Перша у світі кібератака сталася тридцять років тому – восени 1988 року. Для Сполучених Штатів Америки, де протягом кількох днів вірусом було вражено тисячі комп'ютерів, нова напасть стала повною несподіванкою. Зараз застати фахівців з комп'ютерної безпеки зненацька стало набагато складніше, але кіберзлочинцям у всьому світі це все-таки вдається. Адже, як не крути, а найбільші кібератаки здійснюють генії програмування. Жаль тільки, що свої знання та вміння вони направляють зовсім не туди, куди слід.
Найбільші кібератаки
Повідомлення про віруси-шифрувальники, що атакують комп'ютери по всьому світу, з'являються на новинних стрічкахрегулярно. І чим далі, тим більші масштаби набувають кібератаки. Ось – лише десять із них: найрезонансніших та найбільш значущих для історії такого виду злочинів.
Черв'як Морріса, 1988 рік
Сьогодні дискета з вихідним кодомхробака Морріса - музейний експонат. Подивитися її у науковому музеї американського Бостона. Її колишнім власником був аспірант Роберт Таппан Морріс, який створив один із найперших інтернет-хробаків і привів його в дію в технологічному інституті штату Массачусетс 2 листопада 1988 року. У результаті в США було паралізовано 6 тис. інтернет-вузлів, а загальна шкода від цього склала 96,5 млн доларів.
Для боротьби з хробаком залучили найкращих фахівців із комп'ютерної безпеки. Однак і їм не вдалося вирахувати творця вірусу. Морріс сам здався поліції - на вимогу свого батька, який також мав відношення до комп'ютерної індустрії.
Чорнобиль, 1998 рік
Цей комп'ютерний вірус має і пару інших назв. Також він відомий як «Чих» чи CIH. Вірус тайванського походження. У червні 1998 року його розробив місцевий студент, який запрограмував початок масової атаки вірусу персональні комп'ютерипо всьому світу на 26 квітня 1999 року – день чергової річниці Чорнобильської аварії. Закладена заздалегідь «бомба» спрацювала чітко вчасно, вразивши півмільйона комп'ютерів планети. При цьому шкідливій програмі вдалося зробити досі неможливе - вивести з ладу апаратну частину комп'ютерів, вразивши мікросхему Flash BIOS.
Melissa, 1999 рік
Melissa був першим шкідливим кодом, надісланим електронною поштою. У березні 1999 року він паралізував роботу серверів великих компаній, розташовані по всьому світу. Це сталося через те, що вірус генерував нові і нові інфіковані листи, створюючи потужне навантаження на сервери пошти. При цьому їх робота або дуже сповільнювалася, або припинялася повністю. Збитки від вірусу Melissa для користувачів та компаній оцінювалися в 80 млн доларів. Крім того, він став «родоначальником» нового типу вірусів.
Mafiaboy, 2000 рік
Це була одна з найперших DDoS-атак у світі, яку розпочав 16-річний канадський школяр. Під удар у лютому 2000-го потрапили кілька всесвітньо відомих сайтів (від Amazon до Yahoo), у яких хакеру Mafiaboy вдалося виявити вразливість. У результаті роботу ресурсів було порушено майже цілий тиждень. Збитки від повномасштабної атаки виявилися дуже серйозними, його оцінюють у 1,2 млрд доларів.
Титановий дощ, 2003 рік
Так назвали серію потужних кібератак, від яких у 2003 році постраждали відразу кілька компаній оборонної промисловості та низка інших держустанов США. Метою хакерів було отримання доступу до таємної інформації. Відстежити авторів атак (виявилося, що вони – з провінції Гуандун у Китаї) вдалося фахівцю з комп'ютерної безпеки Шону Карпентеру. Він проробив колосальну роботу, проте замість лаврів переможця у результаті отримав неприємності. У ФБР вважають некоректним методи Шона, адже під час свого розслідування він зробив «незаконний злам комп'ютерів за кордоном».
Cabir, 2004 рік
До мобільних телефонів віруси дісталися 2004 року. Тоді з'явилася програма, яка давалася взнаки написом «Cabire», що висвічувався на екрані мобільного пристрою при кожному включенні. При цьому вірус за допомогою технології Bluetooth намагався заразити й інші. мобільні телефони. І це дуже сильно впливало на заряд пристроїв, його вистачало в найкращому разі на кілька годин.
Кібератака на Естонію, 2007 рік
Те, що трапилося у квітні 2007 року, можна без особливих натяжок назвати першою кібервійною. Тоді в Естонії разом пішли в офлайн урядові та фінансові сайти за компанію з медичними ресурсамита діючими онлайн-сервісами. Удар виявився дуже відчутним, адже в Естонії на той момент уже діяло електронний уряда банківські платежі практично повністю були в онлайні. Кібератака паралізувала всю державу. Причому це сталося на тлі масових протестів, що відбувалися в країні проти перенесення пам'ятника радянським воїнам Другої Світової.
