Почти три недели Балтимор борется с кибератакой цифровых вымогателей, которая заблокировала тысячи компьютеров, не даёт пользоваться электронной почтой и нарушила проведение сделок с недвижимостью, выставление счетов за воду, работу систем оповещения и других услуг. Но вот чего не знают расстроенные работники городских служб и местные жители: ключевой компонент зловредного программного обеспечения, которое киберпреступники используют при атаке, был разработан на деньги налогоплательщиков в Агентстве национальной безопасности, находящемся в нескольких минутах езды по шоссе Балтимор – Вашингтон.

С 2017 года, когда АНБ потеряло контроль над программой, она попала в руки работающих на государство хакеров из Северной Кореи, России и совсем недавно Китая, и они протоптали тропу разрушений, оставляя за собой ущерб на миллиарды долларов. Однако, год назад кибероружие вернулось как бумеранг и сегодня объявилось в собственном дворе АНБ. Это происходит не только в Балтиморе. Эксперты по безопасности говорят, что атаки «Итернал блю» достигли своего пика и киберпреступники нацеливаются на уязвимые американские города от Пенсильвании до Техаса, парализуя местное правительство и увеличивая расходы.

Ранее о связи АНБ с атаками на американские города не сообщалось отчасти потому, что управление отказывалось обсуждать или просто признавать утрату кибероружия, слитого из сети в апреле 2017 пока так и установленной группой, называющей себя «Теневыми брокерами». Несколько лет спустя АНБ и ФБР так и не знают кто они: иностранные шпионы или недовольные инсайдеры.

Томас Рид, эксперт в области кибербезопасности университета Джона Хопкинса, назвал случай с «Теневыми брокерами» «самым мощным и дорогим провалом АНБ в истории», нанёсшим больший ущерб чем хорошо известная утечка данных 2013, произошедшая благодаря Эдварду Сноудену, бывшему сотруднику ЦРУ.

«Правительство отказалось принять на себя ответственность и просто ответить на самые простые вопросы, – сказал Рид. – Надзор Конгресса, по всей видимости, не справляется. Американцы заслуживают ответа».

АНБ и ФБР отказались дать комментарии.

С момента утечки иностранные разведки и преступники использовали «Итернал блю» для распространения вредоносного ПО, которое парализовало работу больниц, аэропортов, железных дорог и пароходств, банкоматов и заводов, производящих критически необходимые вакцины. Сегодня программа бьёт в США по самым уязвимым местам, по органам местного управления, чья цифровая инфраструктура устаревает и не хватает ресурсов для собственной защиты.

До утечки «Итернал блю» была одной из самых полезных программ для взлома в арсенале АНБ. Согласно данным трёх бывших операторов АНБ, рассказавших об этом на условиях анонимности, аналитики потратили почти год в поисках уязвимости продуктов «Майкрософт» и на создание кода, использующего эту уязвимость. Изначально код называли «Итернал блюскрин» («Вечный голубой экран»), потому что он часто приводил к сбою компьютера (на котором возникал так называемый голубой экран смерти), и это могло насторожить жертвы. Но со временем код стал надёжной программой, которую использовали в бесчисленных операциях по сбору информации и антитеррористических операциях.

«Итернал блю», по словам бывших сотрудников АНБ, была настолько ценной, что управление никогда всерьёз не задумывалось о передаче информации об уязвимости в «Майкрософт» и пользовались программой более пяти лет, пока не случилась утечка.

Балтиморская атака, произошедшая 7 мая, была классическим вымогательством. Экраны сотрудников городской администрации внезапно были заблокированы, и сообщение, написанное на корявом английском, потребовало примерно 100 000 долларов в биткойнах за разблокировку их файлов. «Мы наблюдаем за вами несколько дней, – говорилось в сообщении, полученном газетой «Балтимор сан». – Мы больше не будем разговаривать, всё что мы знаем, это ДЕНЬГИ! Торопитесь!»

Сегодня Балтимор остаётся парализованным, поскольку городские власти отказались платить, несмотря на то, что обходные решения частично позволили восстановить работу. Без «Итернал блю» ущерб не был бы таким массивным, говорят эксперты. Программа использует уязвимость, не закрытую обновлением, что позволяет хакерам распространять их вредоносный код быстрее и дальше чем без «Итернал блю».

Северная Корея была первой страной, применившей эту программу при атаке «Вонна край» в 2017 году, парализовавшей британскую систему здравоохранения, немецкие железные дороги и около 200 000 организация по всему миру. Следующей была Россия, которая использовала оружие в атаке под названием «Не Петя», нацеленной на Украину, но ударившей по крупным компаниям, ведущим деятельность в стране. Нападение обошлось «Федекс» в более чем 400 миллионов долларов, а «Мерк», фармацевтическому гиганту, в 670 миллионов.

Ущерб на этом не прекратился. В прошлом году те же российские хакеры, которые атаковали американские выборы президента в 2016 году, использовали «Итернал блю» для взлома гостиничных беспроводных сетей. Иранские хакеры распространяли с его помощью программы-вымогатели и взламывали сети авиакомпаний на Среднем Востоке, согласно данным компаний «Саймантек» и «Файер ай»

«Невероятно, что программа, которую использовали спецслужбы, теперь свободно доступна и её широко используют», – сказал Викрам Тхакур, директор отдела безопасности «Саймантек».

