Привет от Ким Чен Ына. Чем известны предполагаемые создатели вируса WannaCry?

Привет от Ким Чен Ына. Чем известны предполагаемые создатели вируса WannaCry?

republic.ru

Вирус-шифровальщик могли создать хакеры из Северной Кореи. Масштабы их атак шокируют

Сразу несколько расследователей утверждают, что за шифровальщиком WannaCry могут стоять хакеры из Lazarus. Считается, что эта группа поддерживается правительством Северной Кореи. На ее счету – атаки на Sony Pictures Entertainment, вооруженные силы Южной Кореи, банковскую систему SWIFT, Центральный банк Бангладеш. 

Вирус WannaCry накрыл полмира буквально за считаные часы. Эпидемия программы- шифровальщика началась с Испании и Англии, теперь ею охвачены 150 стран. Всего специалисты зафиксировали более 200 тысяч заражений. В России от вируса в пятницу пострадали компьютеры МВД, «Мегафона», РЖД; во Франции остановились заводы Renault; в Англии атака затронула 16 больниц. WannaCry шифрует данные на компьютере и требует выкуп в размере $300 – сумму надо конвертировать в биткоины и перевести на один из кошельков хакеров. Специалисты, отслеживающие эти кошельки, утверждают, что сейчас на них около $53 тысяч. Но заработок, вероятно, и не главная цель хакеров. Если киберрасследователи правы в своем предположении об авторах WannaCry, то зарабатывают эти хакеры совсем по-другому.

Одинаковые строчки

Вечером понедельника ⁠исследователь ⁠из Google Нил Мехта, специализирующийся на ⁠кибербезопасности, опубликовал у себя в твиттере загадочное сообщение ⁠– непонятный набор букв и цифр, снабженный хештегом #WannaCryptAttribution (атрибуция вируса WannaCrypt). Как ⁠объясняют специалисты «Лаборатории Касперского» в своем отчете, таким образом Мехта указал на одинаковые куски кода вируса WannaCry и программ, использовавшихся группой Lazarus. Позднее о возможной связи авторов WannaCry и хакеров Lazarus сообщили ⁠эксперты антивирусной компании Symantec.


Как пишут специалисты «Лаборатории Касперского», Мехта взял для сравнения программный код одной из первых версий WannaCry, датированной февралем 2017 года, и примеры кода, которые использовала Lazarus в 2015 году. И у них оказались общие фрагменты. Конечно, кусок кода из программ Lazarus мог быть просто скопирован в WannaCry. Представители «Лаборатории Касперского» говорят, что такое возможно, но маловероятно. По их мнению, вирус WannaCry еще требует дополнительного изучения, но одно можно сказать наверняка: 

«Открытие Нила Мехты – самая важная на сегодняшний день информация о происхождении WannaCry».


Впервые вирус WannaCry был обнаружен в феврале 2017 года. Он задействует уже ⁠известную уязвимость в операционной ⁠системе Windows, ⁠для исправления которой в марте было выпущено ⁠обновление. Информация об этой уязвимости содержалась в архиве Агентства национальной безопасности США (АНБ). Несколько месяцев назад хакерская группа Shadow Brokers выложила в открытом доступе документы, в которых описывались различные шпионские инструменты АНБ и связанных с ним структур. Но настоящую шумиху наделала не февральская, а вторая версия этого вируса – WanaCrypt0r 2.0. Хакеры улучшили программу, добавив больше типов файлов, которые шифрует вирус, и увеличили число языков, на которых выводятся сообщения для жертв.

«Мы твердо верим, что февральский образец был собран теми же людьми или людьми, имеющими доступ к тому же исходному коду, что и шифровальщик WannaCry, выпущенный в мае 2017 года», – говорится в отчете «Лаборатории Касперского». Впрочем, во второй версии WannaCry уже не было куска кода, аналогичного программам Lazarus. 


Попались на копировании

Хакерская группа Lazarus существовала практически инкогнито в течение нескольких лет. Точнее, исследователи не знали, что у совершенно разных кибератак был один исполнитель. Это выяснилось в ходе масштабного расследования, результаты которого были опубликованы в феврале 2016 года. В нем участвовали сразу несколько компаний и экспертов в области кибербезопасности – например, AlienVault Labs, Novetta, «Лаборатория Касперского». Интересно, что тогда связать разные атаки друг с другом специалистам тоже помог анализ кода. Расследование носило название операция «Блокбастер». Вероятно, это связано с тем, что в центре внимания экспертов была атака на компанию Sony Pictures Entertainment. 

