Аукцион кибероружия

13 августа 2016 года в Twitter появилось несколько загадочных постов, опубликованных от имени только что созданного аккаунта The Shadow Brokers. В публикациях были отмечены профили известных медиа: The New York Times, Reuters, The Guardian, Wired и прочих — видимо, чтобы привлечь внимание общественности. Посты содержали странную фразу Equation Group («Аукцион кибероружия») и ссылки на ресурс Pastebin, где можно размещать текст и программный код для публичного просмотра.

В Pastebin открывался документ со ссылками и сообщением. «Внимание, правительственные спонсоры кибервойны и те, кто на ней наживается! Сколько вы платите за кибероружие врагов? — написали хакеры. — Мы бесплатно предоставляем вам некоторые файлы Equation Group. Это хорошее доказательство, не так ли? Наслаждайтесь!»

Это можно было бы принять за чье-то баловство, если бы не было известно, что Equation Group — это группа хакеров, управляемая Агентством национальной безопасности США (АНБ), то есть, по сути, государственные взломщики американского правительства.

Более того, в опубликованном документе были ссылки на файлы, которые, как выяснилось позднее, действительно оказались вредоносным ПО и хакерскими инструментами для взломов. Как заявила группировка The Shadow Brokers, публикацией этих инструментов они хотели доказать, что в их распоряжении на самом деле находятся секретные файлы Equation Group.

Офисное здание АНБ в штате Мэриленд, США

Помимо выложенных в публичный доступ хакерских инструментов, в документе на Pastebin также содержался зашифрованный архив, в котором, как утверждали The Shadow Brokers, было еще больше секретных файлов и данных. Чтобы его получить, нужно было выиграть в аукционе, отправив наибольшую сумму среди всех участников на биткоин-кошелек. Также загадочные хакеры пообещали опубликовать этот архив для всех, если общая сумма взносов на их импровизированном аукционе достигнет миллиона биткоинов — по тем временам это примерно $568 млн.

Утечка, естественно, быстро привлекла внимание прессы, и об этом заговорили всерьез. Специалисты по кибербезопасности принялись изучать слитые файлы и пришли к выводу, что это исключительно сложное кибероружие, весьма вероятно, украденное у АНБ. Подозрение подкреплялось тем фактом, что некоторые из них имели названия программ, ранее раскрытых известным информатором.

Но все это было лишь началом.

«Самая разрушительная утечка»

В течение следующих месяцев хакерская группировка продолжила сливать секретные данные. Например, в октябре 2016 года они опубликовали список серверов, которые, по их словам, взламывали сотрудники АНБ. Судя по утечке, правительственные хакеры атаковали устройства в 49 странах, но чаще всего взламывали сервера, расположенные в Китае, Японии и Корее.

Однако аукцион пошел не по плану: The Shadow Brokers не смогли собрать миллион биткоинов, как планировали. Поэтому в январе 2017 года хакеры свернули торги, опубликовали 58 инструментов для взлома компьютеров на Windows и предложили желающим приобрести полную базу хакерского оружия за 750 биткоинов (≈$591 000).

Еще одно публичное явление миру состоялось в апреле 2017-го. Хакеры опубликовали на сайте Medium текст, в котором рассказали, как разочаровались в политике президента Трампа, хотя ранее поддерживали его. «В качестве протеста» они раскрыли пароль к тому самому архиву с эксплойтами (ПО, которое использует уязвимости для атак). Пароль, к слову, выглядел как CrDj"(;Va.*NdlnzB9M?@K2)#>deB7mN, и он действительно расшифровывал базу данных, в которой было немного сенсационного.

Файлы из архива с эксплойтами

Однако менее чем через неделю The Shadow Brokers сбросили в сеть настоящую кибербомбу. Хакеры опубликовали очередной архив, в котором были мощные эксплойты и инструменты для атак на компьютеры Windows, а также доказательства того, что АНБ взламывало банки других стран.

Независимые эксперты по кибербезопасности изучили содержимое и заявили, что это самый разрушительный слив The Shadow Brokers.

Скриншот одного из эксплойтов

«Это, безусловно, самая мощная подборка эксплойтов из всех, что когда-либо публиковались в открытом доступе. Фактически архив предоставляет кибероружие в руки любого, кто его скачает. Ряд этих инструментов, по-видимому, представляет собой эксплойты нулевого дня, для которых нет исправлений и которые могут использоваться полностью удаленно через сеть», — объяснял изданию Ars Technica значимость утечки эксперт по безопасности Мэтью Хики.

Также журналисты обратили внимание на странный момент: Microsoft заявила, что многие уязвимости уже были закрыты исправлением, которое вышло за месяц до масштабной публикации The Shadow Brokers. Однако компания не объяснила, как она узнала об угрозе за месяц до слива хакеров. Издание Ars Technica отметило, что сокрытие источника информации может указывать на то, что АНБ уведомило Microsoft о предстоящей публикации эксплойтов.

