r   e   k   l   a   m   a
r   e   k   l   a   m   a

Globalny cyberatak z użyciem exploitów NSA: to była próba generalna?

Strona główna AktualnościBEZPIECZEŃSTWO

Zgodnie z popularną przepowiednią, tej doby mieliśmy spodziewać się początku końca, tj. rozpoczęcia Trzeciej Wojny Światowej. Zamiast tego doczekaliśmy się bezprecedensowego w skali cyberataku, którego ofiarami padli zarówno użytkownicy prywatni jak i organizacje w co najmniej 74 krajach. Za sytuację w jakimś stopniu podziękować możemy amerykańskiej agencji bezpieczeństwa narodowego, atak został bowiem przeprowadzony za pomocą przez nią opracowanej cyberbroni – EternalBlue. To ten exploit jest bazą robaka, który masowo zaraża niezałatane systemy komputerowe z Windowsem, szyfrując zawarte na nich dane i żądając okupu. Ransomware otrzymało nazwę WannaCry/WannaCrypt, i faktycznie, patrząc na to, co się dzieje, chce się tylko płakać.

Grupa The Shadow Brokers chyba dobrze wiedziała co robi, publicznie udostępniając zestaw cyberbroni wykradzionych z serwerów NSA. Jeden z zawartych tam exploitów brał na cel luki w implementacji protokołu SMBv1 (a prawdopodobnie też SMBv2). To, że Microsoft zdążył 14 marca tego roku wydać pakiet łatek, nie na wiele się zdało. Za mało, za późno, ci, którzy najwięcej ucierpieli i tak żadnej łatki nie otrzymali – chodzi tu o użytkowników Windows XP i Windows Servera 2003.

Wektor ataku: otwarte Wi-Fi

Podłączający się do otwartych sieci Wi-Fi (np. na lotniskach) byli automatycznie atakowani, ich systemy przejmowane, a robak tylko czekał na podłączenie do kolejnej sieci, np. w firmie czy w domu – by dalej zarażać wszystko co się da. Wystarczył niezałatany system, domyślnie otwarte porty 139 i 445. Później, na zarażonych maszynach proces taskche.exe skanował wszystkie dyski, zarówno lokalne jak i sieciowe, szyfrując zawarte na nich pliki o określonych rozszerzeniach szyfrem RSA z 2048-bitowym kluczem.

r   e   k   l   a   m   a

Jak zwykle w takich wypadkach, ransomware wyświetlało komunikat o zaszyfrowaniu, z ofertą wykupienia usługi deszyfrowania za jedyne 300 dolarów (płatne w bitcoinach). Po trzech dniach koszt usługi wzrastał do 600 dolarów. Presja czasu miała skłonić ludzi do jak najszybszego działania, a gwarancją powodzenia była możliwość odszyfrowania kilku plików za darmo.

Pierwsze oznaki masowej infekcji zostały zauważone przez producentów oprogramowania antywirusowego wczoraj rano – jako pierwsze zaszyfrowane zostały dane na komputerach podłączonych do sieci brytyjskiej służby zdrowia (NHS). Tamtejsze media winą obarczają konserwatywny rząd, który kilka lat temu odmówił dalszego płacenia za specjalne wsparcie dla Windowsa XP, każąc NHS wymienić przestarzałe oprogramowanie lub samodzielnie dojść z Microsoftem do porozumienia. Skończyło się to, jak widać, katastrofą. Brak pieniędzy i procedur sprawił, że NHS zostało wczoraj dosłownie „zmiażdżone”. Co najmniej dwa szpitale musiały całkowicie zaprzestać przyjmowania pacjentów, wiele innych miało poważne problemy z utrzymaniem ciągłości działania. O straconych danych nawet nie ma co wspominać.

Szybko infekcja rozniosła się na kolejne kraje. Podróżni na dworcach kolejowych w Niemczech mogli oglądać paraliż sieci informacyjnej Deutsche Bahn, ucierpiały chińskie uniwersytety, globalne firmy kurierskie (m.in. Fedex), rosyjskie Ministerstwo Spraw Wewnętrznych, hiszpański telekom Telefonica, a następnie zaatakowane zostały na dużą skalę sieci w Stanach Zjednoczonych i Ameryce Południowej. Problem globalny – i gdyby nie jeden człowiek, byłoby znacznie gorzej.

Chwała bohaterom

Brytyjski badacz publikujący na Twitterze jako @malwaretechblog znalazł w kodzie robaka zdalny wyłącznik – i uaktywnił go. Okazało się, że szkodnik sprawdzał rozwiązywanie nieistniejącej domeny iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Zanim obudził się Nowy Świat, domena została przez badacza zarejestrowana. Efekt go całkowicie zaskoczył: tysiące prób połączeń z domeną na sekundę – po których robak błyskawicznie się dezaktywował.

Zareagował na sytuację także Microsoft. W drodze wyjątku ogłosił wydanie łatki na niewspierane systemy – tj. Windows XP, Windows 8 oraz Windows Server 2003. KB4012598 nazwano niestandardową pomocą techniczną. Cóż, dobre i to, choć można się spodziewać, że jeśli ktoś do dziś używa Windowsa XP na systemach podpiętych do Internetu, to pewnie nawet nie słyszał o żadnych łatkach.

Takiego cyberataku nie było od dobrych 10 lat – i nie sposób oprzeć się wrażeniu, że to test przed czymś większym. Dlaczego robak dał się tak łatwo wyłączyć? Raczej nie chodziło o pieniądze. Jak do tej pory okup zapłaciło kilkadziesiąt ofiar.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłeś(aś) naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.