WannaCry и NotPetya — цифровая «ядерная бомба»
2017 год хорошо запомнился исследователям безопасности. В то время по миру пронеслось два вируса, при упоминании которых у многих до сих пор появляются мурашки. Начнем историю с WannaCry. Вирус посеял хаос и панику во многих организациях по всему миру. Он заражал компьютеры и зашифровывал данные с требованием выкупа за их восстановление.
Сначала WannaCry обнаружили в Испании, и за короткое время он охватил более 150 стран. Вирус парализовал работу банков, больниц и правительственных организаций. Усугубляло ситуацию то, что коды расшифровки данных, получаемые взамен за выкуп, просто не работали.
Из-за эпидемии WannaCry больницам пришлось отменить срочные операции и более 2000 плановых приемов. Банки не могли совершать переводы и другие финансовые операции. По официальным данным из-за WannaCry различные организации понесли убытки на сумму $1 млрд.
Специалисты ИБ многих стран приступили изучать вирус уже после пары часов после его появления. Многочисленные попытки остановить распространение или расшифровать данные не увенчались успехом, пока в игру не вступил Маркус Хатчинс.
Маркус – молодой исследователь безопасности из Британии. При изучении поведения WannaCry ему удалось выяснить, что перед тем, как намертво зашифровать данные зараженного устройства, программа обращается к определенному домену, который ни на кого не зарегистрирован. Хатчинс купил этот домен, чтобы вирус мог получить к нему доступ. Это и стало способом обезвреживания шифровальщика.
После инцидента многие исследователи изучали WannaCry и заметили, что программа выглядит недописанной и не несет функционала, который позволил бы расшифровать данные. Некоторые предположили, что вирус мог случайно «ускользнуть» в сеть на стадии разработки.
Пока все праздновали победу над WannaCry, появилась новая, еще более серьезная угроза по имени NotPetya.
NotPetya – злой младший брат Petya
В 2016 году в сети обнаружили вирус-шифровальщик под названием Petya, который не был серьезной проблемой и почти ничем не отличался от остальных шифровальщиков. Но уже в 2017 году после эпидемии WannaCry, было обнаружено новое ПО, под ироничным названием NotPetya.
«Не Петя» работал по принципу WannaCry, с тем отличием, что никакие методы защиты не спасали от него, а попытка расшифровать данные заканчивалась полным их уничтожением.
NotPetya зашифровывал всю базу данных жертвы, а также данные для загрузки ОС, после чего требовал выкуп в биткоинах. Те, кто решался заплатить владельцу вируса за расшифровку, впадал в еще большее отчаяние, ведь полученные за выкуп коды безвозвратно уничтожали данные.
Согласно оценке Белого дома, ущерб от распространения NotPetya составил более $10 млрд. Вирус затронул крупные корпорации и инфраструктуру государственных органов Европы, США, Китая и других стран. Среди российских компаний от шифровальщика пострадали «Роснефть» и «Башнефть».
Как избавились от вируса
Специалисты ИБ выяснили, что при попадании на устройство вирус NotPetya ищет на носителе определенный файл и, если не находит его, то начинает процесс шифрования. Если же файл находился на устройстве – шифровальщик бездействовал.
Вероятно, что таким образом создатели вируса и приближенные к ним сделали метод, который позволит самим не стать жертвой вредоносного ПО при его массовом распространении. С другой стороны, это могло быть просто случайно обнаруженным способом борьбы с вирусом.
Масштабный взлом аккаунтов знаменитостей в Twitter
В 2020 году произошел масштабный взлом аккаунтов знаменитостей в Twitter. Хакеры получили доступ к более 130 профилей известных личностей, в числе которых были Илон Маск, Ким Кардашьян, Билл Гейтс и другие селебрити.
Хакеры начали публиковать посты на взломанных аккаунтах с просьбами отправлять биткоины на определенный криптокошелек с обещанием, что отправителю вернется обратно удвоенная сумма.
