Virusą reketininką galėjo sukurti hakeriai iš Š. Korėjos. Jų atakų mastai šokiruoja

Šį kartą ne vienas tyrėjas tvirtina, kad duomenis šifruojantį WannaCry galėjo sukurti Lazarus hakeriai. Manoma, kad šią gruoę palaiko Šiaurės Korėjos valdžia. Jos sąskaitoje – atakos prieš Sony Pictures Entertainment, ginkluotasias Pietų Korėjos pajėgas, SWIFT bankinę sistemą, Centrinį Bangladešo banką.

WannaCry virusas pusėje pasaulio išplito per kelias valandas. Šifruojančios programos epidemija prasidėjo nuo Ispanijos ir Anglijos, dabar ji apima 150 šalių. Iš viso specialistai užfiksavo daugiau nei 200 tūkstančių užkrėtimo atvejų. Anglijoje ataka paveikė 16 ligoninių, Prancūzijoje sustojo Renault gamyklos, Rusijoje penktadienį nuo viruso nukentėjo VRM kompiuteriai, telekomunikacijų bendrovė „Megafon“, Rusijos geležinkeliai. WannaCry šifruoja kompiuterio duomenis ir reikalauja $300 išpirkos – šią sumą reikia konvertuoti į bitkoinus ir pervesti hakeriams. Šias sąskaitas sekantys specialistai tvirtina, kad jose dabar apie 53 tūkstančiai dolerių. Tačiau gali būti, kad uždarbis nėra pagrindinis hakerių tikslas. Jei kibernetinių tyrėjų spėjimai dėl WannaCry autorystės teisingi, tai šie hakeriai uždirba visai kitaip.

Vienodos eilutės

Pirmadienį vakare Google tyrėjas, kibernetinio saugumo specialistas Neelas Mehta savo Twitterio paskyroje publikavo paslaptingą pranešimą – nesuprantamą raidžių ir skaičių kratinį, pažymėtą grotažyme #WannaCryptAttribution (viruso WannaCrypt atributas). Kaip aiškina „Kasperskio laboratorijos“ (KL) specialistai savo ataskaitoje, taip Mehta nurodė vienodus WannaCry viruso ir grupės Lazarus naudotų programų kodo fragmentus. Vėliau apie galimą WannaCry autorių ir Lazarus hakerių ryšį pranešė antivirusinės kompanijos Symantec ekspertai.

Kaip rašo KL specialistai, Mehta palygino vienos iš pirmųjų WannaCry versijos, datuojamos 2017 metų vasario mėnesiu, ir Lazarus 2015 metais naudoto programino kodo pavyzdžius. Ir juose aptiko bendrus fragmetnus. Žinoma, Lazarus programų kodas galėjo būti tiesiog nukopijuotas į WannaCry. KL atstovai sako, kad tai įmanoma, tačiau menkai tikėtina. Jų nuomone, WannaCry virusą dar reikia geriau ištirti, bet vieną dalyką galima pasakyti užtikrintai:

„Neelaso Mehto atradimas – kol kas pati svarbiausia informacija apie WannaCry kilmę“.

WannaCry virusas pirmą kartą aptiktas 2017 metų vasario mėnesį. Jis išnaudoja jau žinomą Windows OS pažeidžiamumą, kuriam pataisymas buvo išleistas kovą. Informacija apie šį pažeidžiamumą buvo JAV Nacionalinės saugumo agentūros archyve. Prieš keletą mėnesių hakerių grupė Shadow Brokers paviešino dokumentus, kuriuose aprašomi įvairūs NSA ir susijusių struktūrų naudojami šnipinėjimo instrumentai. Tačiau tikrą košę užvirė ne vasarį aptikta, o antroji viruso versija – WanaCrypt0r 2.0. Hakeriai patobulino programą, pridėjo daugiau failų tipų, kuriuos virusas šifruoja, ir padidino kalbų, kuriomis aukai rodomas pranešimas, skaičių.

„Esame tvirtai įsitikinę, kad vasario versiją ir 2017 metų kovo mėnesį išleistą šifruotojo WannaCry versiją sukūrė tie patys žmonės, arba žmonės, galintys naudoti tą patį pradinį kodą“, – sakoma ataskaitoje. Beje, antrojoje WannaCry versijoje kodo fragmento, analogiško Lazarus programoms, jau nebuvo.

Kopijuotojai pakliuvo

Hakerių grupė Lazarus egzistavo praktiškai inkognito keletą metų. Tiksliau, tyrėjai nežinojo, kad visiškai skirtingų kibernetinių atakų vykdytojas tas pats. Tai paaiškėjo po didelio tyrimo, kurio rezultatai paskelbti 2016 metų vasarį. Tyrimą vykdė iš karto kelios kompanijos ir kibernetinio saugumo srities ekspertai. Įdomu, kad tada susieti skirtingas atakas specialistams irgi padėjo kodo analizė. Tyrimas pavadintas operacija „Blockbuster“. Tikėtina, tai susiję su tuo, kad ekspertų dėmesio centre buvo prieš Sony Pictures Entertainment kompaniją nukreipta ataka.