Zeus, 2007 рік
Троянська програма почала поширюватися на соціальних мережахв 2007 році. Першими постраждали користувачі Facebook, які отримали листи з фотографіями, що додавались до них. Спроба відкрити фото оберталася тим, що користувач потрапляв на сторінки сайтів, уражених вірусом ZeuS. При цьому шкідлива програма одразу проникала в систему комп'ютера, знаходила особисті дані власника ПК і оперативно знімала кошти з рахунків людини в європейських банках. Вірусна атакаторкнулася німецьких, італійських та іспанських користувачів. Загальні збитки склали 42 мдрд доларів.
Gauss, 2012 рік
Цей вірус - банківський троян, який краде фінансову інформацію з уражених ПК - був створений американськими та ізраїльськими хакерами, які працювали у тандемі. У 2012 році, коли Gauss вдарив по банкам Лівії, Ізраїлю та Палестини, його зараховували до кіберзброї. Головним завданням кібератаки, як з'ясувалося пізніше, була перевірка інформації про можливу таємну підтримку ліванськими банками терористів.
WannaCry, 2017 рік
300 тисяч комп'ютерів і 150 країн світу - така статистика щодо постраждалих від цього вірусу-шифрувальника. У 2017 році в різних кінцях світу він проник у персональні комп'ютери з операційною системою Windows (скориставшись тим, що вони не мали на той момент ряду необхідних оновлень), перекрив власникам доступ до вмісту жорсткого диска, але пообіцяв повернути його за плату в 300 доларів Ті, хто відмовився платити викуп, втратили всю захоплену інформацію. Збитки від WannaCry оцінюються в 1 мдрд доларів. Авторство його досі невідоме, вважається, що до створення вірусу доклали руку розробники КНДР.
Криміналісти по всьому світу заявляють: злочинці йдуть в інтернет, а банки очищають не під час нальотів, а за допомогою впроваджених у систему шкідливих вірусів. І це сигнал для кожного користувача: бути акуратнішими зі своєю особистою інформацієюу мережі, надійніше захищати дані про свої фінансові рахунки, не нехтувати регулярною зміною паролів.
Уразливості, обхід перевірки цифровий підпис, віртуальні файлові системи, нестандартні алгоритми шифрування та інші прийоми Але іноді все трохи простіше, як у випадку зі шкідливою кампанією, яку ми виявили деякий час тому і назвали Microcin – на честь microini, одного із використаних шкідливих компонентів.
Ми виявили підозрілий файл у форматі RTF. У документі містився експлойт раніше відомої і закритої вразливості CVE-2015-1641 , але його код був сильно модифікований. Примітно, що шкідливий документ розповсюджувався через сайти, призначені для вузької групилюдей, і тому ми одразу почали підозрювати, що перед нами цільова атака. Оператори шкідливої кампанії «цілилися» у відвідувачів форумів, на яких обговорюються питання, пов'язані з отриманням пільгових квартир російськими військовослужбовцями та їхніми родинами.
Такий підхід здається надзвичайно ефективним, т.к. істотно підвищує ймовірність того, що потенційна жертва зловмисників завантажить та відкриє шкідливий документ – адже форум легітимний, а назва документа відповідає його тематиці.
Всі посилання в повідомленнях на форумі ведуть на шкідливий ресурс files[.]maintr**plus[.]com, де і розміщувався RTF-документ з експлойтом. Іноді зловмисники використовували PPT-файли, що містять виконуваний PE-файл, але без експлойту: запуск здійснювався за допомогою впровадженого PPT-файл скрипта.
У разі успішної експлуатації в пакеті MS Office експлойт створює на диску виконуваний PE-файл і запускає його. Шкідлива програма є платформою для впровадження додаткових модулів, їх потайного зберігання та додавання нових можливостей для зловмисників. Кроки атаки можна представити так:
- В результаті спрацювання експлойта на атакований комп'ютер встановлюється шкідлива програма відповідно до розрядності операційної системи. Установка відбувається через впровадження в системний процес explorer.exe без використання запису в пам'ять. Зловред має модульну структуру: основне тіло зберігається в реєстрі, додаткові модулі завантажуються за командою керуючого сервера (C&C). Автозапуск основного модуля здійснюється через dll hijacking за допомогою модифікованої системної бібліотеки.
- Основний модуль шкідливої програми отримує команду на завантаження та запуск додаткових модулів, які відкривають нові можливості зловмисникам.
