В издательстве Corpus вышла книга журналиста-расследователя Джеффа Уайта «Преступная сеть». «Сноб» публикует отрывок.
С течением десятилетий вирусы-вымогатели становились все изощреннее и постепенно достигли уровня, который можно считать зенитом киберпреступного мастерства: они превратились в развитую форму автоматизированного шантажа. Их успех во многом зависел от правильного выбора суммы выкупа, в чем присутствовал и элемент психологии. Если сумма слишком низкая, киберпреступникам нет смысла тратить свое время на создание вируса. Если слишком высокая — жертва не заплатит. В связи с этим вирусы-вымогатели берут количеством при низкой маржинальности: у каждой жертвы требуют относительно небольшую сумму, но при миллионах заражений общая прибыль оказывается огромной. Используя описанную модель, программы-вымогатели не попадали в новости по двум причинам: на личном уровне многие жертвы не сообщали о них, считая такие взломы скорее досадными неприятностями, чем преступлениями, а на корпоративном уровне, сталкиваясь с такими атаками на свои системы, многие компании испытывали своеобразный “киберстыд”. На онлайн-форумах, где работающие в компаниях айтишники искали совета, обычно рекомендовалось просто заплатить требуемую сумму, поскольку расстаться с несколькими сотнями долларов было лучше, чем тратить время на решение проблемы — или, хуже того, попасть в газеты.
Это спорный совет, и люди, давшие его на форумах и следовавшие ему в жизни, никогда не раскрывали, где именно они работают. Но нам точно известно, какой сокрушительный удар программы-вымогатели наносят по крупнейшим в мире компаниям, поскольку теперь количество атак с их использованием настолько возросло, что руководству фирм приходится сообщать об этом своим кассирам. Например, американский фармацевтический гигант Merck в 2017 году сообщил инвесторам, что подвергся атаке с использованием вируса-вымогателя Not Petya, и это, выражаясь корпоративным языком компании, “негативно сказалось на выручке”, упавшей на двести шестьдесят миллионов долларов.
Сталкиваясь с такими затратами, некоторые компании решают, что лучше раскошелиться. Но разве это не рискованно? В конце концов, вирусы-вымогатели рассылают жулики — как можно быть уверенным, что преступники восстановят данные после получения выкупа? Подумав об этом, хакеры нашли хитрый способ подталкивать людей к оплате. Они разработали цифровую версию “доказательства жизни”, которое используют при похищении людей с требованием выкупа, когда родственникам похищенного отправляют, например, его большой палец как свидетельство того, что человек находится в плену. Попав на компьютер, вирус-вымогатель часто бесплатно описывает жертве несколько случайным образом выбранных файлов, чтобы показать, что расшифровка данных в принципе возможна. Иногда подразнить человека видом восстановленных данных достаточно, чтобы он полез за кошельком.
В целом за последние несколько лет рассылка вирусовымогателей стала чрезвычайно прибыльным делом: криминальные группы пользуются разными штаммами вируса, подстраивая свою тактику для разных кампаний, которые они нередко ведут одновременно, подобно тому как рекламные агентства выпускают разные рекламные ролики, чтобы определить наиболее эффективный. Данные некоммерческой организации Cyber Threat Alliance, в работе которой участвует целый ряд компаний по обеспечению технологической безопасности, показали, что в январе 2015 года общая выручка от проведения одной-единственной кампании с использованием одного штамма вируса-вымогателя составила триста двадцать пять миллионов долларов. Более того, благодаря биткоину (о котором вы еще услышите в этой главе) все вырученные деньги до последнего цента в таких случаях отправляются непосредственно киберпреступникам, которым не приходится полагаться на посредников и курьеров. Для жертв, которые не умели работать с новой валютой, в некоторых штаммах вируса даже была предусмотрена система онлайн-поддержки, где им объясняли, как совершать платежи в биткоинах.
Но жуликам, использующим вирусы-вымогатели, снова и снова приходилось решать непреходящую проблему: как устанавливать вирус на устройства жертв. Обычно вирусы рассылались по электронной почте. Но это причиняло хакерам большую головную боль: нужно было постоянно находить новые адреса для рассылок и постоянно вносить изменения в код вируса, чтобы его не засекали оперативно обновляемые защитные системы, например программы-антивирусы. Преступники искали новый, более удобный способ заражать компьютеры своих потенциальных жертв. Они нашли его в 2017 году, когда стало известно об уязвимости в компьютерах Microsoft, которую предположительно выявила одна из американских спецслужб.
Механика такова: представьте, что у вас в комнате стоит компьютер, на котором хранится вся ваша музыка, и вы хотите включить пару песен на ноутбуке в гостиной. Компьютеры Microsoft снабжены удобной функцией, которая позволяет двум устройствам делиться файлами. Утверждается, что в Агентстве национальной безопасности (АНБ) обнаружили, что описанную функцию можно также использовать для распространения вирусов. Похоже, сотрудники АНБ не поспешили сообщить Microsoft об уязвимости, чтобы компания исправила ошибку, а сохранили свое открытие в тайне (вероятно, чтобы этим могли пользоваться американские военные и разведчики). Также утверждается — и об этом среди прочих говорит даже президент Microsoft, — что впоследствии хакеры украли у АНБ программное обеспечение, необходимое, чтобы проворачивать этот тайный трюк с распространением вирусов. В апреле 2017 года хакерская группа Shadow Brokers выставила на продажу способ эксплуатации этой уязвимости. Предполагается, что покупателей на него не нашлось, и поэтому вскоре хакеры выложили программу в свободный доступ. Пока АНБ не делало публичных заявлений об этих утечках.
И снова произошло перекрестное опыление между мирами государственных хакеров и организованной киберпреступности.
Уязвимость с передачей файлов позволяла автоматически распространять вирусы от компьютера к компьютеру, и вскоре хакеры, использующие программы-вымогатели, это заметили. Злоумышленники поняли, что теперь, вместо того чтобы рассылать вирус по электронной почте, им достаточно установить его на один компьютер; после этого он будет распространяться самостоятельно, потенциально принося огромные прибыли при минимуме затрачиваемых усилий.
Но возникла другая проблема. Недостаточно установить на компьютер вредоносную программу — ее также необходимо как-то запустить. Раньше преступники обманом вынуждали получателей электронных писем кликать на ссылки и открывать приложенные к письмам файлы, тем самым активируя заражение системы. Так, например, Онель де Гусман распространял свой вирус Love Bug.
Чтобы получать максимальную отдачу при минимальных затратах, жуликам необходимо было придумать спусковой механизм для вируса, как только он попадает на новое устройство. И снова, как предполагается, им непреднамеренно помогло АНБ. В число функциональных хакерских инструментов, слитых группой Shadow Brokers, вошла вредоносная программа Double Pulsar, которая могла решить проблему с запуском вируса на каждом новом компьютере. Теперь у хакеров появилась возможность повторить успех де Гусмана при распространении вируса, а также гарантировать, что он заразит поистине грандиозное число устройств, поскольку для активации программы не требуется вмешательство жертвы. Эта комбинация была настолько действенной, что после запуска вируса остановить его можно было лишь с помощью тщательной работы с кодом.
Свежие комментарии