Мобильное меню


Ещё разделы
ПОДПИСЫВАЙСЯ
Картинки
Форма входа
Реклама
Червь, который едва не поглотил Интернет
Познавательное

Червь, который едва не поглотил Интернет

Админчег Muz4in.Net Тэги




Пишет Mark Bowden

Этот вирус заразил 10 миллионов компьютеров. Так почему же кибергеддон так и не наступил?

Чуть более десяти лет назад уникальный штамм вредоносных программ атаковал Интернет так быстро, что это шокировало экспертов в области кибербезопасности во всём мире. Известный как Conficker, он был и остаётся самым стойким компьютерным червём, который объединяет миллионы компьютеров с операционной системой Microsoft со всего мира, чтобы создать крупный незаконный ботнет, по сути, чёрнорыночный суперкомпьютер. Такая мощь, контролируемая неизвестным производителем, представляла угрозу не только для любого предприятия, подключённого к сети, но и для самого Интернета.

Ботнеты, сети тайно связанных персональных компьютеров, контролируемых невидимой рукой, запускают печально известные DoS-атаки, наводняя веб-сайты таким количеством запросов данных, что они терпят крах. Атака 2012 года практически заблокировала онлайн-операции в крупных банковских учреждениях. Ботнеты также распространяют вредоносные программы. Они стояли за атакой вируса-вымогателя WannaCry в 2017 году, которая заразила приблизительно 200000 компьютеров в 150 странах и повредила компьютерные сети в больницах Национальной службы здравоохранения в Англии и Шотландии.

Кибероружие под названием EternalBlue, украденное в 2017 году из секретных лабораторий Агентства национальной безопасности (АНБ), было использовано для атаки на сети целых городов — Балтимор по-прежнему пытается «вылечить» тысячи муниципальных компьютеров, заражённых в прошлом месяце.

Ботнет Conficker был легко способен сделать любое из вышеперечисленного – и гораздо хуже. На пике, когда он состоял, по меньшей мере, из 10 миллионов отдельных IP-адресов, в мире было мало компьютерных сетей, достаточно безопасных, чтобы противостоять его атаке. Как бы то ни было, он был использован только один раз, чтобы распространить относительно небольшой штамм «псевдоантивируса», предназначенный для запугивания ничего не подозревающих пользователей в загрузке поддельного антивирусного программного обеспечения. Эта атака явно была началом чего-то большего.

Сегодня, благодаря чрезвычайным усилиям ФБР и некоторых ведущих мировых экспертов в области кибербезопасности, у нас есть ответы на эти вопросы. Они служат тревожным напоминанием об удивительной изощрённости растущей сети киберпреступников и уязвимости не только наших компьютеров, но и самого Интернета.

Страх перед Conficker – название было придумано программистами Microsoft, объединившими "con" от TrafficConverter.biz, веб-сайта, использованного для распространения червя, с немецким ругательством – достиг пика 1 апреля 2009 года, когда новый, более вирулентный штамм, который мог распространяться непосредственно с компьютера на компьютер без каких-либо действий со стороны пользователей, был запрограммирован на активацию.

Эта новая итерация вызвала страшные заголовки и телевизионные предупреждения в прайм-тайме — 60 Minutes на CBS назвала Conficker «одной из самых опасных угроз, когда-либо существовавших». Шон Генри, помощник директора кибер-отдела ФБР, сказал, что его потенциал для нанесения ущерба был столь же велик, как и «оружие массового уничтожения или бомба в одном из наших крупных городов».

Но потом, когда наступила назначенная дата и атаки не начались, а сеть не рухнула, беспокойство по поводу Conficker испарилось.

Кое-что, впрочем, случилось. Червь спокойно претерпел адаптацию, выскользнув из рук сыщиков кибербезопасности и ускорив свой рост. Так обстояли дела, когда я писал о Conficker для The Atlantic в 2010 году, а затем в книге «Червь», опубликованной в следующем году. Охват ботнета был огромным, реальным, но спящим.

Существовали конкурирующие теории, объясняющие причину. Согласно одной из них, это была работа академических хакеров, которые создали её в качестве лабораторного эксперимента, а затем случайно запустили – можно понять, почему они не хотели претендовать на авторство. Другая теория гласила, что это было кибероружие, разработанное правительством, возможно, даже Соединёнными Штатами.

Ни одна из теорий не была верной. Хотя некоторые эксперты по-прежнему выражают несогласие, большинство ныне считает, что Conficker был разработкой украинских киберпреступников, создавших платформу для глобального воровства, которая преуспела сверх всех ожиданий или желания. Вор меньше всего хочет привлечь к себе внимание. Тем не менее, беспрецедентный рост Conficker заставил обратить на себя внимание экспертов по кибербезопасности со всего мира.