- Додаткові шкідливі модулі дозволяють управляти зараженою системою, робити скріншоти вікон і перехоплювати клавіатурне введення. Їх ми бачили й у інших кампаніях кібершпигунства.
- Зловмисники використовують модифікований набір powershell-скриптів PowerSploit та різних утиліт, щоб викрадати файли та паролі, виявлені на зараженому комп'ютері.
На скомпрометованих комп'ютерах злочинців перш за все цікавили файли з розширеннями .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt та .rtf. Перед відправкою на сервер зловмисників файли пакувалися в архів, захищений паролем.
Загалом тактики, техніки та процедури, які зловмисники застосовували в ході атаки, навряд чи можна назвати складними та дорогими, проте дещо все ж таки привернула нашу увагу:
- Корисне навантаження (як мінімум, один із модулів) доставляється із застосуванням спрощеного . У трафіку це виглядає як завантаження звичайного JPEG-зображення, але відразу після даних зображення слід зашифроване корисне навантаження. Microcin шукає спеціальну мітку в такому файлі - "ABCD" - і від неї, пропустивши спеціальну структуру, починає розшифровувати корисне навантаження. Таким чином, може доставлятися як новий базонезалежний код, так і файли PE-формату.
- Якщо перед закріпленням у системі інсталятор Microcin виявить запущені процесидеяких антивірусних програм, то установка піде без використання впровадження в explorer.exe, а модифікована системна бібліотека, яка використовується для закріплення шкідливої програми в системі, розміщується в каталогі %WINDIR% за допомогою використання системної програми wusa.exe з параметром /extract (на ОС, де є UAC).
Висновок
У розглянутій шкідливій кампанії не використовуються принципово нові технології: уразливість нульового дня, нововведення в техніках впровадження чи маскування. В арсеналі зловмисників:
- Атака типу watering hole із екплойтом MS Office;
- Безфайлове зберігання основного набору шкідливих функцій (шелкоду) та додаткових модулів;
- Впровадження у системний процес без запису на його пам'ять;
- DLL hijacking по відношенню до системного процесу як спосіб автозапуску, який не залишає слідів у ключах автозапуску в реєстрі.
Також атакуючі використовують powershell-скрипти, які широко застосовуються в тестах на проникнення. Бекдори ми бачили в різних цільових атаках, а PowerSploit - це і зовсім проект з відкритим кодом. Однак і відомі технології можуть дозволити зловмисникам досягти своєї мети.
На наш погляд, розглянута шкідлива кампанія цікава в першу чергу використовуваними векторами атаки – часто організації, які можуть опинитися у списку цілей кіберзлочинців, не звертають на них уваги.
По-перше, якщо інфраструктура вашої організації добре захищена, і атакувати її буде «дорого» (тобто для цього можуть знадобитися дорогі експлойти під вразливістю нульового дня та інші складні інструменти), атакуючі швидше за все спробують атакувати рядових співробітників. Логіка подібного кроку проста: особисті IT-ресурси співробітника (його комп'ютер чи мобільний пристрій) цілком можуть стати «дверями» у ваш периметр без прямої атаки. Тому організаціям необхідно інформувати співробітників про існуючі кіберзагрози та про те, як вони працюють.
По-друге, Microcin – одна з багатьох шкідливих кампаній, що використовують інструменти та методи, які складно виявити за допомогою стандартних захисних рішень навіть корпоративного рівня. Тому ми рекомендуємо великим корпораціям та держорганам використовувати комплексні рішеннядля захисту від цільових атак. Подібні рішенняздатні розпізнати атаку, навіть якщо використання очевидно шкідливих інструментів у ній зведено до мінімуму, а натомість атакуючі прагнуть вдаватися до допомоги легальних інструментів для тестування на проникнення, дистанційного доступута інших завдань.
Побудова комплексної захисної системи може суттєво зменшити ризик стати жертвою цільової атаки, навіть невідомої на момент її реалізації. Іншого виходу немає – інакше секрети будуть викрадені, а інформація часто коштує більше витрат на її надійний захист.
Минулого року хакери зосередилися на атаках на компанії та експлуатацію вразливостей. Масових кібератак типу WannaCry, які вразили світ у 2017 р., минулого року вдалося уникнути. Але і без того кібершкідники завдали маси турбот, довівши, що світові компанії перед хакерами все ще вразливі.
Хакери вкрали понад $500 млн у японської криптобіржіОдна з найбільших криптовалютних бірж Японії – Coincheck – підтвердила у п'ятницю, 26 січня, факт крадіжки коштів із платформи. Загалом заявляється про розкрадання 58 млрд ієн ($533 млн) у криптовалюті NEM (XEM).