Мошеннические посты привели к тому, что пользователи потеряли суммарно около 120 тысяч долларов в биткоинах.
Компания Twitter была вынуждена временно заблокировать множество аккаунтов знаменитостей, чтобы предотвратить дальнейшее распространение мошенничества.
При расследовании инцидента выяснилось, что хакеры использовали метод социальной инженерии. Обманным путем они уговорили сотрудника технической поддержки Twitter выдать доступ к внутренним системам и инструментам административного управления.
Позднее правоохранительные органы арестовали четырех человек: Мейсона Шеппарда, известного под псевдонимом «Chaewon», Нима Фазели «Rolex», Грэма Ивана Кларка, известного как «Kirk» и Джозефа Джеймса О'Коннора. Их обвинили в мошенничестве, атаке на компьютерные системы и краже информации. Судебное разбирательство в их отношении все еще продолжается.
Инцидент стал крупнейшим взломом за всю историю социальной сети и нанес ущерб репутации, вызвав серьезные сомнения о ее способности защитить личные данные пользователей.
В ответ на это Твиттер принял дополнительные меры для защиты пользователей платформы, такие как улучшение системы проверки подлинности и введение дополнительных мер для защиты аккаунтов знаменитостей и других пользователей.
Взлом Yahoo! Крупнейшая кибератака прошлого десятилетия
В 2013 году хакеры смогли проникнуть в серверы компании Yahoo и получить доступ к информации более 1 млрд учетных записей пользователей.
В сентябре 2016 года представители компании подтвердили, что двумя годами ранее были украдены еще 500 млн данных пользователей: имена, адреса электронной почты, даты рождения, зашифрованные пароли и другая конфиденциальная информация.
Позднее, в 2017 году, выяснилось, что всего было украдено 3 млрд записей. Можно сказать, что жертвой инцидента стал практически каждый третий житель земли! Это неудивительно, ведь раньше поисковик Yahoo был так же популярен, как Google сейчас, поэтому масштабы взлома впечатляющие.
Правоохранительным органам по сей день не удалось установить, кто стоял за взломом в 2013 году. А вот за атаку в 2014 минюст США обвинил четырех человек из России и Канады, из которых отбывает срок только канадский хакер Карим Баратов.
Что стало с Yahoo!
Кибератаки значительно повлияли на репутацию и рыночную стоимость компании при продаже в 2017 году. Тогда американская корпорация Verizon смогла закрыть сделку по покупке Yahoo, понизив стоимость с $4,83 млрд до $4,48 млрд. Эта сумма почти в 10 раз меньше, чем та, которую предлагал Microsoft за Yahoo в 2008 году — $44,6 млрд.
За свое долгое существование Yahoo как самостоятельный поисковый сервис не смог выстоять против прогрессирующих конкурентов, проигрывая им во всем. Поэтому задолго до продажи стоимость компании стремительно падала, а история с массовыми утечками данных пользователей не оставила шансов на восстановление былого величия.
Вирус Stuxnet — первое кибероружие
В 2009 году был обнаружен вирус под названием Stuxnet. Он атаковал промышленные системы управления Siemens, используемые в оборудовании для обогащения урана. Вирус изменял настройки оборудования так, что центрифуги физически разрушались, после чего восстановить их было невозможно.
Stuxnet определял, на какой машине он находится, и атаковал только системы с контроллерами Siemens, разгоняя центрифуги с 800-1200 об/мин до 2000 об/мин. На остальных устройствах вирус бездействовал.
Отключение оборудования от интернета не остановило вирус, он продолжил активно распространяться на автономных машинах.
В ходе журналистского расследования The New York Times предположили, что сам Stuxnet был создан американскими и израильскими спецслужбами с целью замедлить развитие иранской ядерной программы, но достоверных подтверждений этому нет.
После инцидента к изучению вируса приступили две корпорации, специализирующиеся на антивирусном ПО — Symantec и «Лаборатория Касперского». Они выяснили, что Stuxnet использовал уязвимость нулевого дня и эффективно обходил любые антивирусные программы. Также вирус умел создавать собственные копии и записывать их на любые подключенные к уже зараженному устройству накопители.