Объяснение было подробно описано в статье, опубликованной в декабре 2015 года «Журналом конфиденциальных кибер-исследований и инженерии» (англ. The Journal of Sensitive Cyber Research and Engineering). Это была секретная, рецензируемая публикация, выпущенная федеральной межведомственной рабочей группой по кибербезопасности, включая Пентагон, Министерство внутренней безопасности и АНБ, и распространённая среди небольшого числа экспертов, имевших соответствующие разрешения. Сама статья не была засекречена, но дошла лишь до небольшого круга читателей. Я получил копию в этом году.

Статья была написана тремя учёными-компьютерщиками из SRI International, лаборатории в Менло-Парке, штат Калифорния, которые были частью специальной группы, созданной в 2008 году для борьбы с Conficker и известной как Conficker Cabal. Двое из них, Фил Поррас и Винод Егнесваран, первыми заметили Conficker. Третий автор, Хасан Саиди, был первым, кто «разобрал» его.

Их статья в журнале описывает цифровой след, приведший детективов к пяти мужчинам, четырём украинцам и шведу, которые, по словам ФБР, запустили и, вероятно, создали червя.

Первым ключом к разгадке стала изощрённость червя. Метод, с помощью которого он проникал в ядро компьютеров, требовал глубоких знаний Microsoft. Он использовал недавно обнаруженные недостатки в операционной системе Microsoft Windows (до того как большинство пользователей загрузили исправления безопасности) и передовые криптографические методы. У него были инновационные способы маскировки места происхождения и сокрытия контроллеров. По мере того как группа Conficker Cabal предпринимала усилия, чтобы остановить его распространение, червь быстро адаптировался, принимая эффективные контрмеры. Его нельзя было замедлить.

Но наиболее впечатляющей особенностью этой проблемы была криптография. Создатели незаконных ботнетов хотят защитить свои инвестиции путём шифрования внутренних команд и элементов управления, чтобы их вредоносное ПО не было захвачено конкурирующими преступниками или экспертами по безопасности.

Шифрование Conficker опережало всех. Оно использовало три из самых сложных существующих методов кодирования, RC4, RSA и MD6; все они были произведены ведущим криптологом в мире Роном Ривестом из Массачусетского технологического института. Черновая версия последнего из них, MD6, была выпущена всего за несколько недель до появления Conficker, как участник конкурса на обновление официального метода шифрования верхнего уровня Соединённых Штатов. MD6 был всего лишь предложением, и, по сути, о нём знали только в лаборатории Ривеста и эксперты Национального института стандартов и технологий (НИСТ), оценивавшиие конкурс. Единственным способом заполучить его было зайти на сайт Ривеста или конкурса НИСТ. Conficker стал первым известным использованием MD6.



Другие подсказки были связаны с особенностями червя. Он был предназначен для самоуничтожения в любом компьютере, использующим украинскую раскладку – верный признак того, что его создатели жили там и пытались избежать нарушения закона в своей стране. Тестовый прогон дал ещё одну подсказку. 1 декабря 2008 года миллионы заражённых ботнетом компьютеров были проинструктированы связаться с сайтом TrafficConverter.biz в один и тот же день; это был объём трафика, с которым он не мог справиться. Они непреднамеренно совершили на себя DoS-атаку. Эта ошибка наводила на мысль, что те, кто стоял за Conficker, не понимали, насколько широко распространился их вирус.

Червь продолжал развиваться. Чтобы управлять им, невидимая рука должна была выдать команду. Чтобы скрыть источник этой команды, червь ежедневно генерировал 250 новых «доменов», числовых меток, которые идентифицируют компьютерные сети в Интернете. В 2008 году члены Cabal попытались расшифровать код червя, чтобы обнаружить, приобрести, а затем эффективно закрыть все 250 доменов. Для этого требовалось проведение транзакций с коммерческими Интернет-регистраторами со всего мира.

Создатели червя приняли этот вызов. Когда новая итерация вредоносного ПО, Conficker C, появилась в конце февраля 2009 года, она увеличила количество новых ежедневных веб-адресов до 10000-3,65 миллиона в год. Внезапно стоимость борьбы с Conficker взлетела до небес: долг на кредитке одного из членов Cabal, занимавшегося покупкой веб-адресов, внезапно вырос до шести цифр.

Настоящий прорыв произошёл, когда создатели попытались усовершенствовать и без того необычную криптографию Conficker. Через несколько месяцев после того, как Ривест представил MD6 НИСТ, недостаток был обнаружен и исправлен. Как и в оригинальной версии, эта поправка была известна лишь очень узкому кругу элитных криптографов. Самые ранние версии Conficker использовали оригинальную версию с ошибками. Когда появился Conficker C, он использовал уже исправленный вариант.

Это сузило окно, во время которого создатели Conficker могли посетить веб-сайты Массачусетского технологического института или НИСТ. Изучая относительно небольшое количество экспертов, которые использовали веб-сайты непосредственно перед появлением Conficker C, следователи наткнулись на IP smartsystem.com.ua – адрес украинской компании, которая была получателем миллионов, обманутых TrafficConverter.Биз. Это был идеальный момент.