За месяц до того, как «Теневые брокеры» начали сливать хакерские программы АНБ в сеть в 2017 году, управление, знавшее о взломе, обратилось в «Майкрософт» и другие технологические компании с информацией об имеющихся уязвимостях. «Майкрософт» выпустила исправление, но сотни тысяч компьютеров по всему миру остаются незащищёнными.

Хакеры, похоже, нашли слабые места в Балтиморе, Аллентауне, штат Пенсильвания, Сан-Антонио и других городских управлениях Америки, где госслужащие обслуживают запутанные сети, в которых используется устаревшее программное обеспечение. В июле прошлого года министерство национальной безопасности выступило с предостережением, что правительства городов и штатов подверглись удару разрушительного зловредного ПО, которое, говорят эксперты в области безопасности, начало распространяться при помощи «Итернал блю».

«Майкрософт», отслеживающая использование «Итернал блю», не стала называть города, подвергшиеся атаке, ссылаясь на защиту данных клиентов. Но другие эксперты, получившие информацию о нападениях в Балтиморе, Аллентауне и Сан-Антонио, подтвердили, что хакеры использовали «Итернал блю». Безопасники говорят, что видят всплывающие окна «Итернал блю» при атаках почти каждый день.

Амит Серпер, начальник исследовательского отдела фирмы «Киберизон» сказал, что его организация отражала атаки «Итернал блю» в трёх американских университетах и обнаружила уязвимые сервера в таких крупных городах как Даллас, Лос-Анджелес и Нью-Йорк.

Расходы могут быть неподъёмными для местных органов управления. Атака на Аллентаун в феврале прошлого года, нарушила работу городских служб на несколько недель, восстановление обошлось примерно в один миллион долларов плюс 420 000 в год на новые средства защиты, сказал Метью Лейберт, начальник городского управления информационных технологий. Он назвал набор опасных компьютерных программ, использовавшихся при нападении на Аллентаун «стандартным вредоносным ПО», продаваемым в дарквебе и используемым преступниками, у которых нет определённых объектов нападения. «За рубежом толпы детишек рассылают фишинговые сообщения», – сказал Лейберт, проводя параллели с бандитами, пускающими боевые ракеты по случайным целям.

Зловредное ПО, которое напало в сентябре прошлого года на Сан-Антонио, заразило компьютер в кабинете шерифа округа Бексар и пыталось распространиться по сети с помощью «Итернал блю». На прошлой неделе исследователи фирмы «Пало Альто нетворкс» обнаружили, что китайская государственная группа, «Эмиссери панда», взломала правительства государств на Среднем Востоке, используя «Итернал блю».

«Нельзя надеяться на то, что когда первая волна атак закончится, они прекратятся, – сказала Джен Миллер-Осборн, заместитель директора отдела расследования угроз в «Пало Альто Нетворкс». – Мы ожидаем, что «Итернал блю» будет использоваться практически вечно, потому что, если атакующие находят систему, которая не защищена, ПО сработает стопроцентно».

Примерно десять лет назад самое сильное кибервооружение принадлежало практически эксклюзивно разведслужбам. Сотрудники АНБ использовали сокращение «НОБУС», по первым буквам английского выражения «Никто, кроме нас», для уязвимостей, использовать которые могло только агентство. Но это преимущество было в значительной степени утрачено не только из-за утечки, но и потому, что кто угодно мог получить код кибероружия, как только оно было использовано вне агентства.

Некоторые представители АНБ и УНБ в частных разговорах говорили, что УНБ необходимо усилить ответственность. Бывший сотрудник ФБР сравнил ситуацию с правительством, у которого стоит нараспашку склад с автоматическим оружием.

В мартовском интервью адмирал Майкл С. Роджерс, бывший директором УНБ на момент кражи ПО «Теневыми брокерами», сообщил в непривычно откровенных выражениях, что управление не стоит обвинять в крупном ущербе.

«Если «Тойота» делает пикапы, и кто-то берёт пикап, приваривает впереди взрывное устройство, прорывается через ограду или в толпу людей, разве «Тойота» должна отвечать?» – спросил он. – «УНБ написало программу-взломщик, которая не предназначалась для того, что случилось».

В штаб-квартире «Майкрософт» в Редмонде, штат Вашингтон, где тысячи инженеров-безопасников оказались на передовой борьбы с этими атаками, руководители не согласны с этой аналогией.

«Я полностью не согласен, – сказал Том Бёрт, вице-президент по вопросам доверия потребителей, настаивая на том, кто кибероружие нельзя сравнивать с пикапами. – Эти взломщики разработаны и держатся в тайне правительствами только с исключительной целью использования их в качестве оружия или средств шпионажа. Они опасны по своей природе. Если кто-то берёт это в руки, он не привязывает к этому бомбу. Это уже бомба».

Брэд Смит, президент «Майкрософт» призвал к принятию «Цифровой Женевской конвенции» в целях управления киберпространством, включая обязательство правительств сообщать об уязвимостях поставщикам ПО, а не скрывать их для использования при шпионаже или атаках.

В прошлом году «Майкрософт» вместе с «Гуглом» и «Фейсбуком» присоединились к 50 странам при подписании подобного воззвания французского президента Эммануэля Макрона, «Парижского воззвания к доверию и безопасности в киберпространстве», с целью прекращения «зловредной киберактивности в мирное время». Примечательно, что от подписания воздержались самые агрессивные кибердеятели в мире: Китай, Иран, Израиль, Северная Корея, Россия и… США.

0

0