Прокол кремлівських злодіїв. Чому вірус-вимагач переміг російське МВС

МВС і слідчий комітет РФ отримали удар зброєю, припасеним для зовсім інших цілей хакерської угрупованням, що працює на Кремль
Фото: EPA/UPG

Вдень 12 травня почали з'являтися повідомлення про те, що у внутрішній комп'ютерній системі МВС Росії лютує вірус-вимагач WanaCrypt0r 2.0. Потрапивши на комп'ютер жертви, він шифрує всі дані на жорсткому диску і вимагає відправити зловмисникам 300 доларів в биткоинах. На обдумування відводиться три дні, після чого сума викупу збільшується вдвічі, а через тиждень файли залишаться зашифрованими назавжди.

Першими постраждали комп'ютери управлінь МВС РФ в Липецькій, Пензенській і Калузькій областях. Незабаром з'явилася інформація про те, що атаці піддалися і комп'ютери Слідчого комітету РФ, але його представники, як і прес-служба МВС РФ, спростували повідомлення, заявляючи, що ніякого вірусу у внутрішніх мережах немає. У МВС РФ спочатку заявили, що у них ведуться якісь "технічні роботи на внутрішньому контурі", а потім визнали факт атаки, але спростували зараження серверів вірусом. Однак джерело "Стрічки.ру" в силових структурах визнав випадки зараження в регіональних управліннях МВС і Слідчого комітету.

Жертвою вимагача і став мобільний оператор "Мегафон". Представник компанії Петро Лідов-Петровський пояснив, що комп'ютери в компанії піддалися масовому зараженню, оскільки пов'язані між собою внутрішньою мережею. В результаті перестала працювати техпідтримка, адже оператори не могли скористатися комп'ютерами і прийняти дзвінки, а в салонах "Мегафона" виникли проблеми з обслуговуванням клієнтів.

Загадка російського епіцентру

Атакам піддалися не тільки російські відомства і компанії. Фахівці з MalwareHunterTeam, відстежують нові віруси і уразливості, ще рано вранці 12 травня повідомили, що "по мережі з диявольською швидкістю поширюється новий шкідник WanaCrypt0r 2.0". Дійсно, усього лише через шість годин після цього з'явилася інформація про те, що зареєстровано вже понад 45 тис. атак в 74 країнах.

В Іспанії та Португалії вірус паралізував роботу великого оператора зв'язку Telefonica і пройшовся по газової компанії Gas Natural, оператора електромереж Iberdrola і банку Iberica. Також він заразив внутрішні мережі кількох британських лікарень, потім був зафіксований в Сінгапурі, на Тайвані та в Китаї, а далі поширився по всьому світу, діставшись навіть до Австралії та Латинської Америки.

Однак якщо подивитися на карту поширення вірусу на початковому етапі епідемії, то відразу ж впадає в очі, що саме в Росії зараження було найбільш швидким і масовим. Співробітник компанії Avast Якуб Кроустек вранці 12 травня повідомив, що жертвами атаки стали 36 тис. комп'ютерів насамперед у Росії, Україні та на Тайвані. А ввечері 12 травня він же навів нові дані: заражені 100 тис. комп'ютерів, з них 57% – у Росії.

Російським МВС заправляють злодії

Вірус заражає тільки комп'ютери на Windows. Ранні версії WannaCrypt, що використовують "дірки" в цій операційній системі – уразливість під назвою Eternal Blue, були відомі ще в лютому 2017 р. Компанія Microsoft 14 березня випустила оновлення, яке нейтралізує Eternal Blue, і рекомендувала всім користувачам оновити свою операційну систему.

По всій видимості, жертвами вірусу-здирника виявилися користувачі, не встановили останні оновлення Windows. В основному це ті юзери, хто користується піратськими операційками, не отримують апдейти від Microsoft.

Саме піратські копії Windows підвели безліч компаній в Росії, Україні, Китаї і на Тайвані. Але тільки в Росії масові поразки від вірусу отримали комп'ютери державних органів, та не які-небудь, а силових МВС і Слідчого комітету. Тих самих, які покликані боротися з організованою злочинністю і зокрема з комп'ютерним піратством.

Мабуть, ніколи так смачно не вмочали головою в бруд путінських "правоохоронців". Хоча шантажисти, звичайно, не мали такої мети. Вони просто скористалися можливістю, яку подарувала їм вразливість Windows, і спробувала "заробити".

Кінець шантажу

13 травня стало відомо, що поширення вірусу-здирника вдалося призупинити. Фахівець з безпеки Proofpoint Дэриен Хасс, який веде твіттер @MalwareTechBlog, виявив, що вірус навіщо звертається до домену з длиннючим іменем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com і вирішив зареєструвати його, щоб стежити за активністю програми.

Як з'ясувалося потім, в коді вірусу говориться, що якщо звернення до цього домену успішно, то зараження слід припинити; якщо ні, то продовжувати. Відразу після реєстрації домену до нього прийшли десятки тисяч запитів.

Як написав Дэриен Хасс, коли він реєстрував домен, він не знав, що це призведе до уповільнення поширення вірусу. Але це сталося. У своєму оповіданні Хасс подякував американське ФБР і групу ShadowSgfgtferver – за його словами, "вони дуже допомогли в отриманні інформації про жертви за межами Великобританії".

Заснована в 2004 р., Shadowserver складається з волонтерів-добровольців з усього світу, які є професіоналами з питань кібербезпеки. Група збирає відомості про темній стороні інтернету з метою протидії кіберзлочинності.

Тепер ФБР і Shadowserver можуть сформувати базу даних жертв WanaCrypt0r, знаючи, що більшість їх користуються піратським програмним забезпеченням. Напевно, хлопців з ФБР і Shadowserver чимало повеселить, як легко попалися на піратстві путінські "правоохоронці".

Самі себе покарали

Ще одну цікаву зв'язок виявило британське видання The Telegraph. Воно згадало про погрози угруповання Shadow Brokers на адресу президента США Дональда Трампа.

8 квітня, після ракетного удару США в Сирії, ця угруповання оприлюднила заяву, в якій на ламаною англійською звинуватила Трампа у зраді "людям, які за нього голосували" і які йому допомагали. "Окремі експерти вважають, що це вказує на зв'язок Shadow Brokers з російським урядом", – стверджує видання.

За даними The Telegraph, 14 квітня Shadow Brokers "скинули" уразливість Eternal Blue на якийсь сайт. І вже звідти її підібрали кібершахраї. "Цілком ймовірно, що звичайні інтернет-злочинці просто використовували з метою наживи інформацію, яку Shadow Brokers залишили в інтернеті", – каже експерт з комп'ютерної безпеки Грем Клулі.

Якщо це так, то цілком може виявитися, що МВС і слідчий комітет РФ отримали удар зброєю, припасеним для зовсім інших цілей хакерської угрупованням, що працює на Кремль. А значить, путінські силовики в цій історії виставили себе на посміховисько двічі.