Coincheck призупинила операції з NEM та іншими альткоїнами, після того, як з гаманця компанії в невідомому напрямку було виведено понад 100 млн XRP (близько $123,5 млн). Водночас надійшло непідтверджене на той момент повідомлення, що невідомі зловмисники вивели з біржі ще $600 млн у NEM.
І трохи пізніше представники Coincheck провели прес-конференцію, на якій офіційно повідомили про зникнення 58 млрд ієн. Як говорилося в повідомленні Coincheck, також було припинено торги всіма видами криптоактивів, крім біткоїну, майданчик тимчасово не приймає нових вкладень у токени NEM.
Те, що відбувається з Coincheck, нагадало користувачам біржі історію японського майданчика Mt Gox, яка в 2014 р. стала мішенню хакерів, разово втратила 850 тис. біткоїнів і була змушена оголосити про банкрутство.
Подібний до WannaCry вірус атакував компанію Boeing
Корпорація Boeing зазнала атаки вірусу, схожого на програму-вимагач WannaCry, повідомило видання The New York Times з посиланням на лист, поширений усередині компанії.
У документі, підписаному головним інженером Boeing Commercial Airplane Майклом Вандервелом, йдеться про те, що вірус може перекинутися на програмне забезпеченнялітаків, і навіть виробничі системи. Він закликав колег до обережності, наголосивши, що вірус "метастазує". При цьому на сторінці Boeing у твіттері йдеться про те, що ЗМІ перебільшили масштаби кіберзлому.
Подробиці кібератаки, в тому числі передбачуване використання вірусу WannaCryабо подібного до нього, у Boeing поки розкривати відмовилися.
Вірус-вимагач WannaCry (WannaCrypt) у травні 2017 р. блокував роботу кількох сотень тисяч комп'ютерів по всьому світу. Він блокував комп'ютери та вимагав перерахування грошей за відновлення доступу. Вразливими виявилися комп'ютери з системою Windows, на які не було встановлено необхідне оновлення. Від вірусу WannaCry тоді серед інших постраждали російські держустанови та британські лікарні.
З Facebook вибігли дані 3 млн користувачів
Особисті дані близько 3 млн користувачів Facebook, які використовували програму з психологічними тестами, перебували у вільному доступі протягом чотирьох років, повідомляло видання New Scientist з посиланням на власне розслідування.
Дані збиралися за допомогою проекту Кембриджського університету - програми myPersonality. Воно було запущено у 2007 р. і пропонувало користувачам пройти психологічні тести та швидко отримати результати. При цьому кілька користувачів погоджувалося ділитися своїми особистими даними з профілів Facebook.
Результати психологічних тестів використовували академіки університету Кембриджу, які потім зберігали ці дані на сайті з "недостатніми запобіжними заходами" протягом чотирьох років, йдеться в розслідуванні. Упродовж цих років доступ до даних користувачів хакери могли отримати "без особливих труднощів", зазначає видання.
Зазначається, що тести пройшли понад 6 млн осіб, близько половини з них поділилися з проектом даними зі своїх акаунтів на Facebook. Щоб отримати доступ до повного наборуданих, потрібно було зареєструватися як співавтор проекту. Понад 280 осіб з майже 150 організацій зробили це, у тому числі дослідники з університетів та співробітники Facebook, Google, Microsoft та Yahoo!. Однак ті, хто не зареєструвався, могли знайти пароль для доступу до даних через пошук у мережі. Додаток також збирав інформацію про статуси 22 млн користувачів Facebook та демографічні дані 4 млн користувачів.
Хакери вкрали особисті дані 2 млн. клієнтів оператора T-Mobile
Міжнародний мобільний оператор T-Mobile розкрив дані про недавню хакерську атаку, в результаті якої зловмисники отримали доступ до 2 млн облікових записів клієнтів компанії. Як повідомляють у T-Mobile, внаслідок злому хакери вкрали "деяку" інформацію: імена, адреси пошти, номери акаунтів та інші дані. Номери кредитних карток, паролі, а також номери соціального страхування (головний документ у США) не торкнулися.
В офіційному повідомленні оператор заявляє, що відділ із забезпечення кібербезпеки виявив несанкціонований доступдо баз даних у понеділок, 20 серпня. Представник T-Mobile в коментарі виданню Motherboard підтвердив факт злому, додавши, що крадіжка торкнулася облікових записів "трохи менше 3%" від загальної кількості користувачів, яких налічується 77 млн. Точну кількість облікових записів, порушених кібератакою, представник компанії не назвав.
