К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Атака на Путина: мнимая атака хакеров из Северной Кореи совпала с политическими событиями

Фото Robyn Beck / Getty Images
Фото Robyn Beck / Getty Images
Версия про северокорейских хакеров, которые якобы стояли за атакой вируса Wannacry, могла быть предложена для отвода глаз

После разрушительной атаки вируса Wannacry, который задел множество организаций и даже ряд медучреждений в Англии, целый ряд крупнейших антивирусных компаний — российская «Лаборатория Касперского» и американский Symantec поспешили отнести атаку на счет хакеров из Северной Кореи, что удивительным образом совпало с призывом Владимира Путина налаживать диалог Запада с этой страной.

Однако уже в течении первой недели целый ряд мировых независимых экспертов, например Гари Ворнер или компания CyberReason, независимо друг от друга усомнились в том, что Северная Корея действительно могла иметь отношение к атаке. Обнаруженная часть кода, соотнесенного в прошлом с группой «Лазарус» (ее относили к Северной Корее), возможно, была скопирована с целью отвода глаз или удобства. Экспертам бросилось в глазах нестыковки «официальной версии». Несоразмерно малый заработок от такой глобальной операции  - он не достиг даже $100 000, а также и сомнительный уровень (крайне «ламерский») организации платежей для вымогателей с использованием биткоинов.

Ряд крупнейших мировых СМИ также отметили, что из-за атаки выросли акции крупнейших антивирусных компаний. Я склонен согласиться с выводами экспертов, которые сомневаются в версии атаки из Северной Кореи. И вот почему: Wannacry представляет собой классическую программу-вымогатель («червь»), которая попадает на компьютеры с использованием «свежего« эксплойта (программа, использующая уязвимость в программном обеспечении) от АНБ (NSA). Данный эксплойт был опубликован 14 апреля, а уже 5 мая 2017 года последовали первые заражения.

 

Программа Wannaсry является уже второй версией, ее первая появилась ранней весной, в марте, но без эксплойта от АНБ (NSA) она не получила заметного распространения и к тому же была сильно переработана. Нужно понимать, что любая преступная группа, которая занимается подобного рода вымогательствами, разрабатывает и улучшает свое программное обеспечение годами. Аналитики антивирусных компаний очень быстро определяют, к какой именно группе принадлежит зловредная программа.

Тот факт, что до сих пор не обнаружено схожее программное обеспечение, указывает на то, что программа, скорее всего, была только-только написана. Большинство экспертов, которые усомнились в северокорейском следе, делают вывод о том, что атака могла иметь политическую цель. Хотя многие затрудняются найти ей логичное объяснение. Отличие примененной программы «червя» состоит в том, что он неуправляем и распространяется самостоятельно. Его распространение происходит непредсказуемо для распространителей вируса, то есть спланированный саботаж не может предполагать каких-либо географических четких целей или допустим преднамеренной цели навредить больницам в Англии, четкого времени начала и окончания атаки.

 

Поскольку программа использовала уязвимость АНБ (NSA), первая мысль которая приходит в голову, это что компрометация АНБ и была конечной целью. Другой возможной версией, которую высказывают эксперты, является слабая подготовка новичков-преступников, изначально ориентированных на заработок. Получается некая «логическая каша» – либо мы имеем дело с корейскими военными, запустившими неизвестно что неизвестно куда и, самое главное, для чего. Возможно, они решили присоединится к новой цифровой экономике?

Либо появилась преступная группа, впервые попробовавшая свои силы в бизнесе программ-вымогателей и слишком удачно применившая свежий эксплойт от АНБ.

Большинство экспертов, на мой взгляд, упускают главное – время прошедшее от релиза эксплойта группой Shadow Brokers до выпуска программы-вымогателя. Прошло всего три недели. Несложно было бы быстро встроить новый эксплойт АНБ в уже существующую программу-вымогатель и инфраструктуру (сопутствующую этому бизнесу). Но речь, скорее всего, идет о совершенно новой программе. Сама же группа Shadow Brokers молчала год до запуска этого эксплойта и вот внезапно проснулась. Написать за три недели совершенно новую программу-вымогатель с поддержкой на 18 языках, не имея никакого опыта в этом бизнесе и с использованием свежего эксплойта АНБ (NSA)? Это представляется крайне сомнительным.

 

Другими словами, я склонен предположить, что авторы программы имели доступ к эксплойту до того, как его выложили Shadow Brokers. Есть гораздо более простое и прозаичное объяснение всем этим событиям – за атакой могла стоять группа Shadow Brokers. Почему такая простая мысль до сих пор не пришла никому в голову, для меня лично загадка. Это же элементарно, Ватсон!

Однако, я бы предостерег от далеко идущих выводов в отношении реального источника атаки. В статье Reuters по теме Wannacry изумительно точно сказано, что «взаимоотношения России и киберпреступности находятся под вниманием ввиду обвинений России в кибератаках на США поэтому Россия старается доказать, что также страдает от атак и ищет способы справиться».  На мой взгляд, в этом и кроется вся проблема в отношении кибербезопасности: безумная легкость в раздаче бездоказательных обвинений, которые на поверку не выдерживают малейшей критики.

В глобальном мире пиара частные антивирусные компании вешают ярлыки на целые страны с той же детской легкостью, с какой Павел Дуров нам рассказывает, что Telegram не перехватывают. Кто им судья? Получается, что и с нашей легкой руки зря обвинили Северную Корею. Нам конечно все равно, но завтра ведь опять обвинят нас. Если мы соглашаемся с липовой атрибуцией этой атаки – мы соглашаемся и с липовой атрибуцией атаки, которая якобы привела к проигрышу Демократической партии США. Акции антивирусных компаний тем временем растут.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+