Когда корпорация Microsoft обнаруживает уязвимость в своем ПО, она выпускает бюлетень и вешает его на сайте TechNet. В марте 2017 года она выпустила бюллетень MS17-010, предупреждавший об опасном уязвимом месте старых вариантов протокола SMB.
Именно им воспользовались неизвестные пока злоумышленники, запустившие вирус-вымогатель WannaCry в около 300 тыс. компьютеров в примерно 150 странах мира. Когда пользователь включал после этого свой инфицированный вымогателем компьютер, перед ним появлялся красный экран с шапкой «Oops, ваши файлы зашифрованы!»
Прореха для хакеров
«Что случилось с моим компьютером?» — говорилось ниже. Потерпевшему вежливо объясняли, что его файлы будут разблокированы, если он заплатит $300 биткойнами. По истечении 3 дней сумма выкупа повышается до $600. Если он опять не заплатит, по истечении 7 дней его файлы будут уничтожены и потеряны для него навсегда.
Кибератака — одна из самых крупных в истории — началась в пятницу, 12 мая, и пока принесла вымогателям довольно скромный барыш, через неделю после запуска вируса едва достигавший $80 тыс.
Эксперты не рекомендуют платить вымогателям, поскольку нет гарантии, что в обмен они разблокируют ваши файлы. Насколько известно, в данном случае они иногда держали слово, но иногда — нет.
Уязвимое место в протоколе SMB первой обнаружила не Microsoft, а американское Агентство национальной безопасности (АНБ), которое дало ему кодовое обозначение EternalBlue.
Многие эксперты по кибербезопасности заявили, что выходки вируса WannaCry подкрепляет их призывы к АНБ перестать копить в своих закромах уязвимые места ПО и извещать о них частный сектор. Президент Microsoft Брэд Смит обрушился на разведслужбы за то, что они скрывают обнаруженные ими прорехи, через которые могуть проникать хакеры.
Широкая публика могла познакомиться с EternalBlue, когда хакерский коллектив Shadow Brokers обнародовал его через WikiLeaks.
Получив доступ к коду EternalBlue, киберпреступники воспользовались им для распространения своих вредоносных программ.
О пользе заплаток
WannaCry на редкость быстро расползся по планете. Главная причина его успеха, возможно, заключалась в том, что владельцы атакованных компьютеров не поставили заплаток Microsoft или пользовались старыми версиями Windows, для которых заплатки уже не выпускаются.
Среди них были лицензионные ОС Windows XP или пиратские копии операционных систем Microsoft. Соединенные с интернетом компьютеры без заплаток заражались вирусом почти молниеносно.
ОП Windows Vista, Windows 7, 8,1, 10, Windows Server 2008, 2012 и 2016 со всеми обновлениями, включая мартовские, для вируса неуязвимы.
Если у вас Windows XP, Windows 8 и Server 2003, то вам нужно срочно скачать и установить заплатку, которую Microsoft выпустила в качестве исключения, потому что обычно она старые версии не поддерживает.
WannaCry на редкость быстро расползся по планете. Главная причина его успеха, возможно, заключалась в том, что владельцы атакованных компьютеров не поставили заплаток Microsoft или пользовались старыми версиями Windows, для которых заплатки уже не выпускаются
Другая причина быстрого метастазирования вируса заключалась в том, что уязвимые компьютеры часто были сконцентрированы в одном месте — в организациях или компаниях, имеющих сотни их и тысячи. Стоило одному сотруднику впустить к себе вирус, как тот быстро заражал другие компьютеры в его сети, которая чаще всего состояла из устаревших компьютеров, не замененных на новые по бюрократической инерции и соображениям экономии.
Вашему корреспонденту довелось прочитать в открытых источниках, что правительство США до сих пор использует технологию полувековой давности и тратит на нее более $60 млрд, а на ее модернизацию — $29 млрд. Дядя Сэм платит своим программистам повышенное жалованье за изучение устаревших компьютерных языков, без знания которых им трудно будет обслуживать устаревшее оборудование.
От вируса-вымогателя пострадали правительственные ведомства вроде МВД России и МИД Румынии, больницы в Колумбии, Канаде, Индонезии и Словакии и вся британская система национального здравоохранения, университеты и компании, такие как американская FedEx. Из-за разницы во времени США пострадали гораздо меньше, чем европейцы, поскольку уже вечером 12 мая 22-летний британский компьютерщик, известный в сети как MalwareTech, непреднамеренно приостановил триумфальное шествие вируса по планете. По счастливой случайности он наткнулся на аварийный выключатель (kill switch) WannaCry, испугав вредоносную программу, которая решила, что столкнулась с «виртуальной машиной», и перестала метастазировать. По определению Би-би-си, виртуальная машина — это «защищенная платформа, используемая в числе прочего для обнаружения вирусов и считывания их программного кода».
Как объяснил MalwareTech в своем блоге, встретившись с виртуальной машиной, «вредоносная программа немедленно прекращает работу, чтобы предотвратить дальнейший анализ».
Правительство США до сих пор использует технологию полувековой давности и тратит на нее более $60 млрд, а на ее модернизацию — $29 млрд. Дядя Сэм платит своим программистам повышенное жалованье за изучение устаревших компьютерных языков, без знания которых им трудно будет обслуживать устаревшее оборудование
Случайный успех MalwareTech, однако, не означает, что из киберподполья не вылезет другой штамм вируса, не оснащенный аварийным выключателем.
