NYT: Хакеры "комшарили" американцев кибероружием, украденным у АНБ


Рекомендованные сообщения

 

В течение почти трех недель Балтимор боролся с кибератакой со стороны цифровых вымогателей, которые заморозили тысячи компьютеров, заблокировали электронную почту, сорвали продажи недвижимости и многие другие услуги, пишет The New York Times.

Ключевой компонент вредоносного ПО, которое киберпреступники использовали при атаке, был разработан за счет налогоплательщиков в Агентстве национальной безопасности США.

С 2017 года, когда АНБ потеряло контроль над инструментом EternalBlue, его украли государственные хакеры Северной Кореи, России и Китая. По словам экспертов по безопасности, атаки EternalBlue достигли максимума, и киберпреступники сосредоточились на уязвимых американских городах и поселках, от Пенсильвании до Техаса, парализуя местные органы власти и увеличивая расходы.

О связи АНБ с этими кибератаками ранее не сообщалось, отчасти потому, что агентство отказалось обсуждать или даже признавать потерю своего кибероружия, сброшенного в сеть в апреле 2017 года неизвестной группой, называющей себя Shadow Brokers. Спустя годы агентство и Федеральное бюро расследований все еще не знают, являются ли Shadow Brokers иностранными шпионами или недовольными инсайдерами.

Томас Рид, эксперт по кибербезопасности в Университете Джона Хопкинса, назвал историю с Shadow Brokers "самой разрушительной и дорогостоящей в Северной Америке утечкой данных". "Правительство отказалось брать на себя ответственность или даже отвечать на самые основные вопросы. Кажется, что надзор Конгресса терпит неудачу. Американский народ заслуживает ответа", - заявил Рид.

АНБ и ФБР отказались от комментариев.

11.jpg (64 KB)

После этой утечки иностранные спецслужбы и мошенники использовали EternalBlue для распространения вредоносного ПО, которое парализовало больницы, аэропорты, железнодорожные и транспортные компании, а также фабрики по производству вакцины. Теперь этот инструмент поражает Соединенные Штаты там, где они наиболее уязвимы, в местных органах власти со стареющей цифровой инфраструктурой и меньшим количеством ресурсов для защиты.

До утечки EternalBlue был одним из самых полезных инструментов в киберарсенале Северной Америки. По словам трех бывших сотрудников АНБ, аналитики почти год потратили на поиск изъяна в программном обеспечении Microsoft. Сначала они называли его EternalBluescreen, потому что он часто давал сбой компьютерам, но позже он стал надежным инструментом, используемым в бесчисленных разведывательных и контртеррористических миссиях.

"EternalBlue был таким ценным, что агентство никогда серьезно не задумывалось, чтобы предупредить Microsoft об уязвимостях", - поделился бывший сотрудник АНБ.

Атака на Балтимор 7 мая оказалась классическим нападением вирусов-вымогателей. Компьютеры были заблокированы, а в сообщении на некорректном английском языке говорилось о выкупе в 100 000 долларов в биткоинах. Эксперты считают, что без EternalBlue ущерб был бы не таким значительным. Инструмент использует уязвимость в непатентованном программном обеспечении, которая позволяет хакерам распространять свои вредоносные программы быстрее.

Северная Корея была первой страной, использовавшей этот инструмент для атаки WannaCry в 2017 году, которая парализовала британскую систему здравоохранения, немецкие железные дороги и около 200 000 организаций по всему миру. Следующей была Россия – в атаке NotPetya, нацеленной на Украину, блокировавшей работу крупнейших компаний в стране. Нападение обошлось FedEx более чем в 400 миллионов долларов, а фармацевтическому гиганту Merck - в 670 миллионов долларов.

В прошлом году те же российские хакеры, которые участвовали в президентских выборах 2016 года в США, использовали EternalBlue для компрометации гостиничных сетей Wi-Fi. По словам исследователей из Symantec и FireEye, иранские хакеры использовали его для распространения вирусов-вымогателей и взлома авиакомпаний на Ближнем Востоке.

