Мир под ударом
Когда корпорация Microsoft обнаруживает Вирус-вымогатель уязвимость в своем программном обеспечении, или ПО, она выпускает бюллетень и вешает его на сайте TechNet. В марте она выпустила бюллетень MS17-010, предупреждавший об опасном уязвимом месте старых вариантов протокола SMB.
Именно им воспользовались не известные пока злоумышленники, запустившие вирус-вымогатель WannaCry в около 300 тысяч компьютеров при- мерно в 150 странах планеты. Когда пользователь включал после этого свой инфицированный вымогателем компьютер, перед ним появлялся красный экран с шапкой «Oops, ваши файлы зашифрованы!».
«Что случилось с моим компьютером?» — говорилось ниже. Потерпевшему вежливо объясняли, что его файлы будут разблокированы, если он заплатит 300 долларов биткоинами. По истечении 3 дней сумма выкупа повышается до 600 долларов. Если он опять не заплатит, по истечении 7 дней его файлы будут уничтожены и потеряны для него навсегда.
Кибератака — одна из самых крупных в истории — началась в пятницу, 12 мая, и пока принесла вымогателям довольно скромный барыш, едва достигавший в конце среды 80 тысяч долларов. С тех пор я не проверял, но скромный масштаб барыша ясен. Ущерб, понесенный в результате этой атаки, конечно, неизмеримо выше. Эксперты не рекомендуют платить вымогателям, поскольку нет гарантии, что в обмен они разблокируют ваши файлы. Насколько известно, в данном случае они иногда держали слово, а иногда — нет.
Уязвимое место в протоколе SMB первой обнаружила не Microsoft, а американское Агентство национальной безопасности (АНБ), которое дало ему кодовое обозначение EternalBlue и, говорят, использовало в своих целях. Так держать, АНБ!
Многие эксперты по кибербезопасности заявили, что выходки вируса WannaCry подкрепляют их призывы к АНБ перестать копить в своих закромах уязвимые места ПО и извещать о них частный сектор. Президент Microsoft Брэд Смит обрушился на разведслужбы за то, что они скрывают обнаруженные ими прорехи, через которые могут проникать хакеры. Широкая публика могла познакомиться с EternalBlue, когда хакерский коллектив Shadow Brokers обнародовал его через «Викиликс».
Получив доступ к коду EternalBlue, киберпреступники воспользовались им для распространения своих вредоносных программ. WannaCry замечательно быстро расползся по планете. Главная причина его успеха, возможно, заключалась в том, что владельцы атакованных компьютеров не поставили заплаток Microsoft или пользовались старыми версиями Windows, для которых заплатки уже не выпускаются.
Среди них были лицензионные ОС Windows XP или пиратские копии операционных систем Microsoft. Соединенные с Интернетом компьютеры без заплаток заражались вирусом почти молниеносно. ОП Windows Vista, Windows 7, 8.1, 10, Windows Server 2008, 2012 и 2016 со всеми обновлениями, включая мартовские, для вируса неуязвимы.
Если у вас Windows XP, Windows 8 и Server 2003, то вам нужно срочно скачать и установить заплатку, которую Microsoft выпустила в качестве исключения, потому что обычно она старые версии не поддерживает. Другая причина быстрого метастазирования вируса заключалась в том, что уязвимые компьютеры часто были сконцентрированы в одном месте — в организациях или компаниях, имеющих сотни их и тысячи.
Стоило одному сотруднику впустить к себе вирус, как тот быстро заражал другие компьютеры в его сети, которая чаще всего со- стояла из устаревших компьютеров, не замененных на новые по бюрократической инерции и соображениям экономии.
Я читал, что правительство США до сих пор использует технологию полувековой давности и тратит на нее более 60 миллиардов долларов. На ее модернизацию — 29 миллиардов. Дядя Сэм платит своим программистам повышенное жалованье за изучение устаревших компьютерных языков, без знания которых им трудно будет обслуживать устаревшее оборудование.
От вируса-вымогателя пострадали правительственные ведомства вроде МВД России и МИД Румынии, больницы в Колумбии, Канаде, Индонезии и Словакии, и вся британская система национального здравоохранения, китайские университеты и компании разных стран, такие как американская FedEx. Из-за разницы во времени США пострадали гораздо меньше, чем европейцы, поскольку уже в пятницу вечером 22-летний британский компьютерщик, известный в сети как MalwareTech, непреднамеренно приостановил триумфальное шествие вируса по планете.
По счастливой случайности он наткнулся на аварийный выключатель (kill switch) WannaCry, испугав вредоносную программу, которая решила, что столкнулась с «виртуальной машиной», и перестала метастазировать. По определению Би-би-си, виртуальная машина — это «защищенная плат- форма, используемая в числе прочего для обнаружения вирусов и считывания их программного кода».
