Atlantico: В пятницу произошла кибератака «беспрецедентных масштабов», как отмечают в Европоле. Она охватила около сотни стран, ударив в том числе по больницам и банкам, Renault, FedEx и Министерству обороны России. Что именно случилось? О чем говорят дыры в безопасности множества операторов, которых напрямую коснулась эта атака?


Франк Деклокман:
«Ваши файлы были зашифрованы. Ваши документы, фотографии, видео, базы данных и прочие файлы больше недоступны, потому что были зашифрованы.


Наверное, вы пытаетесь найти способ вернуть ваши файлы, но не тратьте время напрасно. Этого не может сделать никто, кроме нашей шифровальной службы». Так говорится в сообщении, которое появляется на экране всех зараженных компьютеров… Улыбнитесь, вы стали жертвой «криптовируса».


За последние несколько дней по всему миру прозвучало множество заявлений, которые лишь плодят тревогу. Они пугают простых смертных, которые поражены масштабами и возможными последствиями подобного массового распространения вредоносного ПО. «Недавняя атака достигла беспрецедентного уровня и потребует комплексного международного расследования для определения виновных», — немедленно отреагировали в управлении Европола. «Атака международных масштабов коснулась организаций в Австралии, Бельгии, Франции, Германии, Италии и Мексике», — отметили аналитики занимающейся кибербезопасностью компании Forcepoint Security Labs. Европейский центр по борьбе с киберпреступностью при Европоле «сотрудничает с подразделениями по борьбе с киберпреступностью затронутых атакой стран и ключевыми промышленными партнерами для противодействия угрозе и помощи пострадавшим». Объединенная группа по борьбе с киберпреступностью (J-CAT) была «специально создана для содействия в таких расследованиях и будет играть значимую роль в поддержке следствия», — отметили в Европоле.


Если подытожить все, что нам известно в настоящий момент, хакеры использовали найденную в Windows «дыру», которая изначально была обнаружена знаменитым Агентством национальной безопасности США. Об уязвимости сообщалось в конфиденциальных документах агентства, которые были похищены у него, а затем выложены в интернете в марте 2017 года. От списка охваченных стран просто голова идет кругом, а у экспертов по кибербезопасности нет сомнений, что все эти инциденты связаны. Тем более что во многих случаях на экранах пострадавших компьютеров появлялось одно сообщение с требованием 300 долларов и биткоинах (сумма растет со временем). Уже в субботу утром говорили о 99 странах, а многие предприятия и государственные ведомства признали, что стали целью кибератаки. Общее число атак перевалило за 75 тысяч за период менее 24 часов…


Руководители центральных банков и министерств финансов стран большой семерки, которые собрались в субботу в Бари на юге Италии, пообещали «на полях» встречи улучшить кибербезопасность всех банковских учреждений. Государственные организации и предприятия пострадали в США (в том числе почтовая служба FedEx), в Великобритании, в Италии, во Франции, в Австралии, в Испании, в Тайване, в Бельгии, в Германии, в Мексике, в Китае, в Украине и прочих странах. Как бы то ни было, пока что картина заражения может быть неполной.


Французский автопроизводитель Renault также сообщил, что оказался в списке жертв кибератак. «Мы были затронуты, — кратко отметил официальный представитель предприятия, уточнив, что то проводит оценку ситуации. — Меры принимаются с вечера пятницы. Предпринимается все необходимое для противодействия атаке». В Renault были вынуждены остановить производство на некоторых заводах, в том числе во французском Сандувиле, а также в Словении: там работа была остановлена на заводе местного дочернего предприятия Revoz. В парижской прокуратуре по заявлению было начато расследование. За последние дни список потенциальных жертв кибератаки, которую выявили в пятницу американские и британские власти, неуклонно растет…


По данным Национального агентства безопасности информационных систем, Renault пока что является единственной жертвой во Франции. Как бы то ни было, не исключено, что «есть и другие», пусть даже о них пока неизвестно, считает генеральный директор агентства Гийом Пупар (Guillaume Poupart). «Нет никаких причин, чтобы облако остановилось у французских границ», — проводит он сравнение с аварией в Чернобыле и непредсказуемым маршрутом порожденного ей радиоактивного облака. Чуть ранее немецкие железные дороги Deutsche Bahn и испанская Telefonica признали, что стали жертвами этих кибератак. От них пострадали некоторые табло на вокзалах, однако в Deutsche Bahn утверждают, что в настоящий момент все это никак не сказалось на движении поездов в Германии.