Хто стоїть за атакою, поки що невідомо, але в компанії підозрюють членів якогось "міжнародного хакерського угруповання". У T-Mobile повідомляють, що не можуть розкрити інформацію про деталі кібератаки, а також не мають інформації, чи зловмисники були частиною проурядовими хакерами або простими кіберворами. У заяві сказано, що всі клієнти оператора, чиї облікові записимогли постраждати в ході кібератаки, будуть сповіщені через СМС.
Це вже вдруге, коли хакери отримують доступ до даних клієнтів T-Mobile. У 2015 р. зловмисники вкрали дані близько 15 млн американських абонентів оператора внаслідок злому одного із серверів компанії Experian, яка перевірить кредитні рейтинги споживачів.
Китайські хакерські чіпи зламали обладнання 30 компаній США
На початку жовтня Bloomberg опублікувало статтю, в якій стверджувалося, що китайські хакеринамагалися шпигувати за американськими компаніями за допомогою мікрочіпів. За інформацією джерел агентства, шпигунські мікросхеми впроваджувалися в материнські плати, які призначалися для серверів, якими користувалися компанії, як Apple і Amazon. Джерела стверджували, що це відбувалося на етапі збирання обладнання на фабриках у КНР, які є підрядниками найбільшого у світі виробника материнських плат Supermicro.
Згодом Apple та Amazon спростували ці твердження, запевняючи, що такої проблеми немає, причому спецслужби різних країн, включаючи США, це підтверджують. Нещодавно Apple направила до Конгресу США офіційного листа, в якому у жорсткій формі спростувала всі заяви журналістів Bloomberg про китайські жучки. У Supermicro також відкинули звинувачення Bloomberg.
Хакери вкрали дані 500 млн клієнтів мережі готелів Marriott
Одна з найбільших у світі мереж готелів, компанія Marriott International, повідомила про витік даних 500 млн. клієнтів. Це найбільших злом з 2013 р., коли у розпорядженні кіберзлочинців опинилися дані 3 млрд користувачів Yahoo!. У повідомленні компанії йдеться, що хакери ще у 2014 р. отримали доступ до бази даних компанії Starwood, яка належить Marriott та управляє мережами Sheraton, St. Regis, Le Méridien, W Hotels, Four Points by Sheraton.
У руках зловмисників опинилися поєднання імені, номера телефону, номера паспорта, адреси електронної пошти, поштової адреси, дати народження та статі не менше 327 млн осіб. У Marriott не виключають, що кіберзлочинці могли оволодіти даними про банківських картках, які зберігаються у зашифрованому вигляді. Там також зазначають, що доступною виявилася інформація Starwood Preferred Guest (SPG), а саме дані про обліковий запис, дату народження, поле, час прибуття та відбуття, резервацію та переваги.
Компанія заявила, що повідомить про кібератаку всіх клієнтів, хто був у базі. У Marriott International заявили, що для виправлення ситуації вжили необхідних заходів, у тому числі повідомили про подію в правоохоронні органи, проте відмовилися від подальших коментарів. Після оприлюднення цієї інформації акції компанії впали на понад 5%.
Хакери три роки читали листування європейських дипломатів
Невідомі хакери протягом кількох років мали доступ до дипломатичного листування в ЄС і завантажили тисячі листів, повідомляла газета The New York Times з посиланням на дані Area 1, що займається питаннями кібербезпеки. Хакери отримали доступ до європейських дипломатичних каналів та роками збирали листи чиновників ЄС, у яких ті висловлювалися щодо Трампа, Росії, Китаю та ядерної програми Ірану.
Компанія Area 1 поділилася з газетою інформацією із 1,1 тис. листів дипломатів ЄС. За даними видання, хакери отримали доступ до листування через європейську мережу комунікацій COREU. Серед тем листування були зовнішня політика, мита та торгівля, тероризм, міграція, опис різноманітних зустрічей.
Серед зламаних даних були щотижневі звіти з представництв ЄС у Росії, Косово, Сербії, Албанії, Китаї, США та Україні, пише газета. Наприклад, в одному листі європолітики описували свої враження від зустрічі Трампа та Путіна в Гельсінкі: на їхню думку, саміт був "вдалим" (принаймні для Путіна).
Метою кібератаки, яка торкнулася європейського листування, не була публікація вкрадених матеріалів, повідомляє джерело газети. Навпаки, це було "чисто шпигунське питання", пише видання. Цілями хакерів, за даними видання, стали понад 100 організацій, багато з яких не знали про зло, доки не отримали повідомлення від Area 1.
За даними експертів, методи, які хакери застосовували протягом трирічного періоду, нагадували ті, що давно використовуються елітним підрозділом Народно-визвольної армії Китаю. Також зазначається, що хакери отримали доступ ще й до дипломатичних каналів США та листування міністрів закордонних справ у всьому світі.
