За атакой с использованием вируса WannaCry стоят спецслужбы КНДР, а именно разведбюро 121, полагает глава отдела по динамическому анализу вредоносного кода международной компании Group-IB Рустам Миркасымов.
«В пользу этой версии говорит и найденный специалистом по реверс-инжинирингу из Google участок кода, в котором использовались специфические константы. Эти константы ранее применялись только в троянах группы Lazarus. Это достаточно сильные доказательства для атрибуции атаки к той или иной группе», – сказал Миркасымов.
Эксперт пояснил, что задача атрибуции (приписывания) – сложная и не может быть формализована. «Попытки ввести формальные модели и использовать их часто приводят к ложным выводам. Зато установить этническую принадлежность или язык атакующего проще, чем ответить на вопрос, кто именно стоит за атакой. Киберкриминал или спецслужбы? Еще три года назад мы предсказывали, что развитие кибероружия и нежелание стран сотрудничать в сфере кибербезопасности приведет к анархии в области информационной безопасности, станет невозможно отличить атаку спецслужб от атаки обычных киберпреступников. А вчерашние скрипт кидди (script kiddie, неквалифицированный хакер) уже завтра будут взламывать стратегические объекты и оставлять целые города без электричества и воды», – напомнил Миркасымов.
По словам эксперта, некоторые уголовные дела против хакеров в США рассекречиваются и публикуются, и у общественности есть возможность понять, на какие улики опиралось официальное обвинение. Так, например, в деле «США против Пак Чин Хёк (Park Jin Hyok)» утверждается, что этот хакер Пак принадлежал к группе Lazarus.
«При этом дававшие показания по этому делу оперативные сотрудники США утверждают, что подозреваемый работал не на корейскую, а на китайскую IT-компанию. А его личность удалось установить благодаря анализу запросов обвиняемого в поисковых системах и аккаунтам электронных почт, принадлежащих американским компаниям (Google, Yahoo! etc.). Такие доказательства технически проверяемые и не вызывают вопросов. Но не все дела найдешь в открытом доступе, поэтому не всегда есть возможность установить, насколько реальны доказательства обвинений властей США против тех или иных лиц», – говорит сотрудник Group-IB.
Напомним, в среду постпреды всех стран Евросоюза согласовали пакет карательных мер против структур и граждан России, Китая и Северной Кореи, якобы причастных к кибератакам на страны Запада. Как сообщает ТАСС со ссылкой на источник в Совете ЕС, рестрикции будут введены в рамках упрощенного санкционного режима ЕС по кибератакам, который был создан год назад, но пока ни разу не использовался. По словам дипломата, меры станут ответом на кибератаки, проведенные с помощью «червей» WannaCry, NotPetya и Cloud Hopper.
По информации корреспондента «Радио Свобода*» Рикарда Йозвяка, рестрикции включают заморозку активов ГРУ, а также разведок Китая и Северной Кореи. Журналист упоминает «визовые запреты и замораживание активов шести российских и китайских чиновников».
Китай отвергает свою причастность к кибератакам. В среду по аналогичному поводу полемика вспыхнула между Пекином и Вашингтоном. После того, как минюст США обвинил двух предполагаемых китайских хакеров в кибератаке на американские компании, в том числе и на разработчиков вакцины от коронавируса, представитель МИД КНР Ван Вэньбинь призвал США немедленно перестать порочить Китай в вопросах кибербезопасности.
Напомним, WannaCry – это программа-вымогатель денежных средств. После проникновения в компьютер программа шифровала на жестком диске почти все файлы и предлагала за их расшифровку заплатить денежный выкуп в криптовалюте. В случае неуплаты выкупа в течение семи дней возможность расшифровки файлов терялась навсегда.
Массовое распространение WannaCry началось в мае 2017 года. Сперва были заражены компьютеры в Испании, а затем и в других странах, в том числе в России и Индии. За короткое время заразились около полумиллиона компьютеров в более чем 200 странах мира. Блокировалась работа множества организаций по всему миру. В нескольких британских больницах из-за него пришлось отложить выполнение назначенных медицинских процедур, в том числе операций.
Сетевой червь был создан и запущен неизвестными злоумышленниками с помощью украденной информации у АНБ США. Основным подозреваемым до сих пор считается хакерская группа Lazarus Group, предположительно связанная с правительством Северной Кореи.
В том же 2017 году, но в июне, компьютеры атаковал похожий вымогатель NotPetya. Как позже определили эксперты, вирус лишь маскировался под программу-вымогателя, но на самом деле атаковал серверы, инфраструктуру крупных корпораций. Вирус выявлен в десятках стран, но больше всех пострадала Украина, где была нарушена работа не менее 300 компаний. В России вирус атаковал в том числе и сеть Газпрома. Ядром NotPetya был эксплойт EternalBlue, также использовавшийся в WannaCry, и бесплатная утилита Mimikatz, комбинация которых делала вирус практически неуязвимым.
Компания Group-IB в свое время выяснила, что эпидемия NotPetya была организована одной и той же группой хакеров под названием BlackEnergy. Миркасымов напоминает, что NotPetya нанес огромный ущерб бизнесу по всему миру.
«Согласно информации специалистов ESET, проводивших реагирование, атака началась с компрометации украинского разработчика софта с помощью трояна Telebot, который атрибутируют к группе BlackEnergy. Именно эта группа в свое время оставила целый город на Украине без электроэнергии. Доподлинно известно, что троян разработан русскоговорящими программистами и предлагался на андерграундных площадках русскоговорящим продавцом. Но никаких проверяемых доказательств, что за атакой стоят российские спецслужбы, представлено не было. Такой вывод был сделан из-за геополитической обстановки, кроме того, атакующий преследовал деструктивные цели, не пытаясь заработать денег», – говорит эксперт.
Программа Cloud hopper (Облачный попрыгун), как полагают в США, начала заражать облачные сервисы гораздо раньше – как минимум с 2014 года. Однако впервые исследователи кибербезопасности обнаружили ее следы в 2016 году, расследуя один из взломов. Авторами программы называли двух граждан Китая. В проведенном газетой Wall Street Journal расследовании утверждалось, что хакеры обнаружили брешь в сетях поставщиков технологических услуг компаний Hewlett Packard и IBM, а затем перешли к взлому их клиентов – крупных компаний по всему миру. Более того, хакерам якобы удалось похитить подробные дела на более чем 100 тысяч служащих ВМФ США.
В случае с атаками Cloud Hopper, уверен Миркасымов, можно однозначно утверждать, что за атакой стоят китайские хакерские группы. А вот о том, как именно спецслужбы США сумели установить личности хакеров, неизвестно по сей день.
* СМИ, включенное в реестр иностранных средств массовой информации, выполняющих функции иностранного агента