Российский Центробанк сообщил о выявлении в субботу массовых кибератак в отношении российских банков, которые все же удалось отразить. В российской прессе также сообщали о кибератаках на РЖД (также безуспешных). Эти злонамеренные действия стали особенно тяжелым ударом по Национальной системе здравоохранения Великобритании: в стране были заблокированы компьютеры порядка 40 больниц. «На данном этапе у нас нет оснований полагать, что кому-то удалось получить доступ к данным пациентов», — сообщают в пресс-службе ведомства.


— Эдвард Сноуден (Edward Snowden) утверждает, что в АНБ были в курсе уязвимости в Windows, которая сделала возможной эту кибератаку. «Если бы они сообщили о существовании уязвимости, как только обнаружили ее (…), всего этого не произошло бы», — написал он в Twitter. Вы согласны с ним?


— Бывший консультант АНБ Эдвард Сноуден, который в 2013 году сообщил всему миру о масштабах развернутой агентством прослушки, воспользовался случаем, чтобы в очередной раз осудить методы работы своего бывшего руководства в Twitter: «Если бы АНБ в частном порядке сообщило бы об уязвимости, которая использовалась для кибератак на больницы, когда оно «обнаружило» ее, а не в тот момент, когда данные о ней были украдены у него, всего этого можно было бы избежать». Программа-вымогатель WannaCry (известна также, как WCry, WCrypt и Wana Decryptor) заразила бесчисленное множество компьютеров по всему миру, как на предприятиях, так и у частных лиц. «Как бы то ни было, угрозы, судя по всему, больше нет после задействования «рубильника». Перед активизацией WCrypt проверяет существование особого доменного имени, которое, как выяснилось, действительно было активировано, — считает эксперт по кибербезопасности. «Смешно видеть, как волшебство маркетинга с ходу превращает глупого «вымогателя» в «кибератаку» мировых масштабов… — со мешком добавляет он. — Я считаю, что атака должна быть на что-то нацелена. Тут цели нет. Просто глупый вирус». В любом случае, ничто не мешает киберпреступникам или их подражателям создать новую версию вируса и провести новую операцию с утра понедельника. В этот момент миллионы сотрудников предприятий возвращаются после выходных и могут, сами того не желая, реактивировать вирус. Что отнюдь не исключено.


По словам эксперта по стратегическим вопросам Себастьена Бруйе (Sébastien Brouiller) из SISCOM Partners, особенность нынешнего «цифрового заражения» в том, что оно «не распространяется классическим образом, через открытие зараженного электронного письма, а размножается самостоятельно через зараженные компьютеры без предварительно определенных целей». «Задача, разумеется, носит преступный характер и предполагает немедленный охват как можно большего числа людей. Первым мотивом, конечно же, было незаконное получение денег: всего это приносит немалые деньги хакерам, потому что некоторые из огромного множества жертв заплатят в надежде вернуть обманным образом зашифрованные данные». Такой метод прекрасно известен всем экспертам по кибербезопасности. Кроме того, стоит отметить, что операция может быть возобновлена с помощью модификации изначального вируса для шифрования файлов с использованием обновленной системы. «В этой связи возникает целый ряд вопросов, — продолжает эксперт. — Почему международные компании и крупные предприятия мирового уровня были так легко заражены через их компьютерную сеть? Как службы информационной безопасности боролись с этой, что немаловажно, известной угрозой? Удивительный факт: не затронутые предприятия явно были настороже и ожидали атаку на протяжение нескольких дней!» Пострадавшие компании отличались более низким уровнем безопасности. «Хакеры проверяли цели на прочность с помощью волн атак с 24 по 27 апреля при использовании классического криптовируса». В этой связи «банки и страховые компании представляют собой очень сложные цели». «Банковские учреждения каждый год тратят десятки миллионов евро на противодействие вредоносному ПО и располагают очень эффективными командами экспертов». «Мы проанализировали предыдущие волны и решили сделать максимальным приоритетом «исправления» для бизнеса, чтобы нас не застали врасплох… В то же время в промышленности киберпреступникам на порядок легче. Для них она — легкая цель». «В этой атаке мы видим агрессивную команду, которая выбирает жертв в зависимости от их уязвимости», — считает эксперт.