Практично щодня у ЗМІ з'являються нові повідомлення про кібератаки, зафіксовані в різних країнах. Існують випадки, які запам'ятаються людям надовго.
"Титановий дощ"
Невідомим хакерам майже чотири роки поспіль вдавалося здійснювати незаконну операцію під назвою "Титановий дощ". З 2003 до 2007 року зловмисники зламували мережі відділів безпеки, енергетики та оборони різних держав. Окремо в цьому списку стоїть МЗС Великобританії, яке також зазнало атак інтернет-злочинців.
Усього за цей період хакери завантажили кілька терабайт секретної інформації, але так і залишилися непоміченими. Вважалося, що нелегальні заходи проводять військові з Китаю, які мешкають у провінції Гуандун. Представники Пекіна спростували ці припущення, зазначивши, що злочинці просто "замаскували" свої комп'ютери під хибними адресами.
Головною особливістю операції Shady RAT є те, що вона продовжується і до сьогодні. Як і в першому випадку, джерелом загрози вважається КНР, проте аргументувати свої звинувачення фахівці поки що не можуть.
Ще в 2011 році компанія McAfee, що спеціалізується на розробці антивірусного програмного забезпечення, зафіксувала ряд зламів, пов'язаних однаковими особливостями. Як з'ясувалося, йшлося про масштабну акцію хакерів, що триває з 2006 року.
Зловмисники відправляють електронні листиспівробітникам великих організацій, заражаючи їх ПК вірусами на кшталт "троян". Жертвами зломів вже стали Олімпійський комітет ООН, Асоціація держав Південно-Східної Азії, а також неймовірна кількість комерційних фірм із Японії, Швейцарії, Великобританії, Індонезії, Данії, Сінгапуру, Гонконгу, Німеччини та Індії. Крім того, атакам зазнавали комп'ютери урядів США, Тайваню, Південної Кореї, В'єтнаму та Канади.
Помста за пам'ятник
У 2007 році, після того, як влада Естонії вирішила знести радянський пам'ятник у центрі Таллінна, країна зазнала масових кібератаків. Через неполадки досить довго не працювали кілька банків і мобільних операторів. При цьому громадяни не могли скористатися банкоматами чи інтернет-банкінгом. Відвідування урядових та новинних ресурсів також виявилося неможливим.
У світлі останніх подій представники держави відразу ж звинуватили у нападі Росію. Москва відкинула заяви, наголосивши, що Кремль не займається подібними речами.
Конфлікт у Південній Осетії
У серпні 2008 року розпочався збройний конфлікт між Грузією та самопроголошеними республіками Південна Осетія та Абхазія. З того часу Тбілісі почав зазнавати онлайн-нападів, у яких відразу ж звинуватили РФ. Москва офіційно підтримувала протилежний бік, тому атаки хакерів на грузинські ресурси виглядали цілком логічними. Прем'єр-міністр країни Дмитро Медведєв не підтвердив цю інформацію та заявив, що держава не має відношення до кібератаків.
Правоохоронним органам Тбілісі таки вдалося встановити особу злочинців, якими виявилися члени групи Russian Business Network. За версією зарубіжних фахівців, учасники об'єднання навмисно блокували веб-сайти Михайла Саакашвілі, МЗС та Міноборони Грузії.
Stuxnet та ядерна програма Ірану
У червні 2010 року експерти виявили хробака під назвою Stuxnet. Він використовує вразливість Windows, щоб зламувати промислові системи Siemens. Подібне ПЗ встановлено на атомних електростанціях та інших підприємствах, пов'язаних із сегментом.
Найбільша кількість заражених комп'ютерів була помічена на території Ірану, де атакували 16 тисяч машин. Передбачається, що це програмне забезпечення розробив Ізраїль для того, щоб завадити розробці ядерного озброєння Тегераном. 2011 року видання The New York Times підтвердило звинувачення, пославшись на власне дослідження.
Олімпіада та WADA
Не менш цікавими виявилися зломи від організації хакерської Fancy Bears, обуреної діями Всесвітнього антидопінгового агентства (WADA). У більшості випадків йдеться про документи, що викривають відомство у підтримці закордонних спортсменів та упередженому ставленню до учасників Олімпійських ігор із Росії.
Востаннє, коли інтернет-злочинці заявили про себе, вони розмістили у Мережі уривки листування між двома членами WADA. Якщо вірити цим матеріалам, кілька членів збірної США вживали кокаїн, щоб скинути вагу перед змаганнями. При цьому агентство знало про те, що відбувається, але ніяк не відреагувало на вчинок спортсменів.
