Если кибер-атака вируса Wannacry (хочешь плакать) не заставила вас заплакать, следующая заставит!

Вирус Wannacry, ударивший, как глобальная мегабомба, показал всем, насколько мы уязвимы к глобальным кибератакам. Инфекция, объявленная «одной из самых масштабных глобальных атак вируса-вымогателя, когда-либо наблюдавшихся киберсообществом», стартовала в Лондоне, после чего практически мгновенно появилась в Сиэтле, Нью-Йорке и Токио. За 10 минут скоординированная атака превратилась во всемирную эпидемию, охватившую большую часть всех континентов, кроме Антарктиды. До конца дня вирус заразил более 200 тыс компьютеров в 150 странах, зашифровав все их данные и заблокировав пользовательский доступ.

Хотя хакеры требовали выкуп для разблокирования компьютеров, оказавшихся заложниками, компании, заплатившие выкуп, не получили свои данные обратно, что наводит на вопрос о том, что было главной целью – деньги или хаос. (Если главной целью было много быстрых денег, то было бы намного логичнее быстро разблокировать данные, чтобы больше компаний захотели заплатить выкуп, увидев, что деньги решают проблему).

Подобная кибератака по своим масштабам равносильна проделкам Доктора Зло или злодеев из фильмов о Джеймсе Бонде, желающих собрать выкуп со всего мира… или контролировать мир. В этот раз ничего не получилось, но, если копнуть глубже, обнаруживаются некоторые интересные причины для этого.

На высших уровнях правительств были собраны срочные совещания, чтобы попытаться быстро понять и пресечь распространение этого разрушительного кибероружия. Решение появилось быстро, потому что анонимный британский исследователь обнаружил, что у вируса есть встроенный выключатель. При каждом заражении вирус должен был проверять, запущен ли определенный сайт, и выдавать команду об остановке. Если команды не было, то вирус начинал свою разрушительную миссию. Исследователь обнаружил и активировал этот сайт, приостановив глобальное разрушение, что позволило применить патч Microsoft, прежде чем хакеры смогли запустить модифицированную версию вируса. Кроме того, разрушительный код мог заражать только компьютеры, не обновившиеся до последнего патча Microsoft, так что вред был существенно смягчен.

Тем не менее в Китае отключились банкоматы и заправки, а также компьютеры китайского правительства и университетов. В Великобритании были парализованы больницы. Пострадало 45 учреждений, что привело к отмене или задержке некоторых медицинских процедур. Пострадал завод Nissan в Великобритании. Французский автопроизводитель Renault приостановил производство, чтобы пресечь распространение вируса. Пострадали испанская Telefónica и российский коммуникационный гигант Мегафон. «Массированной» атаке подверглись российский Центробанк и правительственные агентства, однако Россия заявила, что нападение было успешно отбито.

Согласно последним виденным мною данным, было заражено и заблокировано 370 тыс компьютеров, но, судя по всему, здесь не включена менее доступная информация по Китаю. Ущерб все еще продолжает обнаруживаться, хоть и в существенно замедленном темпе; однако во вторник по всему миру начала распространяться вторая версия вируса, и могут появиться и другие.

Эпидемиология вирусной атаки – подозревается Северная Корея

New York Times сообщает, что вероятным источником атаки вируса-вымогателя является северокорейская «спящая» агентура.

«Известно, что начиная с 1980-х отчужденная Северная Корея готовила цифровых солдат для участия в электронной войне и спекулятивных операциях против своих мнимых врагов, особенно Южной Кореи и США… Когда из Пхеньяна поступили инструкции о хакерской атаке, они, вероятно, разделились на группы по 3-6 человек, чтобы их невозможно было обнаружить… Службы безопасности Южной Кореи, США и других стран называют общеизвестным фактом то, что северокорейские власти давно готовили отряды хакеров и программистов как для саботажа вражеских компьютеров, так и для поиска денег для правительства, в том числе через вирусы-вымогатели – зловредные программы, шантажирующие пользователей для получения оплаты в обмен на разблокировку файлов… Чой Сан-мён (Choi Sang-myung), советник южнокорейского киберкомандования и специалист по безопасности в компании Hauri Inc., сказал, что арифметическая логика атак вируса вымогателя… напоминает прежние атаки на Sony Pictures и международную банковскую систему Swift – в обоих случаях следы вели в Северную Корею».