В марте в Microsoft выпустили соответствующее исправление безопасности, которое закрывает эту уязвимость во всех версиях Windows. Как бы то ни было, многие системы по всему миру так и не были обновлены. По словам специалиста Тима Минковского (Tim Minkowsky), «вредоносное ПО было продемонстрировано в апреле хакерской группой Shadow Brokers, которая утверждает, что узнала об уязвимости благодаря АНБ». «В отличие от обычных «вымогателей, эта программа распространяется напрямую с компьютера на компьютер, по локальным серверам, а не через электронную почту», — продолжает он. «Хотя ПО было отключено, это не означает, что причины исчезли. Завтра по всему миру может быть выпущена новая версия того же вируса, как теми же преступниками, так и другой группой, с точно такими же пагубными последствиями» для глобального парка компьютеров. «Уязвимость никуда не делась и ждет, чтобы ей снова воспользовались». «Устанавливайте на компьютеры последние обновления и сохраняйте важные данные на внешних носителях», — советует он простым людям.


— Эта кибератака на порядок повысила уровень угрозы, которая нависает над нашей цифровой средой? Кем могли бы быть ее авторы?


— Операция действительно выделяется на общем фоне, как по масштабам, так и методам действия. Использованный подход отличается изобретательностью и оригинальностью, поскольку очень сильно облегчает заражение (все происходит меньше, чем за день) с помощью всемирных сетей связанных друг с другом компьютеров. В то же время мотивация этих действий классическая: деньги!


«Что касается последствий атаки в промышленности, они будут очень серьезными, — подчеркивает Себастьен Бруйе. — В частности это касается Renault, которой пришлось остановить производство на нескольких заводах в Европе (в Сандувиле в Нормандии, в Ново-Место в Словении, завод Dacia в Румынии, а также завод партнера Renault Nissan в британском Сандерленде). Хотя заводы собираются возобновить работу с понедельника, неожиданные остановки производства, без сомнения, обойдутся предприятию в несколько миллионов евро. Тяжелый удар в обстановке ожесточенной конкуренции». Тем более что вытекающий из этого системный риск тоже очень весомый. Сопутствующий ущерб затронет (пусть и в меньшей степени) всю промышленную экосистему предприятия. Существование потенциального заражения в виде вируса, который может распространяться по сети без необходимости открытия зараженного электронного письма, представляет собой настоящую катастрофу в промышленности. «На заводах компьютерами управляется все, в том числе испытательные стенды, автоматизированные линии, вентиляция, технические системы, выдув дыма и паров и т.д. Компьютерная система, без сомнения, является легкими завода. Если же она взламывается или заражается, это парализует по прямой всю экосистему и службы: кадры, контроль производства, техобслуживание, закупки, снабжение, логистику, финансы, контроль качества, инженерные работы, разработки, производство и т.д.» Список может быть долгим. «Поэтому необходимо в срочном порядке проверить все компьютеры завода и провести обновления, — уверяет Себастьен Бруйе. — Непростая задача, если учесть число компьютеров на том же заводе в Сандувиле» (несколько десятков тысяч — прим.ред.).


Если не считать удара по компьютерным системам, эта кибератака небывалых масштабов поднимает вопрос кибербезопасности предприятий и их менеджмента. Специалисты по экономической разведке в один голос твердят, что организациям нужна настоящая служба, которая бы занялась этим вопросом. Сейчас им нужно приспособиться к угрозе и сформировать юридические инструменты, которые позволят установить понесенный ущерб в результате кибератаки. К тому же, хотя некоторые страховые компании предлагают соглашения в данной области, действительно ли их достаточно для покрытия рисков и их последствий?


Но как же не угодить в ловушку? «Необходимы компетентные группы, которые бы занимались выявлением, расследованием и анализом процессов. Жесткие правила информационной безопасности и достаточные объемы выделяемых на нее средств, безусловно, представляют собой ключевые меры против таких неожиданностей. В противном случае, все впустую. Это бесконечная гонка вооружений. Постоянное внедрение новых средств обеспечения безопасности крайне важно. И здесь не может быть никаких передышек».


Добраться по цепочке до злоумышленников, которые разработали и осуществили такую необычайную кибератаку, сложно и даже практически невозможно. Направлений заражения слишком много. То же самое касается и оплаты «выкупа» по сети биткоинами. Как бы то ни было, полиция по всему миру делает все возможное для поиска устроивших эту беспрецедентную операцию преступников, опираясь в том числе на знания самых опытных сотрудников Интерпола и ФБР.