2014 metų lapkritį prieš Sony Pictures Entertainment kompanijos serverius buvo įvykdyta stambi ataka, per kurią hakeriai pagrobė apie 11 TB duomenų – asmeninius kompanijos darbuotojų ir jų šeimų duomenis, dar neišleistus filmus, finansinius dokumentus. Atsakomybę prisiėmė hakerių grupė Guardians of Peace, tačiau JAV specialiosios tarnybos buvo įsitikinusios, kad už atakos stovi Šiaurės Korėja. Sony Pictures Entertainment kaip tik rengė išleisti komedinį kovinį filmą „Interviu“, kur aprašomas pasikėsinimas į Šiaurės Korėjos lyderį Kim Čen Uną. Iš pradžių kompanija filmo pasirodymą netgi atšaukė, tačiau paskui persigalvojo.

Operacijos „Blockbuster“ metu tyrėjai išsiaiškino, kad programos, panaudotos Sony Pictures Entertainment atakai, kodas panašus į kodą virusų, naudotų daugelyje kitų atakų. Pavyzdžiui, kampanijoje DarkSeoul, nukreiptoje prieš Seulo bankus, radiją ir televiziją, ir operacijoje Operation Troy, nukreiptoje prieš Pietų Korėjos ginkluotasias pajėgas. „Lazarus naudoja vieną ir tą patį kenksmingą kodą kelis kartus, jau panaudotus fragmentus įtraukdami į naujus kūrinius“, – tvirtino tyrėjai. Pats anksčiausias pavyzdys – dar 2009 metų, o 2010-aisiais pavyzdžių ėmė sparčiai daugėti. Buvo dar keli momentai, padėję skirtingas atakas priskirti vienai grupei. Tarkime, hakeriai failų archyvavimui naudojo vienus ir tuos pačius slaptažodžius. Vienodi buvo ir užkrėstose kompiuterių sistemose likusių pėdsakų trynimo metodai.

Išanalizavę daugumos virusų sukūrimo laiką, tyrėjai išsiaiškino ir tai, kad grupė Lazarus dirba GMT+8 ir GMT+9 laiko juostose. „Užpuolikai turi reikiamus įgūdžius ir pasirengę panaudoti kibernetinio šnipinėjimo operacijas ne tik pinigų grobimui, bet ir fizinės žalos sukėlimui. Pasitelkdami ir aukos dezinormavimo taktiką, per pastaruosius metus jie sugebėjo sėkmingai įvykdyti kelias tokias operacijas“, – sakė Jamie Blasco, AlienVault vyr. tyrėjas.

Turtingi hakeriai skurdžioje šalyje

Norint sukurti tokioms atakoms naudojamus virusus, reikia aukšto lygio hakerių, o taip pat nemenkų finansinių išteklių. Iš kur pinigai hakerių išlaikymui vienoje iš skurdžiausių pasaulio šalių? Gali būti, lėšų trūkumas paaiškina aplinkybę, kodėl Lazarus aukomis dažnai tampa įvairių šalių finansų organizacijos. Pavyzdžiui, 2016 metų pradžioje ši grupė atakavo Bangladešo Centrinį banką. Tada hakeriai per tarptautinių tarpbankinių pavedimų sistemą SWIFT bandė pervesti $951 mln. Tačiau dėl klaidos mokėjimo dokumente jiems pavyko pavogti tik $81 mln. „Jei valstybė grobia bankus, tai labai rimta“, – pareiškė tada NSA direktoriaus pavaduotojas Richardas Ledgettas.

2016 metų gegužę paaiškėjo, kad piktavaliai dar 2015 metų sausį iš Ekvadoro banko Banco del Austro pavogė $9 mln. Tada ekspertai šią ataką priskyrė Lazarus. Maždaug tuo pat metu buvo bandoma pagrobti pinigus iš bankų Filipinuose ir Vietname. 2017 metų vasarį buvo atakuota Lenkijos finansų sistema. Antivirusinės kompanijos Symantec atstovai tada tvirtino, kad tai irgi Lazarus rankų darbas, nors Šiaurės Korėjos hakeriai bandė suklaidinti tyrimą – į kodą jie pradėjo dėti rusiškas frazes. Tačiau, kaip tvirtino ekspertai, žodžiai, tikėtina, buvo išversti internetiniu vertėju – daugelis buvo parašyti neteisingai.

Praėjusios savaitės gale prasidėjusi pasaulinė ataka tebesitęsia. KL duomenimis, pirmadienį viruso šantažuotojo WannaCry aktyvumas sumažėjo šešis kartus, tačiau aktyviai randasi jo klonai, tad mūsų gali laukti nauja atakų banga.

Halerių grupės dažniausiai turi siaurą specializaciją – pavyzdžiui, atakuoja bankus. Tokių operacijų parengimui reikia pinigų ir daug darbo. Kuo daugiau ataka turi krypčių, tuo daugiau reikia išteklių. Tačau Lazarus grupės hakeriai atrodo universalūs. „Manome, kad Lazarus – ne tiesiog „dar viena hakerių grupė“. Lazarus operacijų mastas šokiruoja“, – rašo KL specialistai.