"Невероятно, что инструмент, который использовался спецслужбами, в настоящее время общедоступен", - прокомментировал директор Symantec по реагированию на вопросы безопасности Викрам Тхакур.

За месяц до того, как Shadow Brokers начали размещать инструменты агентства в сети в 2017 году, АНБ, осведомленные о нарушении, обратились к Microsoft и другим техническим компаниям, чтобы сообщить им о своих недостатках в программном обеспечении. Microsoft выпустила патч, но сотни тысяч компьютеров по всему миру остаются незащищенными.

22.jpg (74 KB)

Хакеры нацелились на Балтимор, Аллентаун, Сан-Антонио и другие местные американские правительства, которые часто используют устаревшее программное обеспечение. В июле прошлого года Министерство национальной безопасности сообщило о том, что штаты и местные органы власти пострадали от особенно разрушительных вредоносных программ, которые теперь, по словам исследователей в области безопасности, начали использовать EternalBlue.

Microsoft, отслеживающая использование EternalBlue, не назвала затронутые города, ссылаясь на конфиденциальность клиентов. Но другие эксперты проинформировали о нападениях в Балтиморе, Аллентауне, Сан-Антонио и подтвердили, что хакеры использовали EternalBlue.

По словам главы отдела исследований безопасности Cybereason Амита Серпера, его фирма отреагировала на атаки EternalBlue в трех разных американских университетах и обнаружила уязвимые серверы в крупных городах, таких как Даллас, Лос-Анджелес и Нью-Йорк.

Расходы могут быть слишком большими для местных органов власти. Как заявил главный информационный директор Аллентауна Мэтью Лейберт, атака на город в феврале прошлого года привела к сбою в работе городских служб на несколько недель, на восстановление потрачено около 1 миллиона долларов, а также еще 420 000 долларов на новые средства защиты.

Вредоносная программа, поразившая Сан-Антонио в сентябре прошлого года, заразила компьютер в офисе шерифа округа Бексар и попыталась распространиться по сети с помощью EternalBlue. На прошлой неделе исследователи Palo Alto Networks обнаружили, что китайская государственная группа Emissary Panda взломала правительства Ближнего Востока с помощью EternalBlue.

"EternalBlue будет использоваться почти всегда, потому что, если злоумышленники найдут уязвимую систему, они не преминут воспользоваться случаем", - утверждает заместитель директора разведки угроз в Palo Alto Networks Джен Миллер-Осборн.

33.jpg (54 KB)

Примерно десять лет назад самое мощное кибероружие принадлежало почти исключительно спецслужбам – служащие АНБ применяли термин "NOBUS" для уязвимостей, которые только агентство могло использовать. Но это преимущество сильно подорвано не только из-за утечек, но и потому, что любой может получить код кибероружия.

В марте адмирал Майкл С. Роджерс, который был директором АНБ во время утечки Shadow Brokers, высказал предположение, что агентство не стоит обвинять в полученном ущербе. "Если Toyota производит пикапы, кто-то берет машину, приваривает взрывное устройство к передней части, и потом взрывает в толпе людей, это ответственность Toyota?", - прокомментировал Роджерс.

"Я полностью не согласен. Эти эксплойты разрабатываются и держатся в секрете правительствами с конкретной целью использования их в качестве оружия или шпионского инструмента. Они по своей природе опасны. Когда кто-то берет это, они не привязывают к нему бомбу. Это уже бомба", - заявил корпоративный вице-президент по потребительскому доверию Microsoft Том Берт.

Брэд Смит, президент Microsoft, призвал к созданию "цифровой Женевской конвенции", регулирующей киберпространство, включая обязательство правительств сообщать поставщикам об уязвимостях, а не хранить их в секрете для использования в шпионаже или атаках.

В прошлом году Microsoft вместе с Google и Facebook присоединилась к 50 странам, подписав аналогичный призыв президента Франции Эммануила Макрона – "Paris Call for Trust and Security in Cyberspace" - покончить с "злонамеренной киберактивностью в мирное время". Среди подписавшихся отсутствовали самые агрессивные киберпреступники в мире: Китай, Иран, Израиль, Северная Корея, Россия - и Соединенные Штаты.

 
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...