21 июля 2011 года агент ФБР Норм Сандерс и Национальная полиция Украины арестовали трёх украинцев: Сергея Камратова, Дмитрия Волокитина и Евгения Фатеева. Они были беззаботными тридцатилетними мужчинами, которые ездили на Porsche и жили в пентхаусах. Они познакомились в школе и были партнёрами по smartsystems.com. Их компания имела более 100 сотрудников. Каждый утверждал, что зарабатывает всего $30000 в год — Камратов вообще говорил, что он школьный учитель.

В компьютерах в их домах были выявлены прямые ссылки на smartsystem.com.ua, TrafficConverter.biz и кодирование Conficker. Троице были предъявлены обвинения в неуплате налогов с незаконных доходов, которые оценивались в десятки миллионов долларов. Я не смог установить, какое наказание они получили, так как мои запросы на предоставление информации украинскими властями остались без ответа. Я подозреваю, что все они вскоре были освобождены и вернулись к работе либо на себя, либо на государство. (Швед Микаэль Сальнерт был арестован в Дании и экстрадирован в Соединённые Штаты, где он признал себя виновным в 2012 году и был приговорён к 48 месяцам тюрьмы. Пятый мужчина, Виктор Моз, не был привлечён к ответственности.)

Вредоносное ПО в Украине – это большой бизнес. Некоторые компании по борьбе с электронными преступлениями имеют собственные здания в офисных парках с наёмными сотрудниками, которые каждый день появляются на работе с идентификационными значками, пользуются медицинскими страховками и наслаждаются пикниками за счёт работодателя. Закрытие smartsystem.com.ua вызвало значительное, но лишь временное прекращение использования «псевдоантивирусов»; злоумышленники позднее возобновили свою деятельность.

Вирусы-вымогатели – это новая чума, и она выманивает деньги у жертв, используя Bitcoin и другие анонимные способы оплаты. Поскольку немногие жертвы знают, как использовать такие способы оплаты, преступники пытаются восполнить пробел, поднимая сумму.

Новая версия операционной системы от Microsoft ограничила возможность заражения вирусом Conficker. Поскольку старые компьютеры выходят из строя, размер большого ботнета постоянно уменьшается. Сегодня, по оценкам, он состоит из 500000 заражённых компьютеров. Ботнет такого размера может нанести большой урон, но маловероятно, что Conficker будет использоваться, учитывая столько шумихи вокруг него.

Новые вредоносные программы предусмотрительно нацелены на медленно растущие инфекции, которые создают ботнеты меньшего размера. Но киберпреступность не уменьшилась. И преступники, и правоохранительные органы стали более изощрёнными в своих методах.

Между тем, ставки выросли. Сегодняшние эксперты, подобно членам Cabal, больше беспокоятся о кибервойне, нежели преступной деятельности в Интернет. Conficker пугал не из-за своего потенциала совершить кражу, а потому, что мог запустить атаку на компьютерные сети.

«Эпидемический стиль распространения Conficker дал нам чёткое представление о том, как может выглядеть полномасштабная кибератака, – сказал Поррас. – Только, к счастью, без последствий».

Мы живём в эпоху цифровой войны. В последние годы мы стали свидетелями кибершпионажа и кибератак со стороны США, Китая, Северной Кореи, Ирана и других стран. Stuxnet, вредоносная программа, созданная американскими и израильскими экспертами, временно остановила ядерную программу Ирана, саботировав центрифуги, используемые для переработки оружейного урана. Страны сегодня засевают критическую инфраструктуру других государств вредоносной логикой, предназначенной для уничтожения, а цифровые инструменты, такие как EternalBlue, вредоносное ПО, украденное у АНБ, теперь находятся в арсенале каждой крупной страны.

Когда возникнет следующая угроза, мы больше не будем зависеть, как в случае с Conficker, от специальной группы частных экспертов. У Соединённых Штатов есть команда по кибербезопасности в Пентагоне, а также агрессивные усилия Министерства внутренней безопасности и спецслужб, направленные на противодействие и запуск цифровых атак.

Интернет, рождённый мечтой о всеобщей связи и готовом доступе к знаниям веков, преуспел как в лучшую, так и в худшую сторону. Он помогает людям общаться, но он также стал местом для воровства, ненависти, лжи, невежества и подрывной деятельности.

В последнее время он призывает к разрушению. Урок Conficker заключается в том, что для нанесения сокрушительных ударов по промышленности и даже национальным государствам больше не требуется мощный военно-промышленный комплекс и дорогостоящие арсеналы самолётов, кораблей, бомб и ракет. Бедные тоже могут играть. Всё, что нужно – это ноу-хау и клавиатура.

Специально для читателей моего блога Muz4in.Net

Copyright Muz4in.Net © - Данная новость принадлежит Muz4in.Net, и являются интеллектуальной собственностью блога, охраняется законом об авторском праве и не может быть использована где-либо без активной ссылки на источник. Подробнее читать - "об Авторстве"



Вам понравилась статья? Просто перейди по рекламе после статьи. Там ты найдешь то, что ты искал, а нам бонус...


Почитать ещё:


Имя *:
Email:
Код *: