Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (38)
  • добавить в избранное
    Добавить в закладки

WannaCry. Кто автор?

Прочитали: 9047 Комментариев: 72 Рейтинг: 152

25 мая 2017

Авторство нашумевшего WannaCry – вопрос, который интересует всех, от правоохранительных органов и специалистов по ИБ до простых пользователей. Изложенное ниже не является официальным мнением компании «Доктор Веб» – это всего лишь размышление о том, насколько легко в условиях недостатка данных обвинить в киберпреступлениях кого-либо в современном цифровом мире.

Начнем просто с фактов:

  1. Группировка The Shadow Brokers публикует очередную порцию хакерских инструментов, похищенных у группы Equation Group, подозреваемой в связях с Агентством национальной безопасности США. В этот раз публикуются эксплойты для уязвимостей в ОС Windows – от Windows 2000 и Server 2012 до Windows 7 и 8. Опубликованный архив содержит в общей сложности 23 инструмента, в том числе EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig и Fuzzbunch.
  2. В компании Microsoft (уведомленной «неизвестным доброжелателем» о грядущей выкладке) провели анализ эксплойтов и заявили, что уязвимости в протоколе SMB v1-3, эксплуатируемые инструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar и EternalSynergy, уже были исправлены в предыдущие годы, а некоторые – устранены в нынешнем году (CVE-2017-0146 и CVE-2017-0147). Патч для уязвимости в контроллерах домена, работающих под управлением Windows 2000, 2003, 2008 и 2008 R2, эксплуатируемой инструментом EsikmoRoll, был выпущен еще три года назад, в 2014 году. Было заявлено, что инструменты EnglishmanDentist, EsteemAudit и ExplodingCan не работают на поддерживаемых версиях Windows, поэтому патчи для них выпускаться не будут.

    В частности, уязвимости, которые через некоторое время использовал WannaCry, были закрыты обновлением MS 17-010, выпущенным в марте 2017.
  3. Новый шифровальщик, используя выложенные группировкой The Shadow Brokers инструменты (в частности, EternalBlue и Doublepulsar), начал распространение примерно в 10 утра 12 мая, и уже вечером того же дня СМИ (не производители антивирусов!) стали сообщать о многочисленных заражениях.
  4. The Shadow Brokers во вторник, 16 мая, объявляет о запуске платного сервиса The Shadow Brokers Data Dump of the Month, ежемесячно предоставляющего подписчикам новые эксплойты для ранее неизвестных уязвимостей в браузерах, маршрутизаторах, мобильных устройствах, Windows 10, а также данные, похищенные из банковской системы SWIFT, и информацию, связанную с ядерными программами России, Китая, Ирана и КНДР.

Создать эксплойт – не значит создать троянца и с его помощью провести атаку.

А кто создал троянца? Кто стоит за атакой — т. е. распространением троянца?

Практически сразу появились сообщения о связи WannaCry и группировки Lazarus.

Отмечается, что фрагменты кода, обнаруженные в предшествующей версии вируса WannaCry, использовались группировкой Lazarus Group, подозреваемой в связях с Пхеньяном.

http://rusgosnews.com/2017/05/17/specialisti-laboratorii-kasperskogo-rasskazali-kto-stoit-za.html

В связи с этим напомним, что приписывается Lazarus Group:

  1. Успешная атака на кинокомпанию Sony Pictures в 2014 году. Также они ограбили ряд банков, в частности, у центрального банка Бангладеш хакеры украли $81 миллион.
  2. Атака на межбанковскую систему SWIFT. В частности, в феврале 2016 года хакерам удалось вывести из Центробанка Бангладеш $81 млн.
  3. Атака на Banco del Austro в Эквадоре в январе 2015 года. В результате было похищено $9 млн.

Серьезная организация, существующая уже лет десять. Успешнейшие операции – заметим, все они основаны на взломе, а не на попытках рассылки вредоносного ПО.

А что WannaCry (описание специалистов «Доктор Веб» здесь)?

  1. Троянец не упакован и, тем более, не перепаковывается. Подавляющее число троянцев наблюдаются средствами обнаружения примерно 9 минут – WannaCry же атаковал в течение дней с одним и тем же кодом, не пытаясь укрыться от внимания антивирусов. Только поражающая безграмотность админов позволила ему нанести ущерб.
  2. Троянец представляет собой архив с зашитым внутри ключом распаковки, видимым любому исследователю.

    #drweb

    (https://www.linkedin.com/feed/update/urn:li:activity:6269238070189654016)

  3. Троянец не пытается как-либо замаскироваться в системе – его файлы обнаруживает любой антивирусный файловый монитор.
  4. Внутри троянца можно увидеть некий почтовый адрес:
    00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
    00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA
    00:34 < nulldot> 0x1000efc0, 19, wanna18@hotmail.com
    00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
    00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
    00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
    00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
    00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
    00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky
    00:34 < nulldot> 0x1000f270, 12, 00000000.pky 
    00:34 < nulldot> 0x1000f2a4, 12, 00000000.res

    https://habrahabr.ru/company/pentestit/blog/328606
    https://habrahabr.ru/post/328548

  5. Атака осуществлялась из одного места.
  6. Копеечный заработок хакеров из-за ошибки в модуле приема биткойнов — и из-за этого огромное количество жертв, которые никогда не смогут восстановить данные, потому что просто не могут заплатить выкуп.

Совершенно не похоже на успешных хакеров Lazarus, зарабатывающих миллионы долларов. Добавим, что среди утекших инструментов АНБ была специальная утилита, позволявшая вставлять в текст программы фразы на нужном языке. А уж вставить кусок нужного кода...

#шифровальщик #Trojan.Encoder #киберпреступление #ответственность

Антивирусная правДА! рекомендует

  • Поскольку наши пользователи не пострадали и у нас мало информации о реальных заражениях, мы ничего не утверждаем и не пытаемся делать предположения, не основанные на твердой уверенности. Официальная точка зрения компании «Доктор Веб» на атаку изложена на официальном сайте.
  • Подделать следы очень просто. Доказать чью-то причастность к атаке невероятно трудно.
  • Мы надеемся, что наступит время, когда авторы и этого троянца займут полагающееся им место. В тюрьме.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: