WannaCry: кейс використання зброї NSA та головні уроки кібербезпеки

Починаємо опис з тихої сцени: у готельному номері в китайському Даляні сидів програміст на ім’я Парк. Протягом п’яти днів він перебував у стані глибокої зосередженості, працюючи над проєктом, який у його колах називали «створенням монстра». Його команда мала набір складної кіберзброї, викраденої з Агентства національної безпеки (NSA) США, але не могла її запустити. Вирішальний момент настав, коли Парк знайшов в інтернеті зворотно інженерний код потужного експлойту EternalBlue. Ця знахідка дала змогу з’єднати частини пазла. Кілька годин напруженої роботи, і «монстр» був майже готовий, але Парку не дали часу на фінальні доопрацювання. Наказ про випуск надійшов негайно. 12 травня 2017 року в мережу вирвався вірус WannaCry, що став однією з найсмертоносніших кібератак у світовій історії, паралізувавши комп’ютери в школах, лікарнях та офісах по всьому світу.

У відео, опублікованому на YouTube-каналі Cybernews, йшлося про цей масштабний інцидент, його передумови та наслідки. Ми підготували детальний виклад найважливішої інформації, розібравши цей кейс з погляду кібербезпеки та геополітики, аби зрозуміти, як ланцюжок дивних подій призвів до глобальної кіберкатастрофи.

Еволюція загроз: від підробок до цифрового фінансування

Коріння WannaCry лежать у геополітичній ізоляції Північної Кореї. Після розпаду СРСР та економічного відкриття Китаю у 1990-х роках, Пхеньян опинився у глибокій ізоляції. Цей стан і постійні економічні труднощі змусили державу фінансувати своє існування через тіньову діяльність. Спочатку це були підробки фізичних товарів та фальшива валюта США. Однак, із поширенням цифрового світу, КНДР почала переводити свою кримінальну активність на новий рівень.

Першим полігоном для тренувань стала Південна Корея. Між 2009 та 2013 роками північнокорейські хакери здійснювали атаки типу «відмова в обслуговуванні» (DDoS). Кульмінацією стала скоординована цифрова атака «Dark Seoul» у березні 2013 року, коли за допомогою дропер-трояна було інфіковано тридцять дві тисячі машин, включаючи великі банки та телевізійні станції у столиці. Це чітко засвідчило, що хакери КНДР перетворилися на витончених та смертоносних операторів.

Наступним кроком стала атака на Sony Pictures у 2014 році, спровокована виходом комедії, яка висміювала Кім Чен Ина. Використовуючи spear phishing (цільовий фішинг), хакери викрали та оприлюднили конфіденційні дані про персонал, не випущені фільми та приватне листування. Країна з украй обмеженим інтернет-доступом показала, що може завдати удару по американській пропагандистській машині.

Після демонстрації сили хакери КНДР перейшли до прагматичного хакінгу з фінансовою метою. У 2015 році почалися атаки на банківський сектор у В’єтнамі, Польщі, Мексиці та Уругваї. Найбільшим фінансовим злочином стала спроба «Bangladesh Heist» 2016 року, коли після майже річного прихованого перебування в системі банку хакери скомпрометували механізм SWIFT і спробували вкрасти мільярд доларів, успішно вивівши при цьому близько ста мільйонів. До 2017 року стало зрозуміло, що Північна Корея сформувала дисципліновану та небезпечно ефективну кібервійськову машину.

Підписуйтеся на наші соцмережі

Фатальний ланцюжок: роль NSA та каталізатор атаки

У квітні 2017 року напруга навколо КНДР зростала. Саме в цей час на сцені з’явилася таємнича хакерська група Shadow Brokers. Вони опублікували в мережі цілі кеші експлойтів, які були вкрадені безпосередньо в Агентства національної безпеки США. Серед цих інструментів був і EternalBlue.

Критика в бік NSA полягала в тому, що Агентство знало про цю вразливість Windows із 2012 року. Замість того, щоб повідомити Microsoft для випуску патча та захисту мільйонів користувачів, NSA вирішило розробити власний інструмент для експлуатації цієї діри. Microsoft випустила патч лише у 2017 році, вже після того, як інструменти були вкрадені, але для більшості користувачів, які не оновлюють системи, це виявилося запізно.

Несподіваним каталізатором у цьому ланцюжку подій стала кібербезпекова фірма RiskSense. За три дні до атаки, співробітник фірми опублікував на GitHub зворотно інженерний код EternalBlue — детальний розбір, як працює експлойт. Саме цей код, знайдений північнокорейськими операторами, надав їм необхідні знання для інтеграції інструменту NSA у власне шкідливе програмне забезпечення. Хакери об’єднали EternalBlue (як інструмент проникнення) з DoublePulsar (як прихований бекдор), створивши саморозповсюджуваний вірус-вимагач.

