Лента новостей Выбор региона Поиск
18+
Регионы {{ region.title }}
Закрыть
Лента новостей
Популярное

Созданный в АНБ вирус начал атаку на США с родного штата спецслужбы

0 Оставить комментарий

Созданный в АНБ вирус начал атаку на США с родного штата спецслужбы

Серия недавних атак на муниципальные сети штата Мэриленд и города Балтимор в США осуществлялась с использованием кода трояна EternalBlue, который эксплуатирует уязвимость компьютерных систем Windows: от XP до Windows Server 2016. Об этом заявила The New York Times.

Как оказалось, хакерская атака, в результате которой компьютерные сети целого города были парализованы, стала возможной из-за того, что муниципальные службы крайне наплевательски относились к обновлениям операционных систем на своих компьютерах — на многих из них не была установлена серия обновлений MS17-010, подготовленная Microsoft еще летом 2017 года.

Однако еще интереснее история происхождения кода EternalBlue: это «боевой» троян, который был разработан… Агентством национальной безопасности США — и явно не для атак на собственные города.

Созданный в АНБ вирус начал атаку на США с родного штата спецслужбы

17 друзей EternalBlue

Впервые код EternalBlue был опубликован группой анонимных хакеров The Shadow Brokers 14 апреля 2017 года. Эта группа хакеров стала известна годом ранее, когда заявила, что смогла предотвратить одну из атак АНБ, в ходе которой им удалось перехватить вредоносные коды, используемые агентством. 

Впоследствии хакеров даже заподозрили в целенаправленном взломе серверов АНБ и краже информации, так как впоследствии они опубликовали внутреннюю документацию агентства о найденных уязвимостях в Windows, а также сами коды (эксплоиты) для работы с этими уязвимостями.

Всего «Теневыми брокерами» было опубликовано пять сообщений, два из которых содержали ссылки на архивы, в которых было перечислено 18 уязвимостей Windows. Наибольшую опасность, как выяснилось позднее, представляли три из них, представленные под именами FuzzBunch, DoublePulsar и EternalBlue, оказавшиеся наиболее эффективными для кибератак. 

Некоторые из выложенных «Теневыми брокерами» уязвимостей, впрочем, были исправлены Microsoft еще в обновлении от 14 марта 2017 года, то есть за месяц до того как произошла утечка. Это может означать, что Microsoft была кем-то проинформирована о факте утечки — либо самими хакерами, либо пострадавшей АНБ. 

Впрочем, агентство так никогда и не признало факта взлома своих серверов — как не созналось и в «потере» боевого трояна при неудачной кибероперации. В обоих случаях АНБ выглядело бы в самом неприглядном свете.

Как оказалось впоследствии, самая страшная уязвимость, EternalBlue, которая позволяла злоумышленнику получить полный контроль над удаленным компьютером, «дремала» в коде всех операционных систем Windows на протяжении целых 16 лет. Это даже породило конспирологическую версию о том, что EternalBlue был специально встроен в код со стороны Microsoft, возможно — по требованию того же АНБ. Однако сама Microsoft последовательно отрицала такого рода обвинения, утверждая, что не знала о данной уязвимости и не использовала ее для слежки или управления программами пользователя.

Созданный в АНБ вирус начал атаку на США с родного штата спецслужбы

Петя, не-Петя и другие

Архивы с документацией по уязвимостям, выложенные в широкий доступ The Shadow Brokers в апреле 2017 года, были защищены паролем, который предоставлялся всем желающим после оплаты требуемой суммы в биткойнах.

Анонимная продажа таких критических уязвимостей всем желающим тут же породила целую волну компьютерных вирусов. Более 500 тысяч компьютеров были заражены инструментами из этой утечки в течение первых двух недель, а в мае 2017 года на глобальную Сеть была осуществлена основная атака с помощью вируса-вымогателя WannaCry. 

Создатели WannaCry использовали эксплоит EternalBlue для захвата удаленного компьютера, а затем включали связанный с ним бэкдор DoublePulsar из той же утечки «Теневых брокеров», чтобы получить удаленный доступ к пользовательской системе. 

Впоследствии ту же пару EternalBlue/DoublePulsar другая группа злоумышленников вставила в код двух вирусов-шифровальщиков Petya и NotPetya, которые атаковали Интернет в июне-июле 2017 года. Сам Petya был неплохо известен еще с марта 2016 года, но лишь код «Теневых брокеров» сделал его по-настоящему страшным оружием. 

Со смертоносной парой EternalBlue/DoublePulsar усовершенствованные вирусы-шифровальщики с легкостью получали доступ к удаленным машинам, используя их как «зомби-сеть» для дальнейшего распространения.

Созданный в АНБ вирус начал атаку на США с родного штата спецслужбы

Что случилось в Балтиморе

По злой иронии судьбы (или по желанию анонимных хакеров), следующей «площадкой» для появления EternalBlue стали штат Мэриленд и город Балтимор, в котором расположена штаб-квартира самого АНБ. Весь город был буквально «взломан» 7 мая: атака вымогателей, поразившая компьютеры местного муниципалитета и всех коммунальных служб, полностью нарушила их функциональность. 

Как оказалось, на большинстве компьютеров муниципальных служб в Балтиморе до сих пор использовались допотопные версии Windows, а о серии обновлений MS17-010, которыми Microsoft пыталась «подлатать» дырки от утечек боевых троянов АНБ, там и вовсе не слышали. В самом деле, зачем что-то обновлять?!.. В результате IT-отдел мэрии Балтимора очнулся только тогда, когда все внутренние сети муниципалитета и его служб были полностью захвачены компьютерными вирусами и парализованы злоумышленниками.

«Это не только в Балтиморе, — говорится в сообщении The New York Times. — Эксперты по безопасности говорят, что атаки EternalBlue идут уже по всей стране. Киберпреступники сосредоточились на уязвимых американских городах и поселках от Пенсильвании до Техаса, парализуя местные органы власти и увеличивая их расходы». 

Ситуация осложняется тем, что вирусы, использующие EternalBlue, постоянно мимикрируют, в то время как саму уязвимость можно убрать из операционной системы только с установкой обновления. Но, как мы помним, к нему прибегли отнюдь не все даже по прошествии двух лет с момента оглашения уязвимости.

Созданный в АНБ вирус начал атаку на США с родного штата спецслужбы

АНБ теряет контроль

В течение многих лет спецслужбы США утверждали, что не используют уязвимости операционных систем и компьютерного оборудования. Однако все это время АНБ — возможно, в тесной сцепке с Microsoft — держало «про запас» критическую уязвимость в самой массовой операционной системе в мире, которая, к тому же, позволяет получить неограниченный доступ к компьютеру пользователя. 

Стоит напомнить, что на Украине летом 2017 года упомянутый выше вирус NotPetya с легкостью захватил системы радиационного мониторинга Чернобыльской АЭС — и это привело к весьма неприятной ситуации временной потери контроля над радиационной обстановкой.

Как показывает практика, любые уязвимости, намеренно или случайно попавшие в код популярных программ, рано или поздно неизбежно будут обнаружены хакерами. После чего оружие шпионских агентств может стать неконтролируемым и нанести непоправимый ущерб — в том числе в самом сердце американских спецслужб.

infox - new
Автор: Алексей Анпилогов
Новости партнеров