Версия про северокорейских хакеров, которые якобы стояли за атакой вируса Wannacry, могла быть предложена для отвода глаз
После разрушительной атаки вируса Wannacry, который задел множество организаций и даже ряд медучреждений в Англии, целый ряд крупнейших антивирусных компаний — российская «Лаборатория Касперского» и американский Symantec поспешили отнести атаку на счет хакеров из Северной Кореи, что удивительным образом совпало с призывом Владимира Путина налаживать диалог Запада с этой страной.
Однако уже в течении первой недели целый ряд мировых независимых экспертов, например Гари Ворнер или компания CyberReason, независимо друг от друга усомнились в том, что Северная Корея действительно могла иметь отношение к атаке. Обнаруженная часть кода, соотнесенного в прошлом с группой «Лазарус» (ее относили к Северной Корее), возможно, была скопирована с целью отвода глаз или удобства. Экспертам бросилось в глазах нестыковки «официальной версии». Несоразмерно малый заработок от такой глобальной операции — он не достиг даже $100 000, а также и сомнительный уровень (крайне «ламерский») организации платежей для вымогателей с использованием биткоинов.
Ряд крупнейших мировых СМИ также отметили, что из-за атаки выросли акции крупнейших антивирусных компаний. Я склонен согласиться с выводами экспертов, которые сомневаются в версии атаки из Северной Кореи. И вот почему: Wannacry представляет собой классическую программу-вымогатель («червь»), которая попадает на компьютеры с использованием «свежего« эксплойта (программа, использующая уязвимость в программном обеспечении) от АНБ (NSA). Данный эксплойт был опубликован 14 апреля, а уже 5 мая 2017 года последовали первые заражения.
Программа Wannaсry является уже второй версией, ее первая появилась ранней весной, в марте, но без эксплойта от АНБ (NSA) она не получила заметного распространения и к тому же была сильно переработана. Нужно понимать, что любая преступная группа, которая занимается подобного рода вымогательствами, разрабатывает и улучшает свое программное обеспечение годами. Аналитики антивирусных компаний очень быстро определяют, к какой именно группе принадлежит зловредная программа.
Тот факт, что до сих пор не обнаружено схожее программное обеспечение, указывает на то, что программа, скорее всего, была только-только написана. Большинство экспертов, которые усомнились в северокорейском следе, делают вывод о том, что атака могла иметь политическую цель. Хотя многие затрудняются найти ей логичное объяснение. Отличие примененной программы «червя» состоит в том, что он неуправляем и распространяется самостоятельно. Его распространение происходит непредсказуемо для распространителей вируса, то есть спланированный саботаж не может предполагать каких-либо географических четких целей или допустим преднамеренной цели навредить больницам в Англии, четкого времени начала и окончания атаки.
Поскольку программа использовала уязвимость АНБ (NSA), первая мысль которая приходит в голову, это что компрометация АНБ и была конечной целью. Другой возможной версией, которую высказывают эксперты, является слабая подготовка новичков-преступников, изначально ориентированных на заработок. Получается некая «логическая каша» – либо мы имеем дело с корейскими военными, запустившими неизвестно что неизвестно куда и, самое главное, для чего. Возможно, они решили присоединится к новой цифровой экономике?
Либо появилась преступная группа, впервые попробовавшая свои силы в бизнесе программ-вымогателей и слишком удачно применившая свежий эксплойт от АНБ.
Большинство экспертов, на мой взгляд, упускают главное – время прошедшее от релиза эксплойта группой Shadow Brokers до выпуска программы-вымогателя. Прошло всего три недели. Несложно было бы быстро встроить новый эксплойт АНБ в уже существующую программу-вымогатель и инфраструктуру (сопутствующую этому бизнесу). Но речь, скорее всего, идет о совершенно новой программе. Сама же группа Shadow Brokers молчала год до запуска этого эксплойта и вот внезапно проснулась. Написать за три недели совершенно новую программу-вымогатель с поддержкой на 18 языках, не имея никакого опыта в этом бизнесе и с использованием свежего эксплойта АНБ (NSA)? Это представляется крайне сомнительным.
Другими словами, я склонен предположить, что авторы программы имели доступ к эксплойту до того, как его выложили Shadow Brokers. Есть гораздо более простое и прозаичное объяснение всем этим событиям – за атакой могла стоять группа Shadow Brokers. Почему такая простая мысль до сих пор не пришла никому в голову, для меня лично загадка. Это же элементарно, Ватсон!
Однако, я бы предостерег от далеко идущих выводов в отношении реального источника атаки. В статье Reuters по теме Wannacry изумительно точно сказано, что «взаимоотношения России и киберпреступности находятся под особым вниманием ввиду обвинений России в кибератаках на США, поэтому Россия старается доказать, что также страдает от атак и ищет способы справиться». На мой взгляд, в этом и кроется вся проблема в отношении кибербезопасности: безумная легкость в раздаче бездоказательных обвинений, которые на поверку не выдерживают малейшей критики.
В глобальном мире пиара частные антивирусные компании вешают ярлыки на целые страны с той же детской легкостью, с какой Павел Дуров нам рассказывает, что Telegram не перехватывают. Кто им судья? Получается, что и с нашей легкой руки зря обвинили Северную Корею. Нам конечно все равно, но завтра ведь опять обвинят нас. Если мы соглашаемся с липовой атрибуцией этой атаки – мы соглашаемся и с липовой атрибуцией атаки, которая якобы привела к проигрышу Демократической партии США. Акции антивирусных компаний тем временем растут.