Хілларі Клінтон та WikiLeaks
Під час передвиборчих перегонів у США, одним із учасників якої стала Хілларі Клінтон, на просторах Інтернету та в ЗМІ набула популярності ще одна анонімна організація. Її члени публікували в Мережі фрагменти листування кандидатки, яке, перебуваючи на посаді держсекретаря, використовувало особистий поштовий сервер, а не урядові лінії.
Більшість документів потрапили на портал WikiLeaks, який звинуватив Клінтон у багатьох порушеннях. Після цього навколо чиновниці спалахнув справжній скандал, пов'язаний із її діяльністю. Пізніше у Всесвітньому павутинні навіть з'явилася інформація про те, що дружина екс-президента країни періодично практикує одностатеве кохання зі своєю помічницею.
Хакери паралізували діяльність десятків британських лікарень, іспанської корпорації Telefonica, німецької транспортної компанії. Проблеми мали російський «Мегафон», а також Міністерство внутрішніх справ.
Десятки тисяч комп'ютерів майже миттєво перестали працювати. Це дуже серйозний сигнал. Всі ми стикаємося з комп'ютерними вірусами. У нас стоїть захист від вірусів. Але все одно іноді виникають проблеми. Але одна справа – особистий комп'ютер. Пропаде листування чи якісь котики. Неприємно, але не трагедія. Інша річ, наприклад, лікарні, як зараз в Англії. Тут ризику наражаються на життя людей.
А промислові підприємства, енергетика, хімія. Тут наслідки кібератак можуть бути катастрофічними. Російська лабораторія Касперського минулого року виявила шкідливі програмина 27% промислових систем світу – майже тотальне зараження.
Вимкнення електрики в результаті хакерських атак- це вже звичайне явище. Щороку у різних країнах фіксуються такі події. І парадокс - чим досконаліша енергетична система, тим більший ризик. На найсучасніших електропідстанціях навіть рубильників уже нема. Все керується комп'ютерами. У разі аварії вже не можна прийти і рукою включити рубильник. Сучасна цивілізація виявилася надзвичайно вразливою.
Особливо непокоїть ще одну обставину. Віруси, які атакували світ у п'ятницю, було створено в Агентстві національної безпеки США. Про це, зокрема, говорить екс-співробітник цієї агенції Едвард Сноуден, який зараз ховається в Росії. І ось питання. АНБ у такий спосіб демонструє свої можливості, свою силу? Показує, що може зруйнувати будь-які комп'ютерні системи? Показує це за допомогою якихось лівих хакерів. Чи це справді витік шкідливих програм? Отже, недбалість, злочинна недбалість співробітників найважливішої спецслужби США. Що ще гірше. А якщо втече бактеріологічна зброя, ядерна зброя?
Англійський пацієнт розповідає, як постраждав від вірусу програми, яка заблокувала всі комп'ютери у шпиталі, де він лікується. Потрібно різати, не чекаючи на ускладнення, але хірург так і не наважився.
Він сказав, що всі комп'ютери зависли. Немає гарантії, що операція пройде безпечно та успішно завершиться. Відклали на якийсь час», - розповідає Джонатан.
Ультиматум на екрані побачив і персонал лондонської лікарні та ще сто тисяч користувачів. Червоний рівень загрози. Хакери не торгуються, вони диктують правила.
Що сталося з моїм комп'ютером?
Вашу інформацію зашифровано. Документи, фото, відео та бази даних. Без нашого коду не розшифруєте.
Як мені відновити мої дані?
Ми гарантуємо – все буде гаразд. Частину інформації ви можете розшифрувати зараз. За решту доведеться платити. 300 доларів. За тиждень сума подвоїться. Ще за тиждень файли знищимо. Відлік уже триває.
Суму викупу хакери навмисно призначили не гігантську, зважаючи на те, що багатьом із ста тисяч постраждалих простіше буде заплатити, аніж боротися за дорогі серцю файли. Оплата тільки в біткоїнах - криптовалюті, відстежити переміщення якої неможливо.
Менше, ніж за добу, вірус розлетівся по планеті. Епідемія! Майже сто країн – вся Європа, Америка, Китай, Індія. Поки що Австралія не зворушена. Африка якось тримається, але там і комп'ютерів менше. Росія постраждала найсильніше.
Короткострокове ураження своїх мереж підтвердило Міністерство внутрішніх справ, потім «Російські залізниці», Потім «Мегафон», «Yota». Атаку піддавалися й інші стільникові операториале вистояли. Вистояли МОЗ та МНС.
«Є указ президента про створення російського сегменту мережі, це закритий Інтернет довкола держчиновників. Давно за цим щитом стоїть оборонка. Постраждали прості комп'ютериспівробітників. Навряд чи постраждав саме доступ до баз даних – вони й на інших операційні системиі перебувають, як правило, у провайдерів», - пояснює радник президента Росії з розвитку Інтернету Герман Клименко.
