- А в то же время, начиная с февраля, весь март и начало апреля, WikiLeaks публикует огромные куски базы эксплойтов, которые хакеры стащили из АНБ США, - рассказывает эксперт. - Получилось, что хакеры узнали про эту уязвимость и у них появился такой эксплойт. А дописать хвостик — сам вредонос — это уже элементарно. Даже человек, который сам ничего сделать не может, но у него хватит ума прочитать в блоге заметку о том что есть дырка, есть эксплойт, который может в эту дырку залезать, он может скачать этот эксплойт. И скачать программу-шифровальщик, которая может вымогать деньги. Ему остается поместить это все в одну директорию и запустить. Что и произошло. Я упрощаю все, конечно, там на самом деле был довольно сложный механизм атаки. Но он был взят из послужного списка АНБ, то есть, за то, что произошло кибер-нападение на 74 страны, ответственно АНБ, с моей точки зрения. Во-первых, за то, что они этим занимались, во-вторых, что допустили такую утечку.
Как рассказал эксперт, та часть трояна, которая касалась шифрования, элементарна.
- Такую программу даже писать не надо, ее легко найти. Ребята очень грамотно создали оплату — она честная: просит 300 долларов и троян смотрит, есть ли на компьютере незаблокированные файлы, которые он может заблокировать, но перед этим он проверяет на «сервере бухгалтерии», заплатил ли этот клиент. Если да, то он все разблокирует и отключается. Но это не значит, что надо платить, потому что любая оплата поощряет хакеров. Тут должно быть отношение как к террористам в Израиле - любой, попавший в руки террористов считается их помощником, если он не производит личное действие по их уничтожению.
- Сейчас многие структуры говорят о том, что им вирус ничем не навредил. Вы в это верите?
- На самом деле, я думаю, ущерб им причинен был и ущерб большой. И причина - потрясающая безграмотность и непрофессионализм, а также отсутствие регламентных проверок со стороны администраторов. 9 марта было опубликовано предупреждение и можно было выкроить часок, чтобы проверить репозитарий. Второй их ляп заключается в следующем. Представьте, что к вам забрался злоумышленник, добрался до сейфа, а там денег нет, они в другом сейфе, за дверью, в которую он попасть не может. В этом случае ваши деньги сохранены. Если вы работаете в интернете, то хранить на компьютере данные, это все равно что хранить деньги в почтовом ящике в подъезде, а потом говорить: вообще-то он не прозрачный и закрыт и кодовый замок на подъезде..Более того, всю работу надо строить так, чтобы был виден только последний сеанс, даже вчерашних результатов на компьютере уже быть не должно.
- А где их нужно хранить?
- На флешке. Причем, нужно быть уверенным, что есть и дубликат — если вдруг в этот момент троян зашифрует эту флешку, вы ее просто выбросите и возьмете вторую.
- А где обычный пользователь может хранить, например, свои фотографии?
- Фото из семейного архива можно хранит в интернете — Гугл-диск пока безупречно надежен, но надо понимать, что он не конфиденциален. Есть и такая вещь, как компакт-диск, который нельзя испортить трояном. Но раз в пять лет его нужно менять, поскольку он начинает сыпаться.
- Как на ваш взгляд, можно бороться с подобными инцидентами?
- Во-первых, надо создать международный трибунал, вызывать туда АНБ и открутить им голову. А если не получится, то собрать политиков и заставить их сделать шаги в сторону появления такого международного трибунала. Сейчас все произошедшее - это личная ответственность одного агентства, которому никто не давал права на действия, которые в России, например, внесены в Уголовный кодекс. Во-вторых, нужно навести порядок в киберпространстве. Сейчас это не правовое поле, а государство с населением в два миллиарда человек, где правят кольт и седло. Это дикое поле, Америка начала 19 века. Безалаберность пользователей и админов я уже упоминал. А еще нужны новые средства защиты от вирусов. Их разработчики с 2004 года, судя по всему, не повзрослели. Сейчас для того, чтобы препятствовать подобного рода атакам, нужны уже не антивирусы, а, если хотите — армия умных ботов-защитников. Что-то вроде вакцины. Если проявилась новая зараза, средство ее фиксируют, это не трудно - например, бот сидит, следит за обновлениями "Майкрософта", за форумами хакеров, где выкладываются эксплойты, а после этого приносит все это какому-то исследователю эксплойтов, и он делает вакцину. А это такой же троян, но не заражающий, а тот который проверяет уязвимость, то есть, пытается напасть, но до конца не нападает, а включает сирену и проверяет хотя бы раз в день подконтрольный компьютер, до того как это сделал настоящий троян. Механика должна быть похожа на механику антиспама - большая часть которого ловится где-то далеко от вас и вы об этом даже не знаете. Также и большую часть троянов можно ловить далеко, а вас периодически проверять. Как мы ходим на медосмотр. Я, например, слабо себе представляю, как работает вирус гриппа, но четко знаю простые правила, как уменьшить риски. Вот тогда руки сотрудников безопасности будут свободны. Уже, кстати, есть новое поколение сканеров, пока экспериментальных, но те, кто их уже использует, не пострадали от этой атаки.
Рассказал эксперт и о том, как был обнаружен вирус-шифровальщик:
- Это сделали антивирусники. Один из исследователей обнаружил сервер бухгалтерии и это очень сильно упростило анализ — с этого момента распространение атаки можно было просмотреть прямо на географической карте, потому что было видно, откуда на этот сервер были обращения.
- Какие еще компьютеры подверглись атаке?
- Те, на которых было сочетание факторов: не обновленная версия системы и плохие непрофессиональные настройки.
- Что можно сделать для того, чтобы уберечь компьютер в случае его захвата таким вирусом, ведь заражения будут еще продолжаться.
- Если троян ваш компьютер захватил, он шифрует файлы, но не одновременно, а по одному. Причем, берет папки подряд, по алфавиту. Если на компьютере породить папку, которая была бы по алфавиту первой, но начиналась со служебных символов и цифр. И напихать туда много файлов Если пара таких папок попадут трояну «в руки» прежде других, у антивируса хватит времени увидеть: что то зашевелилось в контрольной папке, значит, надо все останавливать, все процессы рубить.
- Долго ли может этот вирус пытаться атаковать компьютеры?
- С атаки Sasser прошло 13 лет, но поставив на компьютере средство контроля за ним, я за пять часов зафиксировал 17 попыток проверить, не запустится ли он у меня. То есть, до сих пор по интернету бродят сканеры, которые смотрят, не осталось ли древних компьютеров, на которые можно посадить старую заразу. Так что компьютеры постоянно под прицелом.