В ноябре 2014 года на серверы компании Sony Pictures Entertainment была совершена крупная атака, в ходе которой хакеры похитили около 11 Тб данных – личные данные сотрудников компании и их семей, еще не изданные фильмы, финансовые документы. Ответственность на себя взяла группа хакеров Guardians of Peace, но спецслужбы США были уверены, что за атакой стоит Северная Корея. Sony Pictures Entertainment как раз готовила к выходу комедийный боевик «Интервью», где описывается попытка покушения на лидера Северной Кореи Ким Чен Ына. Изначально компания даже отменила выход фильма, но потом передумала.

В ходе операции «Блокбастер» исследователи обнаружили, что код программ, использовавшихся для атаки на Sony Pictures Entertainment, схож с семейством вирусов, которые использовались в ряде других атак. Например, в кампании DarkSeoul, направленной на сеульские банки, радио и телевидение, и в операции против вооруженных сил Южной Кореи Operation Troy. «Lazarus использует один и тот же вредоносный код по нескольку раз, включая уже применявшиеся фрагменты в новых образцах», – утверждали расследователи. Самый ранний образец был датирован 2009 годом, а в 2010-м количество образцов стало стремительно расти. Было еще несколько моментов, позволивших приписать разные атаки одной группе. Так, хакеры использовали одни и те же пароли для архивированных файлов. Были одинаковыми и методы стирания следов присутствия в зараженных компьютерных системах.

Проанализировав время создания большинства вирусов, исследователи выяснили и то, что группа Lazarus работает в часовых поясах GMT+8 и GMT+9. «Атакующие обладают необходимыми навыками и полны решимости использовать операции кибершпионажа не только для кражи данных, но и для причинения физического ущерба. Добавив к этому тактику дезинформирования жертвы, за последние годы они смогли успешно провернуть несколько таких операций», – говорил тогда Джейми Бласко, главный исследователь AlienVault.


Богатые хакеры в бедной стране

Создание вирусов для подобных атак требует высокопрофессиональных хакеров, а также значительных финансовых ресурсов. Откуда деньги на содержание хакеров у одной из самых бедных стран мира? Возможно, дефицитом средств объясняется то, что часто жертвами Lazarus становятся финансовые организации разных стран. Например, в начале 2016 года эта группа атаковала Центральный банк Бангладеш. Тогда хакеры пытались вывести $951 млн через систему международных межбанковских переводов SWIFT. Однако из-за ошибки в платежном документе им удалось украсть только $81 млн. «Если государство грабит банки, это очень серьезно», – заявлял тогда заместитель директора Агентства национальной безопасности Ричард Леджет.

В мае 2016 года стало известно, что злоумышленники еще в январе 2015 года похитили из эквадорского банка Banco del Austro $9 млн. Эксперты тогда приписывали эту атаку Lazarus. Примерно тогда же были попытки похитить деньги в банках на Филиппинах и во Вьетнаме. В феврале 2017 года атаке подверглась финансовая система Польши. Представители антивирусной компании Symantec тогда утверждали, что это тоже дело рук Lazarus, хотя северокорейские хакеры пытались запутать расследование – они стали добавлять в код русские фразы. Но, как утверждали эксперты, слова, вероятно, были переведены с помощью онлайн-переводчика – многие были написаны неправильно. 

Всемирная атака, начавшаяся в конце прошлой недели, еще продолжается. По данным «Лаборатории Касперского», в понедельник активность вируса-вымогателя WannaCry снизилась в шесть раз, но у него активно появляются клоны, а значит, нас может ждать новая волна атаки. 

Как правило, хакерская группа специализируется на одном направлении – например, атакует банки. Подготовка таких операций требует денег и больших трудозатрат. Чем больше направлений атак, тем больше ресурсов требуется. Но хакеры из группы Lazarus кажутся универсальными. «Мы считаем, что Lazarus – это не просто “еще одна группа хакеров”. Масштабы операций Lazarus шокируют», – пишут специалисты «Лаборатории Касперского».




Дмитрий Филонов

Специальный корреспондент Republic

https://republic.ru/posts/82931