Крупнейшая вирусная атака – след кибероружия АНБ?
Не прошло и месяца после публикации пакета утилит для взлома Windows, по ряду признаков имеющих отношение к библиотеке АНБ (мы писали о дампе группы Shadowbrokers совсем недавно), как мир становится свидетелем крупнейшей атаки зловредов:
У отслеживающих новые вирусы и уязвимости специалистов из MalwareHunterTeam наверняка выдалось горяченькое утро. Еще в четыре часа ночи они оставили паническое сообщение о том, что «по сети с дьявольской скоростью распространяется новый вредонос WanaCrypt0r 2.0».
И были правы как никогда — всего за пару часов вымогатель атаковал десятки стран. Начав с Испании и Португалии, где он парализовал работу крупного оператора связи Telefonica и прошелся по газовой компании Gas Natural, оператору электросетей Iberdrola и банку Iberica, малварь переметнулся на внутренние сети британских больниц, потом был зафиксирован в Сингапуре, на Тайване и в Китае, а после распространился по всему миру, добравшись даже до Австралии и Латинской Америки.
Один из специалистов отметил, что заражению подверглись десятки тысяч компьютеров в 74 странах мира и это число продолжает возрастать. Другой подчеркнул, что мир, возможно, стал свидетелем крупнейшей вирусной атаки в истории.
В России первое сообщение о WanaCrypt0r появилось на портале «Пикабу» — его автор утверждал, что шифровальщик поразил сеть МВД. В министерстве сначала заявили, что у них ведутся некие «технические работы на внутреннем контуре», но потом признали факт атаки, хотя и опровергли заражение серверов вирусом.
Случаи заражения в региональных управлениях МВД и Следственного комитета признал и источник «Ленты.ру» в силовых структурах. Правда, он не уточнил, были ли при этом затронуты внутренние сети ведомств. Он также не смог подтвердить слухи о том, что некие хакеры более часа скачивали информацию из федеральной информационной системы регистрации (ФИСМ), куда вносятся все данные автовладельцев и машин, и связаны ли эти злоумышленники с распространением WanaCrypt0r.
Жертвой вымогателя стал и мобильный оператор «Мегафон». Представитель компании Петр Лидов-Петровский в разговоре с «Лентой.ру» объяснил, что компьютеры в компании подверглись массовому заражению, поскольку связаны между собой внутренней сетью. В результате перестала работать техподдержка, ведь операторы не могли воспользоваться компьютерами и принять звонки, а в салонах «Мегафона» возникли проблемы с обслуживанием клиентов.
Первые жалобы на WannaCry появлялись еще в феврале 2017 года, но не имели массового характера. В блоге Kaspersky Lab уточняется, что WanaCrypt0r 2.0 — это новая версия WannaCry, использующая уязвимость под кодовым названием EthernalBlue.
Она подробно описана в документах хакерской группировки Shadowbrokers, которая в середине апреля выложила в открытый доступ инструменты сотрудников американского Агентства национальной безопасности. А это значит, что в руки создателей вируса могло попасть в том числе и подробное описание уязвимостей корпорации Microsoft, которые кропотливо собирали для себя американские спецслужбы.
Ряд специалистов утверждает, что хакеры используют и упомянутый в документах АНБ зловред DoublePulsar. Он использует EthernalBlue для проникновения в систему, до предела нагружая ядро Windows и позволяя загрузить на устройство новые вирусы.
Более того, некоторые эксперты отмечают, что EthernalBlue и DoublePulsar якобы были выявлены и разработаны сотрудниками АНБ, а с помощью последнего неизвестные в конце апреля заразили 36 тысяч компьютеров по всему миру. Однако Microsoft еще в марте утверждала, что устранила все описанные в документах АНБ уязвимости в новой версии Windows.
Роль уязвимостей АНБ в работе WanaCrypt0r 2.0 пока еще не подтверждена окончательно. Тем не менее бывший сотрудник американских спецслужб Эдвард Сноуден в своем Twitter уже упрекнул сотрудников спецслужбы в том, что из-за их маниакального желания следить за всем миром и оплошности с утечкой данных страдают вполне реальные люди. Например, сотни пациентов больниц.
Источники:
https://lenta.ru/articles/2017/05/12/encryptalltheworld/
http://echo.msk.ru/news/1979978-echo.html
https://twitter.com/Snowden/status/863104818629554177
https://twitter.com/malwrhunterteam/status/863097721133162496