Вірус пробував на міцність топові російські банки. Таке враження, що хакери спеціально атакували держоргани та великий бізнес. Дрібне здирство, більше схоже на кібер-тероризм.
У назві – гра слів. "WannaСry" - "Хочу розшифрувати" і одночасно "ридати хочеться". Цей вірус уже був у центрі шпигунського скандалу. «Вікілікс» упевнений: саме за його допомогою американські спецслужби стежили за користувачами по всьому світу, тим, хто забув, нагадав Едвард Сноуден.
«Ого! Рішення АНБ створити інструменти для атак проти американського програмного забезпечення тепер загрожує життю пацієнтів у лікарнях!» – написав у Твіттері Едвард Сноуден.
Він, як і Сноуден, також працював на Агентство Національної Безпеки США. Також вважає, що тут без АНБ не обійшлося. Хакери самі запустили вірус у мережі чи за наказом спецслужб: подивитися, як спрацює? Хто скаже точно?
«Це комп'ютерна війна, яку спонсорують та підтримують Сполучені Штати Америки. І ми ще не раз побачимо подібні атаки», - вважає колишній співробітник АНБ (США) Уейн Медсон.
Вірус, що наробив стільки шуму, не зламує програмне забезпечення комп'ютера, не шукає слабких місцьу захисті. Розробники, випадково чи навмисно, залишили в системі Windows XP незачинені двері. Ще в березні, після того як спалахнув шпигунський скандал, компанія «Майкрософт» випустила програму, яка закривала пролом. Її треба було просто завантажити. Хто цього не зробив, зараз і потрапив у ситуацію: хакери змінили замки, а ключі вимагають гроші.
"Це перший випадок масового застосування бойових вірусів ЦРУ або АНБ", - зазначає Ігор Ашманов.
Лише у цьому його унікальність, вважає один із головних російських IT-консультантів Ігор Ашманов. Вірус нескладний, новий. У відкритий доступйого виклали саме як доказ: американські спецслужби стежать за всіма. Вихідником і користувалися кіберзлочинці.
«Він був стерилізований, у тому сенсі, що там видалили якісь місця з нього, щоб зробити його безпечним, стерилізованим. Але хакери його просто пожвавили, додали живої води, він знову став бойовим. І запустили, можливо, просто щоб перевірити», - вважає Ігор Ашманов.
Виходить, будь-який вірус, створений спецслужбами, може потрапити до рук хакерів. І не завжди це відносно нешкідливий блокувальник екрану.
Свого часу США та Ізраїль розробили вірус, який значно загальмував іранську ядерну програму. Він просто вивів з ладу центрифуги для збагачення урану.
А під час операції «Буря в пустелі» радари іракських ВПС заблокувала комп'ютерна програманаписана французькими програмістами. Що буде, якщо така кіберзброя виявиться у терористів? З огляду на те, що зараз комп'ютери керують усім - від атомних станцій до літаків та поїздів.
Вчора вірус паралізував роботу найбільшого залізничного перевізника Німеччини "Дойче Бан". Іспанська стільникова компанія «Телефоніка» теж ледь упоралася з вірусною атакою.
«Я не думаю, що тут має місце мотив світового панування. Це елементарне здирство, шантаж з метою отримання грошей. Якби хакерам потрібно було б боротися за світове панування, то це були б якісь політичні вимоги чи мотиви», - вважає президент групи компаній Infowatch Наталія Касперська.
"Першим джерелом поширення є все-таки відкриття шкідливих email, тобто повідомлень електронної пошти", - пояснює віце-президент з інженерії компанії Acronis Микола Гребенніков.
Людський фактор. Хтось із співробітників все ж таки здригнувся - відкрив лист із привабливим заголовком. Збитки від таких довірливих – 80 мільярдів доларів на рік.
«Звичайно, зловмисники фокусують свої зусилля, фінансові ресурси на те, щоб створити такі засоби атаки, які дозволять мати якусь вигоду. За рахунок обмеження доступу до IT-ресурсів або до якихось сервісів. Єдиний такий гарний спосібзахисту – це комплексний захист», - упевнений віце-президент з інженерії компанії Acronis Микола Гребенніков.
Два нескладні пункти. Вчити персонал гігієни в Інтернеті, тобто оновлювати антивіруси, не відкривати підозрілі листи, не відвідувати порносайти та обов'язково створювати резервні копіїважливих даних.
Тільки це зараз рятує англійські лікарні від повного колапсу. Історії хвороб та медкарти пацієнтів хоч якось, по-старому, але все ж таки зберігали.