Конечно, New York Times многие месяцы утверждали, что Россия взломала электронную почту Демократической партии США и вмешивалась в американские выборы, не предоставляя убедительных доказательств или достоверных источников. Так очень легко замаскировать подлинный источник атаки. Но если это все же правда, то это подчеркивает желание и способность КНДР вызывать разрушения и финансовые потери по всему миру без разбора.

NYT упоминает ряд других атак с похожим почерком, произошедших в мире в последние годы и указывавших на Северную Корею, а также тот факт, что эти атаки часто происходят одновременно с ракетными или ядерными испытаниями КНДР. Тем не менее, в отличие от испытаний, эти атаки, если их удастся повесить на правительство той или иной страны, могут считаться настоящими актами агрессии. Они, как минимум, привели к финансовому ущербу в виде потерянных данных и времени. Они также требовали выкуп. В прошлом происходила также кража данных, использовавшихся впоследствии для причинения вреда компании, как это было в случае SonyPictures.

Президент и главный юрист Microsoft Брэд Смит (Brad Smith) написал в своем блоге:

«Если проецировать это на обычное оружие, то это все равно, как если бы у американских войск украли несколько “томагавков”».

Мне кажется, что это преуменьшение, потому что Microsoft не желает обострять опасения относительно безопасности своих операционных систем.

Китай, сосед Северной Кореи, где, как считается, находится множество «спящих ячеек», пострадал сильнее всего. Китай сообщил о заражении 30 тыс китайских организаций и сотен тысяч компьютеров. Причиной может быть то, что Китай стал на сторону президента США Трампа (Trump) в вопросе давления на КНДР в связи с ее ядерной программой. Однако Китай – родина пиратского программного обеспечения, а пиратское ПО Microsoft не получает обновлений безопасности, вследствие чего становится наиболее уязвимым к подобным атакам. Возможно, Китай пострадал больше всех только из-за дешевой экономики, построенной на изготовлении пиратских копий практически всего.

Тот факт, что линии, связывающие все атаки с КНДР – а главное, с северокорейскими властями – остаются несколько размытыми, возможно, удерживает другие страны от мести за то, что могло бы считаться актом агрессии, если бы причастность властей была доказана.

Тот факт, что выкуп играл очень небольшую роль в масштабной атаке «вируса-вымогателя», порождает вопрос о том, не была ли это правительственная операция, замаскированная под вымогательскую атаку. Была ли это месть Северной Кореи за жесткую позицию Трампа и капитуляцию Китая, или же это была операция США под чужим флагом для проверки эффективности глобальной атаки, задуманной так, чтобы скомпрометировать КНДР и в то же время прекратиться прежде, чем будет нанесен большой ущерб? Наличие «выключателя», способного остановить процесс, – это страховка, указывающая на операцию группы или страны, желавшей быть уверенной в том, что вирус можно остановить. Кто из ведущих компьютеризированных стран пострадал меньше всего?

Хотя последний вопрос – самый интригующий (в наиболее отвратном смысле), принцип «бритвы Оккама» говорит, что верным с наибольшей вероятностью является самый простой ответ. Мне лично трудно поверить, что американские власти могут так безрассудно поступить со своими союзниками, хотя такая вероятность существует. Как бы то ни было, даже если США не запустили атаку, их доля вины в этом есть.

Американское происхождение вирусных агентов

Хотя вирусную атаку могла запустить Северная Корея, корни вируса уходят намного глубже, и, похоже, достигают США.

Microsoft попытался обвинить США в «скоплении кода», который мог быть использован злоумышленниками. Но он умолчал о том, что, благодаря откровениям Эдварда Сноудена (Edward Snowden), мы знаем, что разработчики ПО, в том числе Microsoft, оставили в своем коде лазейки для американской разведки.

Дыры, пронизывающие программные системы и сети, как швейцарский сыр, дают американским властям возможность шпионить или отключать системы в любой точке мира под предлогом национальной безопасности. Но, как недавно было доказано Wikileaks, эти меры безопасности имеют очень небезопасный недостаток: как только о лазейках узнают обычные хакеры, ничто не помешает ими воспользоваться, что дает обычным хакерам необычные возможности.

Однако проблема кроется глубже, чем просто в том, что американские власти заставляют разработчиков ПО оставлять лазейки для доступа ко всем вашим личным компьютерным устройствам. ПО американских властей, предназначенное для пользования этими лазейками, теперь доступно по всему миру. По сути, мы имеем дело с утечкой кибероружия:

«Пятничные атаки – это, похоже, первый случай, когда кибероружие, разработанное Агентством национальной безопасности (АНБ) США и похищенное врагами, было применено киберпреступниками против пациентов, больниц, предприятий, правительств и простых граждан…

По словам бывших сотрудников разведки, инструменты, скорее всего, происходят из группы АНБ по оперативному проникновению в иностранные компьютерные сети. Пятничные атаки могут породить важные вопросы о том, может ли растущее число стран, разрабатывающих и накапливающих кибероружие, избежать того, чтобы эти же инструменты не были похищены и применены против их же граждан…».