Кибероружие в действии

Среди опубликованных хакерских инструментов был эксплойт EternalBlue, который позволял взламывать сети с компьютерами на Windows, а также инструмент для создания бэкдоров DoublePulsar. И, конечно, публикация такого мощного кибероружия не могла остаться без последствий.

12 мая 2017 года, спустя месяц после главной публикации The Shadow Brokers, начал распространяться опаснейший вирус WannaCry, заставивший плакать людей по всему миру. На атакованные компьютеры устанавливалась программа-вымогатель, которая зашифровывала все данные на жестком диске и просила выкуп. Хакеры требовали заплатить $300 и установили дедлайн в три дня, а по истечении этого периода сумма увеличивалась вдвое. По условиям злоумышленников, если так и не отправить деньги в течение семи дней, файлы на компьютере останутся зашифрованными навсегда.

Так выглядел экран компьютера, зараженного вирусом WannaCry

В основе WannaCry были вышеупомянутые инструменты EternalBlue и DoublePulsar. Microsoft еще до публикации The Shadow Brokers залатала дыры в системах, позволяющие хакерам атаковать с помощью этого оружия компьютеры на Windows, однако многие попросту не установили выпущенное обновление.

Вирус быстро распространился по всей планете, от чего пострадали не только простые пользователи, но и многие важные ведомства. Например, атаке подверглось множество больниц в Великобритании, что ставило в опасность жизни пациентов, а в Испании WannaCry парализовал работу крупного телекоммуникационного оператора Telefonica, газовой компании Gas Natural и электроэнергетического предприятия Iberdrola. Кибероружие, предположительно, разработанное спецслужбами США, было применено.

«Масштаб проблемы огромен. Никогда раньше я не видел ничего подобного. Это просто безумие», — комментировал для Wired глобальную атаку эксперт по кибербезопасности Адам Куява.

Нерабочее табло с расписанием после атаки WannaCry на вокзале в Франкфурте-на-Майне, Германия

Вирусом успели заразиться как минимум 300 тыс. компьютеров в 150 странах, а ущерб составил от сотен миллионов долларов до $4 млрд. При этом сами авторы WannaCry заработали не так уж и много — «всего» 52 биткоина, что по тем временам был эквивалентно примерно $130 тыс.

К счастью, у вируса был существенный недостаток, обнаруженный кибербезопасником Маркус Хатчинс, что позволило остановить атаку. К слову, история жизни этого парня не менее интересна, и мы рассказывали ее в отдельном материале.

В итоге власти США обвинили в атаке хакеров из Северной Кореи, а эксперты по безопасности подтвердили, что WannaCry был создан с использованием украденного кибероружия, разработанного АНБ и слитого группировкой The Shadow Brokers.

В том же 2017 году после WannaCry случилось еще несколько масштабных кибератак. Вирусы-вымогатели Petya и NotPetya нанесли общий ущерб, оцениваемый в $10 млрд. А еще позднее прогремела атака под названием Bad Rabbit. Все эти зловреды, как утверждают источники, также были основаны на слитых хакерских инструментах АНБ.

Кто же такие The Shadow Brokers?

Вскоре после первого явления миру The Shadow Brokers ФБР задержала Гарольда Томаса Мартина, сотрудника компании — подрядчика АНБ. В ходе обыска в его доме агенты обнаружили около 50 ТБ материалов, бо́льшая часть которых была помечена как «совершенно секретная». Среди найденного у мужчины было ПО, которое он украл, работая в одном из хакерских подразделений АНБ. Издание The New York Times назвало это одной из крупнейших краж секретных документов в истории.

52-летнему на тот момент Гарольду Мартину предъявили 20 уголовных обвинений, по каждому из которых было предусмотрено максимальное наказание в виде 10 лет лишения свободы. В 2019 году бывший подрядчик АНБ признал себя виновным в умышленном сокрытии информации, касающейся национальной обороны США, после чего Мартина приговорили к 9 годам тюремного заключения.

Несмотря на удивительное совпадение, нет никаких доказательств того, что Гарольд Томас Мартин был как-то причастен к The Shadow Brokers. В обвинениях, предъявленных мужчине, группировка ни разу не упоминается. Хакеры сделали несколько сливов, включая самый масштабный, уже когда Гарольд находился под стражей.

По сообщениям прессы, Мартин страдал неким психическим расстройством, из-за которого он стремился повысить чувство собственной значимости и, как выражался его адвокат, «отчаянно пытался заполнить пустоту в своей жизни», вынося из АНБ секретные материалы.

Кто же стоял за одной из самых масштабных утечек хакерских инструментов американской разведки за всю историю? Этого так никто и не знает. Расследования властей и прессы не выявили никаких конкретных имен, а различные предположения так и остались в области спекуляций.

The Shadow Brokers больше не делали никаких заявлений или сливов, они остаются одной из самых загадочных хакерских группировок в истории. Возможно, когда-то тайное все-таки станет явным, и мы обязательно об этом расскажем.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ng@onliner.by