Посредник с темной стороны

В 2016 году мир узнал о загадочной хакерской группировке под названием The Shadow Brokers, чьи действия существенно повлияли на глобальную кибербезопасность и положили начало самым разрушительным атакам WannaCry и NotPetya. Кто такие The Shadow Brokers и как им удалось «заразить» весь мир, разбирались «Коммерсантъ-Технологии».

Выйти из полноэкранного режима

Развернуть на весь экран

Как узнали о национальных хакерах США

В 2013 году бывший сотрудник ЦРУ и Агентства национальной безопасности США (АНБ) Эдвард Сноуден, находясь в Гонконге, связался с журналистами The Washington Post и The Guardian, которым сообщил о секретной программе PRISM, разработанной спецслужбами США для слежки за интернет-пользователями. Свои действия он объяснил нежеланием быть частью «системы, которая причиняет больше вреда, чем пользы», писал «Коммерсантъ» (см. публикацию «Ъ» от 26.09.2022).

В 2015 году при изучении файлов вируса Stuxnet, который использовала неизвестная группировка для взлома иранской ядерной программы, специалисты «Лаборатории Касперского» пришли к выводу, что в файлах Сноудена описывались те же инструменты взлома систем и шпионажа, что использовались в этом вирусе.

Эксперты «Лаборатории» указали в своем отчете, что неназванная группировка использовала программу GROK для перехвата нажатий клавиатуры (кейлогер). Такое же название использовало АНБ в документах Сноудена. В этих документах словом GROK также называли шпионскую программу-кейлогер, указывала «Лаборатория Касперского».

Из-за подобной связи эксперты «Лаборатории» пришли к выводу о том, что группировка могла либо принадлежать, либо сотрудничать с АНБ. Эксперты назвали группировку Equation Group — то есть «Уравнением», — поскольку хакеры предпочитали использовать алгоритмы шифрования и специальные приемы маскировки, напоминающие математические уравнения. Как уточняли аналитики «Лаборатории» в своем отчете, Equation Group превосходила все остальные APT-группировки (advanced persistent threat).

В 2015 году «Лаборатория Касперского» выявила 500 людей и организаций, компьютеры которых были заражены вирусами от Equation. На тот момент, следует из отчета, группировка ежемесячно заражала около 2 тыс. компьютеров, но уничтожала вредоносный код, если владелец компьютера ей неинтересен.

Пять предупреждений

Год спустя, в августе 2016 года, уже другая хакерская группировка — The Shadow Brokers — впервые заявила о себе, опубликовав в Twitter (до 2023 года, сейчас — X) сообщение о том, что хакерам удалось получить доступ к инструментам Equation Group. The Shadow Brokers в своем сообщении утверждали, что располагают эксплойтами, троянами и инструментами удаленного доступа, применявшимися против государственных и корпоративных сетей по всему миру и превосходящие червя Stuxnet, писал «Коммерсантъ» (см. публикацию «Ъ» от 16.08.2016). В качестве доказательства были опубликованы фрагменты кода и архивы с рабочими инструментами. Изначально группировка попыталась продать полный пакет данных через аукцион, запрашивая 1 млн биткоинов (около $500-600 млн по курсу того времени), но уже через 2 месяца The Shadow Brokers начали публиковать другие сообщения с открытыми данными в соцсетях.

«Сообщение № 5 — Уловка или угощение (TrickOrTreat)» появилось под той же учетной записью, что и первое, в Twitter в октябре 2016 года. Это было второе сообщение группировки, где хакеры опубликовали списки серверов, предположительно скомпрометированных Equation Group, а также ссылки на семь нераскрытых инструментов нового поколения.

В третьем сообщении на том же аккаунте хакеры предлагали прямую торговлю секретными данными. Отправив на электронную почту сообщение с именем Warez за биткоины можно было получить необходимую ссылку и метод дешифрования. В апреле 2017 года в четвертом сообщении хакеры опубликовали пароль к зашифрованным файлам, украденным еще в 2016 году. Как утверждалось в самом сообщении, файлы содержали огромное количество инструментов для проведения кибер-атак, разработанных АНБ. В публикации хакеры утверждали, что утечка — ответ на нападение президента США Дональда Трампа на сирийский аэродром.

Среди опубликованных инструментов в последнем сообщении находились полностью рабочие эксплойты для операционных систем Microsoft Windows. Самым известным из них стал EternalBlue — инструмент для эксплуатации уязвимости в протоколе SMBv1, позволявший удаленно выполнять действия на компьютере без аутентификации. Дополнял его DoublePulsar — скрытый бэкдор, который устанавливался в систему после успешной эксплуатации и обеспечивал злоумышленнику постоянный доступ. На момент публикации многие из этих уязвимостей не были закрыты, а часть систем по всему миру продолжала работать без обновлений.

Первый глобальный сбой

В мае 2017 года утекшие инструменты были впервые использованы в массовой атаке. Вредоносное ПО WannaCry распространялось по сети автоматически с помощью инструмента EternalBlue, охватив за считанные часы сотни тысяч компьютеров. Этот инструмент изначально разрабатывался подразделением Equation Group для скрытых операций кибершпионажа, что описывали аналитики «Лаборатории Касперского» в отчете 2015 года.

После заражения одного компьютера сетевой червь сканировал локальную сеть и интернет в поисках уязвимых машин, мгновенно заражая их и шифруя данные на жестких дисках. За дешифрование данных хакеры требовали деньги в биткоинах, а при неуплате пользователя ждало полное удаление файлов.

Масштаб поражения оказался беспрецедентным. По данным Национального центра кибербезопасности Великобритании (NCSC), WannaCry заразил более 200 тыс. компьютеров в 150 странах, затронув как частный бизнес, так и критически важную инфраструктуру. Наиболее заметные последствия проявились в Великобритании, где, как следует из расследования National Audit Office (NAO), была фактически парализована работа Национальной службы здравоохранения (NHS): больницы и поликлиники отменяли операции, отключали диагностическое оборудование и временно возвращались к бумажному документообороту. Аналогичные сбои фиксировались в транспортных и телекоммуникационных системах, а также в государственных ведомствах Испании, Германии, России, Китая, Индии и США.

Остановить распространение WannaCry удалось во многом случайно: как писал журнал Wired в 2017 году, независимый исследователь в области кибербезопасности обнаружил в коде вируса так называемый kill switch – доменное имя, при обращении к которому вредоносное ПО прекращало работу. Регистрация этого домена резко замедлила распространение атаки. В официальном заявлении Белого дома в 2017 году ответственность за атаку была возложена на хакеров, связанных с КНДР, а союзники США публично поддержали эти выводы. Параллельно с этим, «Лаборатория Касперского» нашла фрагменты кода Lazarus, подтверждая теорию о северокорейских злоумышленниках. В совокупности ущерб от атаки только в первые четыре дня превышал $1 млрд, писал McClatchy в 2017 году.

История The Shadow Brokers стала поворотной точкой для индустрии кибербезопасности, показав, что утечки инструментов, разработанных государственными структурами, способны наносить ущерб, сопоставимый с крупнейшими экономическими и инфраструктурными кризисами. С этого момента кибероружие перестало быть абстрактной угрозой и стало фактором, с которым государствам и бизнесу все же пришлось считаться.

Вероника Читанава