«Сноуден, видя серьезную опасность, порождаемую шпионским и безответственным характером АНБ, написал в своем Твиттере: “Решение АНБ создать инструменты, способные атаковать американское ПО, теперь угрожает жизни пациентов больниц”, – намекая на то, что британскую больничную систему атаковало кибероружие, разработанное АНБ… ” Несмотря на предупреждения, АНБ создало опасные инструменты, способные нанести удар по западному ПО. Сегодня мы видим результат».

Я подозреваю, что дыра в ПО Microsoft не была «обнаружена» каким-либо правительством, а была одной из тех самых лазеек, созданных по требованию властей. Когда правительственное ПО для использования этой лазейки стало достоянием общественности, власти или Microsoft решили создать противоядие (патч).

Россия, убежище Сноудена, обвинила АНБ США, заявив, что в атаке Wannacry использовалось ПО АНБ, ускользнувшее из-под контроля США через Wikileaks. АНБ, разработав «черное» ПО и затем допустив его утечку, передало оружие кибервойны неопределенному числу неизвестных лиц с неизвестными намерениями, что равносильно тому, как если бы США позволило ядерному материалу, пригодному для изготовления оружия, попасть в руки террористов.

Вот еще лучшее сравнение. Беспокойство касательно утечки разработанных правительством компьютерных вирусов и заражения ими компьютеров простых пользователей напоминает распространенное в последние годы беспокойство касательно утечки выведенных правительством живых вирусов, задумывавшихся как биологическое оружие, и заражения ими мирного населения.

А теперь сделаем еще один шаг, рассуждая о риске для безопасности в связи с этим кибероружием. Какой международный кризис может возникнуть, если американское биологическое оружие выйдет из-под контроля и станет массово заражать мир? А если немного изменить вопрос: Какой международный кризис может возникнуть, если американский компьютерный вирус станет массово заражать мир?

Мы наблюдали похожую проблему в связи с вирусом Stuxnet, разработанным совместно США и Израилем для уничтожения центрифуг в Иране с целью сдержать его ядерные разработки на время переговоров. Позже элементы этого вируса оказались частью разрушительного кода, использовавшегося в мелких атаках по всему миру.

«Похоже, что вирусы-вымогатели, – говорит Рохит Белани (Rohyt Belani) [генеральный директор компании Phish Me, занимающейся безопасностью электронной почты], – это атомная бомба будущего». 

Как вы видите, такое мощное разрушительное правительственное кибероружие, одинаково приспособленное как для шпионства, так и для заражения и уничтожения врагов, оказывается в руках злоумышленников по всему миру. Когда США разрабатывают биологическое вирусное оружие, они также создают противоядие для собственного населения, чтобы ограничить непредвиденные потери дружественными странами. И очень вероятно, что по аналогичной причине решение против этой массированной атаки появилось так быстро в виде доступных патчей.

Из-за некомпетентной защиты американскими властями своего темнейшего ПО и при содействии Wikileaks более десятка правительственных шпионских и хакерских программ стали доступны всему миру, и Apple, Microsoft и другие стали оперативно выпускать обновления безопасности.

Сноуден спрашивает:

«Если АНБ создаст оружие для атаки на Windows XP – более не поддерживаемый Microsoft – и оно попадет в руки врага, напишет ли АНБ патч?»

Я же задам вопрос более высокого порядка: Если АНБ создаст такое оружие и оно попадет в руки врага и вызовет смерть и финансовое разрушение по всему миру, должно ли АНБ понести ответственность и возместить ущерб? Должен ли весь мир считать его виновным? Вот о каком потенциальном уровне риска мы говорим. Если вы создаете разрушительное ядро, эксплуатируемое хакерскими вирусами, разве вы не менее виновны, чем когда вы создаете вирусное заболевание и позволяете ему попасть в мир и убить миллионы людей? Ситуация с больницами в Великобритании показывает, что люди могут действительно умереть из-за подобного оружия.

