Globalny cyberatak z użyciem exploitów NSA: to była próba generalna?

Zgodnie z popularną przepowiednią, tej doby mieliśmy spodziewaćsię początku końca, tj. rozpoczęcia Trzeciej Wojny Światowej.Zamiast tego doczekaliśmy się bezprecedensowego w skali cyberataku,którego ofiarami padli zarówno użytkownicy prywatni jak iorganizacje w co najmniej 74 krajach. Za sytuację w jakimś stopniupodziękować możemy amerykańskiej agencji bezpieczeństwanarodowego, atak został bowiem przeprowadzony za pomocą przez niąopracowanej cyberbroni – EternalBlue. To ten exploit jest baząrobaka, który masowo zaraża niezałatane systemy komputerowe zWindowsem, szyfrując zawarte na nich dane i żądając okupu.Ransomware otrzymało nazwę WannaCry/WannaCrypt, i faktycznie,patrząc na to, co się dzieje, chce się tylko płakać.

Grupa The Shadow Brokers chyba dobrze wiedziała co robi,publicznie udostępniając zestaw cyberbroni wykradzionych z serwerówNSA. Jeden z zawartych tam exploitów brał na cel luki wimplementacji protokołu SMBv1 (a prawdopodobnie też SMBv2). To, żeMicrosoft zdążył 14 marca tego roku wydać pakiet łatek, nie nawiele się zdało. Za mało, za późno, ci, którzy najwięcejucierpieli i tak żadnej łatki nie otrzymali – chodzi tu oużytkowników Windows XP i Windows Servera 2003.

Podłączający się do otwartych sieci Wi-Fi (np. na lotniskach)byli automatycznie atakowani, ich systemy przejmowane, a robak tylkoczekał na podłączenie do kolejnej sieci, np. w firmie czy w domu –by dalej zarażać wszystko co się da. Wystarczył niezałatanysystem, domyślnie otwarte porty 139 i 445. Później, na zarażonychmaszynach proces taskche.exe skanował wszystkie dyski, zarównolokalne jak i sieciowe, szyfrując zawarte na nich pliki ookreślonych rozszerzeniach szyfrem RSA z 2048-bitowym kluczem.

Jak zwykle w takich wypadkach, ransomware wyświetlało komunikato zaszyfrowaniu, z ofertą wykupienia usługi deszyfrowania za jedyne300 dolarów (płatne w bitcoinach). Po trzech dniach koszt usługiwzrastał do 600 dolarów. Presja czasu miała skłonić ludzi do jaknajszybszego działania, a gwarancją powodzenia była możliwośćodszyfrowania kilku plików za darmo.

Pierwsze oznaki masowej infekcji zostały zauważone przezproducentów oprogramowania antywirusowego wczoraj rano – jakopierwsze zaszyfrowane zostały dane na komputerach podłączonych dosieci brytyjskiej służby zdrowia (NHS). Tamtejsze media winąobarczająkonserwatywny rząd, który kilka lat temu odmówił dalszegopłacenia za specjalne wsparcie dla Windowsa XP, każąc NHS wymienićprzestarzałe oprogramowanie lub samodzielnie dojść z Microsoftemdo porozumienia. Skończyło się to, jak widać, katastrofą. Brakpieniędzy i procedur sprawił, że NHS zostało wczoraj dosłownie„zmiażdżone”. Co najmniej dwa szpitale musiały całkowiciezaprzestać przyjmowania pacjentów, wiele innych miało poważneproblemy z utrzymaniem ciągłości działania. O straconych danychnawet nie ma co wspominać.

Police are at Southport Hospital & ambulances are 'backed up' at A&E as staff cope with the ongoing hack crisis #NHS pic.twitter.com/Oz25Gt09ft

— Ollie Cowan (@Ollie_Cowan) May 12, 2017Szybko infekcja rozniosła się na kolejne kraje. Podróżni nadworcach kolejowych w Niemczech mogli oglądać paraliż sieciinformacyjnej Deutsche Bahn, ucierpiały chińskie uniwersytety,globalne firmy kurierskie (m.in. Fedex), rosyjskie Ministerstwo SprawWewnętrznych, hiszpański telekom Telefonica, a następniezaatakowane zostały na dużą skalę sieci w Stanach Zjednoczonych iAmeryce Południowej. Problem globalny – i gdyby nie jedenczłowiek, byłoby znacznie gorzej.

The ransomware virus has spread to Deutsche Bahn computers, appears on train station screens pic.twitter.com/uUF97Huqrd (via @Nick_Lange_ )

— Gregor Peter (@L0gg0l) May 12, 2017Chwała bohateromBrytyjski badacz publikujący na Twitterze jako @malwaretechblogznalazł w kodzie robaka zdalny wyłącznik – i uaktywnił go.Okazało się, że szkodnik sprawdzał rozwiązywanie nieistniejącejdomeny iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Zanim obudziłsię Nowy Świat, domena została przez badacza zarejestrowana. Efektgo całkowicie zaskoczył: tysiące prób połączeń z domeną nasekundę – po których robak błyskawicznie się dezaktywował.

.@malwareunicorn This is the reason infections are dropping off - it contained a kill switch, that was activated before US woke up. NEW propagation = dead. pic.twitter.com/l4VKZ45kq7

— Kevin Beaumont (@GossiTheDog) May 12, 2017Zareagował na sytuację także Microsoft. W drodze wyjątkuogłosił wydaniełatki na niewspierane systemy – tj. Windows XP, Windows 8 orazWindows Server 2003. KB4012598 nazwano niestandardową pomocątechniczną. Cóż, dobre i to,choć można się spodziewać, że jeśli ktoś do dziś używaWindowsa XP na systemach podpiętych do Internetu, to pewnie nawetnie słyszał o żadnych łatkach.

Takiego cyberataku nie było oddobrych 10 lat – i nie sposób oprzeć się wrażeniu, że to testprzed czymś większym. Dlaczego robak dał się tak łatwo wyłączyć?Raczej nie chodziło o pieniądze. Jak do tej pory okup zapłaciłokilkadziesiąt ofiar.