Многие компании, специализирующиеся на кибербезопасности, сошлись во мнении, что Stuxnet — это один из сложнейших вирусов того времени. Его чрезвычайно сложно обнаружить и удалить с устройства. Многим так и не удалось «взломать» Stuxnet. Из-за этого вирусу присвоили термин «кибероружие», который ранее нигде не использовался.
Mirai — один из опаснейших IoT-ботнетов
В 2016 году в сети был обнаружен ботнет немыслимых масштабов по имени Mirai. Его имя произошло от японского слова и означает «будущее».
Принцип работы
Код Mirai сканировал интернет в поисках IoT-устройств, работающих на процессорах ARC, а затем захватывал управление над ними, добавляя в свою ботнет-сеть. После того, как Mirai обнаруживал в сети подходящее устройство, он начинал перебирать логин и пароль до момента получения доступа. Чаще всего IoT-устройства имеют простую пару логин-пароль по типу «admin/password», который ставится на заводе, не меняется производителями годами, и в дальнейшем не меняется пользователями.
Mirai захватывал широкий спектр устройств, включая домашние маршрутизаторы, камеры видеонаблюдения, цифровые видеорегистраторы и другие подключенные к интернету устройства.
Кого атаковал Mirai
Первой жертвой ботнета стал хостинг-провайдер «OVH» — крупнейший в Европе, и третий по величине в мире с собственными физическими серверами. DDoS-атака, направленная на веб-ресурсы провайдера, достигла беспрецедентного (на то время) зловредного трафика в 1 Тбит/с. В ней было задействовано примерно 145 тысяч IoT-устройств.
Через некоторое время Mirai атаковал сайт Krebs on Security, владелец которого, Брайан Кребс, — журналист, занимающийся расследованиями киберпреступлений. Тогда мощность атаки доходила до 620 Гбит/с.
Еще одной жертвой атаки Mirai стал крупный DNS-провайдер Dyn, из-за чего на некоторое время стали недоступны сервисы GitHub, HBO, Twitter, Reddit, PayPal, Netflix и Airbnb. За время даунтайма сервисы понесли ущерб в несколько миллионов долларов. Атака использовала мощность более 100 тысяч устройств, а трафик достигал отметки 1.2 Тбит/с.
Масштабирование ботнета
В октябре 2016 года хакеры, создавшие Mirai, решили выложить его исходный код на хакерский портал Hack Forums, причем совершенно бесплатно. Код Mirai сразу же «пошел в народ», а крупные DDoS-атаки участились по всему миру. После этого случая многие исследователи ИБ в полной мере осознали, что безопасность IoT-устройств — это реальная проблема.
Кто создал Mirai
Создали Mirai три молодых хакера Парас Джа, Иосия Уайт и Далтон Норман. Всем трем министерство юстиции США выдвинуло официальное обвинение. Первый признал себя виновным, и его приговорили к условному тюремному заключению с обязательством выплатить компенсацию жертвам атак.
Именно Парас Джа стал самым ярким персонажем в истории Mirai. До участия в создании ботнета он активно промышлял DDoS-атаками, и первой целью выбрал Ратгерский университет, в котором сам же и обучался. Парас атаковал учебное заведение несколько раз, заодно высмеивая фирму Incapsula, которая занималась защитой инфраструктуры университета.
Юный хакер добивался того, чтобы университет отказался от услуг Incapsula и перешел на его собственный сервис по защите от DDoS-атак под названием ProTraf Solutions, от лица которого предлагал услуги Anti-DDoS тем компаниям, которые сам же и атаковал.
Что стало с Mirai
В то время, как создатели ботнета ожидают окончательного решения суда, после публикации исходного кода Mirai его дело продолжает жить. Например, одним из крупных последователей Mirai стал ботнет по имени Satori, на первых порах своей жизни насчитывающий более 280 000 устройств. Но это уже совсем другая история.