Анатомія черва: EternalBlue, DoublePulsar та глобальний параліч

WannaCry, попри свою катастрофічну ефективність, не був технічно найпросунутішим ренсомваром. Його справжня потужність полягала у способі інфікування та поширення, який цілком забезпечили інструменти, розроблені американською розвідкою.

EternalBlue дозволяв віддалено виконувати довільний код на машинах Windows, які не були оновлені, використовуючи протокол SMBv1 (протокол, який комп'ютери використовують для спільного доступу до файлів). Це був пролом у захисті. Після успішного проникнення, в системі інсталювався DoublePulsar. По суті, він був бекдором — таємним тунелем, що підтримував доступ до системи, залишаючись непомітним. Через цей тунель можна було «провезти» інші шкідливі програми.

Після встановлення EternalBlue та DoublePulsar WannaCry розгортав своє корисне навантаження. Він використовував прості алгоритми шифрування, які перетворювали всі файли на «абракадабру» з розширенням .wncry. Перед тим, як вивести на екран червоне повідомлення з вимогою викупу (триста доларів у біткоїнах), вірус видаляв тіньові копії файлів, максимально ускладнюючи їхнє відновлення.

WannaCry був саморозповсюджуваним шкідливим ПЗ. Його не потрібно було розсилати фішинговими листами чи вимагати взаємодії з користувачем. Завдяки EternalBlue інфікована машина самостійно сканувала локальні та зовнішні мережі на пошук неоновлених систем, поширюючись зі Східної Азії до Європи за лічені години.

У Великій Британії атака призвела до колапсу Національної служби охорони здоров’я (NHS) — було уражено до третини її інфраструктури. Лікарі були змушені скасовувати операції та прийоми, повертаючись до використання паперових карток пацієнтів та білих дошок для координації роботи. Складнощі виникли навіть із переведенням критичних пацієнтів у спеціалізовані центри через порушення регіональних мереж.

Іронія завершення: Kill Switch та ідентифікація виконавців

Атака WannaCry була зупинена не через дії урядів, а завдяки випадковості та пильності. Британський дослідник Маркус Гатчкінс помітив, що черв намагається підключитися до певного незареєстрованого домену перед тим, як розгортати своє корисне навантаження. Маркус зареєстрував цей домен, і виявилося, що це був Kill Switch. Вірус був розроблений так, щоб самостійно відключатися, якщо відчував підключення до цього домену, припускаючи, що він перебуває у віртуальному середовищі (пісочниці) для дослідження. Через помилку розробників домен був статичним для всіх інфекцій, і його реєстрація змусила вірус припинити своє поширення по всьому світу.

Після того, як руйнування припинилося, розпочалося розслідування. З’ясувалося, що WannaCry, який уразив двісті тисяч комп'ютерів у ста п'ятдесяти країнах, зібрав менше двохсот тисяч доларів викупу. Платіжний механізм був неефективним, не маючи автоматичної системи видачі ключів, що нетипово для фінансово мотивованого ренсомвару. Це посилило теорію, що в мережу випадково потрапила незавершена або тестова версія програми.

Спільне розслідування американських та британських спецслужб виявило спільну кодову базу WannaCry з попередніми атаками на Sony та Bangladesh Heist. На основі повторного використання IP-адрес, електронних скриньок та однакового середовища розробки було встановлено, що за всіма цими інцидентами стоїть Lazarus Group — підрозділ кібервійни КНДР.

Зрештою, слідство привело до ідентифікації виконавця. Завдяки скомпрометованому обліковому запису, який був пов’язаний із північнокорейською підставною компанією Chosen Expo Group, вдалося знайти резюме однієї з ключових осіб. Цим програмістом виявився Пак Джин Хьок.

WannaCry, попри публічні заяви США про те, що атака була націлена на створення хаосу, став прикладом того, як недбалість розвідувальних служб, що накопичували вкрадені експлойти, і випадкова знахідка стороннього розробника, помножені на дії північнокорейських хакерів, можуть створити глобальну загрозу. Це був важливий прикладний кейс, що довів: безпека в кіберпросторі є спільною відповідальністю, і приховування вразливостей створює загрозу для всіх.

Глосарій ключових понять

Цей матеріал підготовлений на основі інформації з відкритих джерел. Редакція самостійно відбирає ключові факти, аналізує їх та структурує за допомогою AI-інструментів.