Об исследовании вредоносного ПО WannaCry (WannaCrypt, WCry и WanaCrypt0r 2.0)
На текущий момент в открытых источниках опубликовано достаточное количество информации о логике и технических особенностях функционирования зловредного ПО WannaCry. Вместе с тем достоверной информации о том, какая организация (страна, хакерская группировка) стоит за масштабным распространением этой программы-вымогателя нет.
Основываясь на хронологии происходящих событий можно сделать следующие выводы: впервые информация об обнаружении вредоносного ПО была опубликована 10 февраля 2017 года ( https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-february-10th-2017-serpent-spora-id-ransomware/ ) и не произвела большого впечатления на специалистов. Это объяснится тем, что на тот момент не был реализован сценарий массового заражения пользователей.
Вторым этапом развития событий стал отрезок времени, включающий в себя 10 и 11 мая 2017г. Именно тогда, по данным Лаборатории Касперского (https://securelist.com/blog/research/78411/wannacry-faq-what-you-need-to-know-today/) был отмечен взрывной рост трафика, проходящего через порт TCP 445.
Здесь необходимо уточнить, что новая версия шифровальщика отличается от раннего варианта использованием эксплоита ETERNALBLUE, который в свою очередь стал доступен после опубликования хакерской группировкой The Shadow Brokers части похищенных файлов и данных группировки Equation Group. Среди выложенных в открытый доступ 8 апреля 2017 года файлов находились скрипты для установки и настройки серверов управления вредоносным ПО, а также инструменты для атаки на отдельные сетевые маршрутизаторы и экраны, в том числе и EternalBlue tool.
Таким образом в течение 2 месяцев, разделивших выход первой версии зловредного ПО и его обновления, автор шифровальщика, по всей видимости, дополнил его инструментарием, опубликованным The Shadow Brokers, который реализовал сценарий массового заражения, при этом роль пользователей атакованного оборудования оставалась минимальной, что обеспечило столь широкий масштаб распространения WannaCry.
Часть источников обвиняет в распространившейся угрозе непосредственно группировку The Shadow Brokers. Однако анализ ситуации показывает лишь ее опосредованную связь с происходящими событиями. Группировка получила доступ к инструментарию Equation Group в августе 2016 года, и пыталась продать полученные данные за 1 млн. биткоинтов. Таким образом доступ к EternalBlue tool, эксплуатирующему уязвимости SMBv1 и SMBv2, The Shadow Brokers имели изначально и выпуск ими шифровальщика, без возможности массового распространения, является нелогичным.
Также среди российских СМИ получила популярность версия причастности спецслужб США (в частности АНБ) к распространению вредоносного ПО. В действительности многие источники указывают на связь Equation Group, атакованную ранее The Shadow Brokers, с АНБ США. В частности, о такой связи говорит список похищенного ПО, среди которого можно встретить, ранее указанное в отчетах WikiLeaks и в данных, распространённых Эдвардом Сноуденом, как инструменты АНБ США.
Вместе с тем версия непосредственного участия спецслужб США в распространении угрозы, основной целью которой является обогащение криптовалютой, также, как и активно обсуждаемый в западных СМИ «российский след», выглядит нелогичной и политически ангажированной.
Интересным выглядит тот факт, что автор WannaCry стал не единственным, кто пытается использовать уязвимости протокола SMBv2 при помощи эксплоита ETERNALBLUE. Ещё 21 апреля 2017 года автор шифровальщика AES-NI, известный с конца 2016 года, опубликовал в социальных сетях информацию об успешном использовании данного эксплоита в своём зловредном ПО. Однако большого распространения данная угроза не получила.
Вообще публикация в открытом доступе данных, похищенных у Equation Group, вызвала ожидаемый рост хакерской активности. Всего через неделю после публикации данных, специалисты компании Binary Edge обнаружили около 30000 инфицированных DOUBLEPULSAR Windows-машин. Инструмент DOUBLEPULSAR — «многовариативный RING-0 kernel mode пейлоад». Говоря более простым языком – это загрузчик зловредного ПО , задача которого: доставить на целевую машину более серьезный арсенал.
По данным на 19 мая количество зараженных шифровальщиком WannaCry машин превышает 300000 ед. В сети появляются описание различных подробностей работы ПО, в том числе и его огрехи. Так из-за допущенных при разработке ошибках создатели вредоноса могут использовать только 3 биткоин-кошелька – результат состояния гонки (race condition), которое не дает шифровальщику генерировать уникальный биткоин-адрес для каждой отдельной жертвы. Из-за этого вымогатель оперирует только тремя известными специалистам кошельками и не имеет возможности проследить платежи, поступившие от конкретных пользователей. Скорее всего, именно этим объясняется тот факт, что пока никто не сообщал о пользователях, которые благополучно расшифровали бы свои файлы после выплаты выкупа.
Корейский след
На текущий момент нет достоверной информации о происхождении вредоносного ПО. Однако существуют косвенные доказательства, указывающие на причастность КНДР к данной широкомасштабной атаке.
Специалисты компании Symantec и «Лаборатории Касперского» представили первые данные ( https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/ ) о выводах, сделанных после детального анализа шифровальщика. По утверждению специалистов отдельные части кода ПО Wana Decrypt0r имеют сходство с другим зловредным ПО, использованным известной хакерской группой Lazarus.
«Мы полагаем, что здесь может содержаться ключ к разрешению загадки, которая окружает эти атаки. Одно ясно точно – Нил Мехта обнаружил важнейшую на данный момент улику относительно происхождения WannaCry», — пишет специалист «Лаборатории Касперского» Мэтью Сюиш (Matthieu Suich).
Также о причастности хакерской группы Lazarus, говорит и тот факт, что первая версия ПО вымогателя, в основном была обнаружена в системах, которые ранее были скомпрометированы другими инструментами Lazarus.
За последние два года следы зловредного ПО Lazarus были обнаружены в 18 странах. Жертвами атак стали финансовые организации, казино, компании, специализирующиеся на разработке ПО для инвестиционных фирм, и представители криптовалютного бизнеса. Последний всплеск активности Lazarus датируется мартом 2017 года.
Впрочем, непосредственных доказательств, связывающих Lazarus с КНДР нет. В большинстве случаев атакующие были осторожны и тщательно уничтожают все следы проникновения в систему. Однако на одном из взломанных серверов, который Lazarus использовала в качестве командного центра, был найден важный артефакт. Первые подключения к серверу осуществлялись через VPN и прокси, и отследить их местонахождение было практически невозможно. Однако исследователи обнаружили один запрос с редкого IP-адреса в Северной Корее. Исследователи полагают, что атакующие действительно могли подключаться к серверу с этого адреса, но скорее это был «ложный флаг» или случайность.
Еще одним косвенным фактом, указывающим на связь группировки Lazarus с КНДР, являются события 2014 года, когда основными жертвами злоумышленником стали финансовые учреждения Сеула и вооруженные силы Южной Кореи, а также кинокомпания Sony Pictures Entertainment, готовившая в тот момент к выходу в прокат комедийный боевик «Интервью», высмеивающий образ лидера КНДР Ким Чен Ына.
Впрочем, прямых подтверждений того, что именно хакеры Lazarus распространяли WannaCry, у специалистов всё же нет.