АНБ явно некомпетентно в охране своего опасного кибероружия. Оно позволило таким неприметным наемным сотрудникам, как Эдвард Сноуден, разгласить огромное количество информации о своей работе. Оно позволило огромному количеству кибероружия попасть на Wikileaks, а оттуда – ко всем злоумышленникам мира. Такое распространение кибероружия произошло из-за недоработок в безопасности АНБ. Представьте, если бы это были ядерные материалы или заразные неизлечимые бактерии. В таком случае мы бы требовали наказания за такую неоднократную потерю контроля.

Даже США уязвимы к атакам своего собственного кибероружия

Мы сделали предупредительный выстрел. В данном случае слабое место в ПО было известно и патч был доступен и даже установлен на большинстве компьютеров. Таким образом, ущерб был ограничен. Но подумайте, насколько эта атака – и так достаточно масштабная – могла быть хуже, если бы уязвимость в операционной системе Microsoft не была известна и решение для тех, кто вовремя не обновился, не было бы доступно.

США на протяжении многих лет знали об этой уязвимости, и о ней неоднократно сообщалось, но мы по-прежнему зависим от инфраструктуры, сильно уязвимой к атаке. Даже если мы можем выпустить противоядие в виде патчей, когда узнаем об утечке компьютерного вируса или использовавшегося для его создания программного ядра, наша инфраструктура все равно остается уязвимой к всевозможным неизвестным нам агентам, создаваемым другими странами.

Мы можем увидеть это в реакции властей на произошедшую на прошлой неделе кибератаку:

«В разгаре нарастающих опасений атак зарубежных стран, нацеленных на погружение США во тьму, президент Трамп приказал федеральным властям приготовиться к разрушительной кибератаке на американскую электросеть.

В подписанном в четверг президентском указе федеральным агентствам предписывается оценить готовность к продолжительным перебоям в электроснабжении из-за кибератак, нацеленных на поражение электросети.

Министерство энергетики, Министерство национальной безопасности, Управление директора Национальной разведки и власти штатов и других административных единиц должны провести оценку опасности и изучить готовность США к перебоям в работе электросети. Также должны быть определены пробелы и недостатки в мерах, предназначенных для восстановления электроснабжения.

Новые меры кибербезопасности, описанные в указе, последовали после того, как двумя днями раньше Киберкомандование предупредило о том, что важнейшая американская инфраструктура уязвима к иностранным кибератакам». 

Теперь, когда очевидно, что у мелких злоумышленников в зарубежных странах уже имеются вирусы АНБ и ЦРУ, используемые для отключения компьютеров по всему миру, верите ли вы в то, что власти устранят уязвимости в наших энергетических, транспортных, коммуникационных, финансовых и правительственных системах, прежде чем какая-нибудь враждебная группа или страна (например, Северная Корея или Иран) сможет вызвать еще больший хаос, чем тот, что мы наблюдали в этот раз?

В 2015 г. Китай похитил 22 млн файлов федеральных сотрудников, включая конфиденциальные персональные данные. Так что мы знаем, что у американских властей уже было два года на подготовку; почему же мы видим новые указы об анализе уязвимости к хакерским и вирусным атакам? В этом году мы постоянно слышали обвинения России в кибероперации по вмешательству в американские выборы с целью продвинуть собственного маньчжурского кандидата или просто вызвать замешательство.

Очевидно, мы предпочитаем увеличивать госдолг за счет более желательных (т. е. интересных и приятных) вещей, чем кибербезопасность или традиционное оружие.

Wannacry – знамение будущего

Wannacry – предупредительный выстрел. Более масштабная вирусная атака может моментально парализовать мир завтра или на следующей неделе, если воспользуется незаделанными дырами в операционной системе Microsoft, и если лазейки, позволяющие вирусу парализовать работу, не настолько очевидны, как в этот раз. Финансовые системы (как фондовые рынки, так и банки) могут быть опустошены за один день, что приведет к необходимости немедленной глобальной финансовой перезагрузки.

Представьте, что все ваши финансовые данные в вашем банке будут заблокированы вирусом-вымогателем, и банк не сможет даже подтвердить, что вы его клиент, и не сможет получить доступ к резервным данным. Банк не будет знать, сколько у него было ваших денег. А теперь представьте, что никто не собирался брать выкуп, и данные невозможно вернуть. Вирус просто уничтожит их, чтобы ввергнуть мир в хаос или разрушить мировую сверхвласть.

По этой причине есть смысл хранить часть денег в виде физического золота. Я не продаю золото, но слева на моей странице есть ссылка на компанию, помогающую обзавестись сбережениями в физическом золоте и других физических активах.