Как объяснил MalwareTech в своем блоге, встретившись с виртуальной машиной, «вредоносная программа немедленно прекращает работу, чтобы предотвратить дальнейший анализ». Его случайный успех, однако, не означает, что из киберподполья не вылезет другой штамм вируса, не оснащенный аварийным выключателем. Последняя версия произошедшего гласит, что атака была делом рук северокорейских хакеров. В публикациях на эту тему иногда ссылались на российскую «Лабораторию Касперского», которая является одной из главных антивирусных компаний в мире.
Так совпало, что 11 мая, за день до того как WannaCry начал свое триумфальное шествие по планете, в комитете Сената США по разведке выступали полдюжины руководителей американских разведорганов. Обсуждалось предполагаемое вмешательство Москвы в американские выборы 2016 года и увольнение директора ФБР Джеймса Коми. Как вдруг сенатор-республиканец Марко Рубио перевел разговор на «Лабораторию Касперского». «Кто-нибудь из вас будет чувствовать себя комфортно, если в ваших компьютерах будет программное обеспечение Kaspersky Lab?» — спросил Рубио.
«Я решительно скажу «нет!», — заявил директор национальной разведки Дэн Коутс. Пятеро его коллег отреагировали аналогично: «Нет», «Нет, сенатор», «Нет, сэр», «Нет, сенатор», «Нет, сэр». Как писала на следующий день Boston Globe, основателю «этой широко известной и уважаемой компании» Евгению Касперскому «неоднократно приходилось опровергать утверждения, что она выполняет задания российских спецслужб».
За несколько дней до этого телекомпания ABC News, однако, сообщила, что, по ее данным, ФБР сейчас «с новыми силами взялось за давнее расследование по поводу того, поддерживает ли эта киберкомпания какие-то настораживающие отношения с российским правительством». Ряд сенаторов выразили на слушаниях опасения, что ПО Касперского может использоваться в целях шпионажа или для атак на американские компьютерные сети. Мы отслеживаем софт Касперского», — заметил на это директор разведуправления Пентагона Винсент Стюарт.
Ему вторил глава Агентства национальной безопасности Майк Роджерс, который сказал, что лично участвует в разработке компании Касперского.
Boston Globe отмечает, что никто из выступавших на слушаниях не рассказал, чем конкретно мотивируются их подозрения, и не привел ни одного случая, когда изделия компании использовались бы в зловредных целях.
Возможно, не случайно, что сам Касперский одновременно с сенатскими слушаниями отвечал на вопросы в соцсети Reddit. Когда его попросили прокомментировать заявления американских разведчиков, он написал, что не согласен с их мнением, и что «я весьма сожалею, что эти господа не могут пользоваться лучшим программным обеспечением на рынке по политическим соображениям». Он изъявил желание дать показания в Сенате США и чуть позднее сказал: «Я не был… агентом или сотрудником КГБ ни секунды!» Авторитетный сайт Wired писал, что в молодости Касперский служил в советской военной разведке.
Члены Сената США поинтересовались, пользуется ли их правительство софтом Касперского для защиты своих разведывательных и военных компьютерных сетей.
«Насколько я знаю, в наших сетях нет ПО Касперского», — ответил глава военной разведки Стюарт. Он, впрочем, оговорился, что не может исключить наличия этого ПО у частных подрядчиков, имеюших доступ к закрытой информации. АВС установила, что ПО Касперского используются в таких федеральных органах США, как Тюремное управление, известное под сокращением ВОР ( Bureau of Prisons), Комиссия по защите безопасности потребителей и даже некоторые подразделения минобороны.
ABC отмечает, что американские силовики впервые публично выразили тревогу по поводу Лаборатории Касперского за несколько дней до это- го, когда ВРИО директора ФБР Эндрю Маккейб показал в Сенате США, что его ведомство «весьма озабочено ею, и мы пристально за ней наблюдаем». Сидевший с ним за одним столом директор ЦРУ Майк Помпео сказал, что вопрос о Касперском поднимается в его ведомстве на самом высоком уровне.
По данным АВС, в апреле сенатский комитет по разведке послал меморандум, в котором он выражал тревогу по поводу «Лаборатории Касперского» и призывал разведорганы серьезно отнестись к ее потенциальной угрозе для национальной безопасности США.
В феврале министерство внутренней безопасности разослало другим правительственным органам США секретный доклад по поводу «Лаборатории Касперского». Как и Boston Globe, АВС оговаривается, что никто пока не предоставил доказательств вредоносной деятельности компании в Америке. Евгений Касперский заявил телекомпании, что он «устал отвечать на глупые вопросы насчет моих связей с Кремлем», но признал, что утверждения о них иногда делают ему бесплатную рекламу.
* * *
Владимир Козловский
«Еврейский мир»