«Мы отслеживаем софт Касперского»
Последняя версия резонансной истории вокруг WannaCry гласит, что атака была делом рук северокорейских хакеров. Причем в публикациях на эту тему мелькали ссылки на российскую «Лабораторию Касперского», которая является одной из главных антивирусных компаний в мире. Так совпало, что 11 мая, за день до того, как WannaCry начал свое триумфальное шествие по планете, в комитете Сената США по разведке выступали полдюжины руководителей американских разведорганов.
Обсуждалось предполагаемое вмешательство Москвы в американские выборы 2016 года и увольнение директора ФБР Джеймса Коуми. Как вдруг сенатор-республиканец Марко Рубио перевел разговор на «Лабораторию Касперского».
«Кто-нибудь из вас будет чувствовать себя комфортно, если в ваших компьютерах будет программное обеспечение Kaspersky Lab?» — спросил Рубио.
«Я решительно скажу «нет»!» — заявил директор национальной разведки Дэн Коутс. Пятеро его коллег отреагировали аналогично: «Нет», «Нет, сенатор», «Нет, сэр», «Нет, сенатор», «Нет, сэр».
Как писала на следующий день газета Boston Globe, основателю «этой широко известной и уважаемой компании» Евгению Касперскому «неоднократно приходилось отпровергать утверждения, что она выполняет задания российских спецслужб».
«Кто-нибудь из вас будет чувствовать себя комфортно, если в ваших компьютерах будет программное обеспечение Kaspersky Lab?» — спросил Рубио.
«Я решительно скажу «нет»!» – заявил директор национальной разведки Дэн Коутс. Пятеро его коллег отреагировали аналогично: «Нет», «Нет, сенатор», «Нет, сэр», «Нет, сенатор», «Нет, сэр»
За несколько дней до этого телекомпания ABC News, однако, сообщила, что, по ее данным, ФБР сейчас «с новыми силами взялось за давнее расследование по поводу того, поддерживает ли эта киберкомпания какие-то настораживающие отношения с российским правительством».
Ряд сенаторов выразили на слушаниях опасения, что ПО Касперского может использоваться в целях шпионажа или для атак на американские компьютерные сети.
«Мы отслеживаем софт Касперского», — заметил на это директор разведуправления Пентагона Винсент Стюарт. Ему вторил глава АНБ Майк Роджерс, который сказал, что лично участвует в разработке компании Касперского.
Boston Globe отмечает, что никто из выступавших на слушаниях не рассказал, чем конкретно мотивируются их подозрения, и не привел ни одного случая, когда изделия компании использовались бы в зловредных целях.
Возможно, не случайно, что сам Касперский одновременно с сенатскими слушаниями отвечал на вопросы в соцсети Reddit. Когда его попросили прокомментировать заявления американских разведчиков, он написал, что не согласен с их мнением: «Я весьма сожалею, что эти господа не могут пользоваться лучшим программным обеспечением на рынке по политическим соображениям».
Он изъявил желание дать показания в Сенате США и чуть позднее сказал: «Я не был... агентом или сотрудником КГБ ни секунды!»
Авторитетный сайт Wired писал, что в молодости Касперский служил в советской военной разведке.
Члены Сената США поинтересовались, пользуется ли их правительство софтом Касперского для защиты своих разведывательных и военных компьютерных сетей. «Насколько я знаю, в наших сетях нет ПО Касперского», — ответил глава военной разведки Стюарт. Он, впрочем, оговорился, что не может исключить наличия этого ПО у частных подрядчиков, имеюших доступ к к закрытой информации.
Касперский изъявил желание дать показания в сенате США и чуть позднее сказал: «Я не был... агентом или сотрудником КГБ ни секунды!»
Телекомпания АВС, между тем, установила, что ПО Касперского использутся в таких федеральных органах США, как Тюремное управление, известное под сокращением ВОР ( Bureau of Prisons), Комиссия по защите безопасности потребителей, и даже в некоторых подразделениях Минобороны.
ABC отмечает, что американские силовики впервые публично выразили тревогу по поводу «Лаборатории Касперского», когда ВРИО директора ФБР Эндрю Маккейб показал в Сенате США, что его ведомство «весьма озабочено ею, и мы пристально за ней наблюдаем». А сидевший с Маккейбом за одним столом директор ЦРУ Майк Помпео сказал, что вопрос о Касперском поднимается в его ведомстве на самом высоком уровне..
По данным АВС, в апреле сенатский комитет по разведке послал Коутсу и министру юстиции Джеффу Сешенсу меморандум, в котором выражалась тревога по поводу «Лаборатории Касперского» и содержался призыв к разведорганам серьезно отнестись к ее потенциальной угрозе для национальной безопасности США. А за два месяца до этого, в феврале 2017 года, Министерство внутренней безопасности разослало другим правительственным органам США секретный доклад по поводу «Лаборатории Касперского».
Телекомпания АВС установила, что ПО Касперского использутся в таких федеральных органах США, как Тюремное управление, известное под сокращением ВОР ( Bureau of Prisons), Комиссия по защите безопасности потребителей, и даже в некоторых подразделениях Минобороны
Впрочем, АBC, как и Boston Globe, оговаривается, что никто пока не предоставил доказательств вредоносной деятельности «Лаборатории Касперского» в Америке.
Сам же Евгений Касперский заявил ABC, что «устал отвечать на глупые вопросы насчет моих связей с Кремлем». И добавил, что утверждения на этот счет иногда делают ему бесплатную рекламу.
Фото:http://www.businessinsider.com, https://commons.wikimedia.org, http://www.dia.mil