Атака на Путина: мнимая атака хакеров из Северной Кореи совпала с политическими событиями

Павел Врублевский Автор

Версия про северокорейских хакеров, которые якобы стояли за атакой вируса Wannacry, могла быть предложена для отвода глаз

После разрушительной атаки вируса Wannacry, который задел множество организаций и даже ряд медучреждений в Англии, целый ряд крупнейших антивирусных компаний — российская «Лаборатория Касперского» и американский Symantec поспешили отнести атаку на счет хакеров из Северной Кореи, что удивительным образом совпало с призывом Владимира Путина налаживать диалог Запада с этой страной.

Однако уже в течении первой недели целый ряд мировых независимых экспертов, например Гари Ворнер или компания CyberReason, независимо друг от друга усомнились в том, что Северная Корея действительно могла иметь отношение к атаке. Обнаруженная часть кода, соотнесенного в прошлом с группой «Лазарус» (ее относили к Северной Корее), возможно, была скопирована с целью отвода глаз или удобства. Экспертам бросилось в глазах нестыковки «официальной версии». Несоразмерно малый заработок от такой глобальной операции - он не достиг даже $100 000, а также и сомнительный уровень (крайне «ламерский») организации платежей для вымогателей с использованием биткоинов.

Ряд крупнейших мировых СМИ также отметили, что из-за атаки выросли акции крупнейших антивирусных компаний. Я склонен согласиться с выводами экспертов, которые сомневаются в версии атаки из Северной Кореи. И вот почему: Wannacry представляет собой классическую программу-вымогатель («червь»), которая попадает на компьютеры с использованием «свежего« эксплойта (программа, использующая уязвимость в программном обеспечении) от АНБ (NSA). Данный эксплойт был опубликован 14 апреля, а уже 5 мая 2017 года последовали первые заражения.

Программа Wannaсry является уже второй версией, ее первая появилась ранней весной, в марте, но без эксплойта от АНБ (NSA) она не получила заметного распространения и к тому же была сильно переработана. Нужно понимать, что любая преступная группа, которая занимается подобного рода вымогательствами, разрабатывает и улучшает свое программное обеспечение годами. Аналитики антивирусных компаний очень быстро определяют, к какой именно группе принадлежит зловредная программа.

Тот факт, что до сих пор не обнаружено схожее программное обеспечение, указывает на то, что программа, скорее всего, была только-только написана. Большинство экспертов, которые усомнились в северокорейском следе, делают вывод о том, что атака могла иметь политическую цель. Хотя многие затрудняются найти ей логичное объяснение. Отличие примененной программы «червя» состоит в том, что он неуправляем и распространяется самостоятельно. Его распространение происходит непредсказуемо для распространителей вируса, то есть спланированный саботаж не может предполагать каких-либо географических четких целей или допустим преднамеренной цели навредить больницам в Англии, четкого времени начала и окончания атаки.

Поскольку программа использовала уязвимость АНБ (NSA), первая мысль которая приходит в голову, это что компрометация АНБ и была конечной целью. Другой возможной версией, которую высказывают эксперты, является слабая подготовка новичков-преступников, изначально ориентированных на заработок. Получается некая «логическая каша» – либо мы имеем дело с корейскими военными, запустившими неизвестно что неизвестно куда и, самое главное, для чего. Возможно, они решили присоединится к новой цифровой экономике?

Либо появилась преступная группа, впервые попробовавшая свои силы в бизнесе программ-вымогателей и слишком удачно применившая свежий эксплойт от АНБ.

Большинство экспертов, на мой взгляд, упускают главное – время прошедшее от релиза эксплойта группой Shadow Brokers до выпуска программы-вымогателя. Прошло всего три недели. Несложно было бы быстро встроить новый эксплойт АНБ в уже существующую программу-вымогатель и инфраструктуру (сопутствующую этому бизнесу). Но речь, скорее всего, идет о совершенно новой программе. Сама же группа Shadow Brokers молчала год до запуска этого эксплойта и вот внезапно проснулась. Написать за три недели совершенно новую программу-вымогатель с поддержкой на 18 языках, не имея никакого опыта в этом бизнесе и с использованием свежего эксплойта АНБ (NSA)? Это представляется крайне сомнительным.

Другими словами, я склонен предположить, что авторы программы имели доступ к эксплойту до того, как его выложили Shadow Brokers. Есть гораздо более простое и прозаичное объяснение всем этим событиям – за атакой могла стоять группа Shadow Brokers. Почему такая простая мысль до сих пор не пришла никому в голову, для меня лично загадка. Это же элементарно, Ватсон!

Однако, я бы предостерег от далеко идущих выводов в отношении реального источника атаки. В статье Reuters по теме Wannacry изумительно точно сказано, что «взаимоотношения России и киберпреступности находятся под вниманием ввиду обвинений России в кибератаках на США поэтому Россия старается доказать, что также страдает от атак и ищет способы справиться». На мой взгляд, в этом и кроется вся проблема в отношении кибербезопасности: безумная легкость в раздаче бездоказательных обвинений, которые на поверку не выдерживают малейшей критики.

В глобальном мире пиара частные антивирусные компании вешают ярлыки на целые страны с той же детской легкостью, с какой Павел Дуров нам рассказывает, что Telegram не перехватывают. Кто им судья? Получается, что и с нашей легкой руки зря обвинили Северную Корею. Нам конечно все равно, но завтра ведь опять обвинят нас. Если мы соглашаемся с липовой атрибуцией этой атаки – мы соглашаемся и с липовой атрибуцией атаки, которая якобы привела к проигрышу Демократической партии США. Акции антивирусных компаний тем временем растут.