hamburger
Связаться с нами
EN

Уроки истории: величайший взлом века

Кто создает самое мощное на планете кибероружие? Только ли это дело рук хакеров или правительственный заказ? В 2016 году загадочная группа Shadow Brokers совершила величайший взлом в истории

Оглавление


Кибервойны: миф или реальность

Кто создает самое мощное на планете кибероружие? Только ли это дело рук хакеров или правительственный заказ? В 2016 году загадочная группа Shadow Brokers совершила величайший взлом в истории — они украли секретные файлы у Агентства национальной безопасности США (АНБ, NSA), а затем выложили их в сеть. Один из этих эксплойтов — EternalBlue — стал основой атак WannaCry и NotPetya, которые нанесли ущерб в миллиарды долларов по всему миру.  

Как Shadow Brokers удалось взломать одну из самых защищённых организаций США? И почему последствия их утечки ощущаются до сих пор? Мы решили разобраться в том, как происходят кибервойны, какая тактика и стратегия у нападающих, а также как в таких условиях защищать инфраструктуру компании.

Странное сообщение на GitHub

Ночью 13 августа 2016 года в небольшом пригороде Мэриленда в США начали происходить странные вещи. Посреди засыпающего тихого города, где-то в другом измерении, в цифровом подполье разворачивалось нечто опасное и непредсказуемое.  

Около полуночи на сайте GitHub появляется сообщение от неизвестного пользователя. Оно выглядит как шутка: ломаный английский, громкие заявления, какие-то файлы. Кто-то явно пытается привлечь к себе внимание. Большинство пользователей сайта пролистывает сообщение как очередную интернет-выходку. Но в мире кибербезопасности начинается паника: «Что это? Это не может быть правдой! Подождите, эти инструменты настоящие?»  

То, что оказалось перед глазами специалистов, было не просто очередным вирусом или трояном. Это был цифровой арсенал, украденный у самого мощного киберагентства мира — АНБ. Причем не просто у АНБ, а у их самого секретного подразделения — Equation Group. Это элита из элит, где уровень секретности выше, чем в ЦРУ. Само их существование долгое время считалось слухом среди специалистов. Это они стояли за вирусом, который вывел из строя центрифуги иранской ядерной программы в 2010 году.  

И вот теперь, внезапно, кто-то выложил в интернет инструменты этого подразделения, содержащие настоящие кибербомбы: файлы уязвимостей, бэкдоры, трояны, эксплойты для маршрутизаторов Cisco и Fortinet. Некоторые настолько мощные, что с их помощью можно было получить контроль над любым компьютером в мире, не оставляя следов.  

Для обычного человека это выглядело как странная непонятная утечка. Для профессионалов — как землетрясение, взрыв, эхом прокатившийся по всему киберпространству. Это было началом истории, в которой тайны, шпионы, предательство и цифровые войны сплелись в единый клубок.

Equation Group — кто это?

В мире кибербезопасности имена вроде Fancy Bear, Lazarus Group стали почти нарицательными. За каждой из этих хакерских группировок прослеживались государственные интересы разных стран. Но Equation Group до сих пор стояла особняком. Долгое время о ней ходили только слухи, потому что их операции были настолько сложны, что, казалось, их не смогла бы осуществить ни одна известная хакерская группа в мире.  

Когда в 2015 году российская компания Kaspersky начала исследовать одну особенно хитрую и вредоносную программу, они заметили странности: код был излишне изощренным и устойчивым, с невероятным уровнем скрытности. Более того, части этого кода были замечены в других атаках в разных точках мира и на разных языках. Чтобы хоть как-то идентифицировать эту тень, специалисты из «Лаборатории Касперского» дали группе кодовое название Equation Group, потому что их вредоносные программы и эксплойты содержали сложные математические уравнения, криптографические трюки и алгоритмы, требующие недоступных для обычных хакеров ресурсов. Судя по уровню организации и оснащения, это мог быть чей-то государственный проект — такое финансирование не может себе позволить ни один частный игрок.  

Хакеры могут разрабатывать вредоносные инструменты годами. Они создают собственные файловые системы, чтобы скрывать вредоносный код в жестких дисках. Они не просто заражают компьютер, они встраиваются в саму архитектуру системы.  

Самый известный пример — сетевой червь Stuxnet. Этот вредоносный программный код был впервые обнаружен в 2010 году, его целью являлись иранские ядерные объекты. Stuxnet незаметно проникал в системы, находил нужные модели устройств управления, менял скорость вращения центрифуг и в итоге физически выводил их из строя, оставаясь невидимым для операторов.  

Эксперты по всему миру пришли к единому мнению — такое могла сделать только государственная спецслужба. Позже выяснилось, что за атакой стояла Equation Group — та самая тень АНБ.

Шпионские разработки Equation Group

Арсенал АНБ — как у героев фантастического фильма. Вот лишь пара инструментов, созданных Equation Group.  

Аппаратный имплант Cottonmouth встраивается в устройства, замаскированные под обычную USB-флешку. Он может пересылать данные по радиоканалу, подгружать программы для эксплойтов в ПК, перехватывать всё от нажатия клавиш или движения мыши через USB-порт. 

Dropoutjeep — обычный бэкдор, позволяющий превратить Apple iPhone в шпионское устройство, получает доступ к микрофону, камере, SMS и контактам — всё это без ведома владельца.  

Ragemaster — аппаратное устройство, подключаемое к VGA-разъему монитора. Оно перехватывает изображение с экрана и передает его по радиоканалу, создавая на расстоянии полноценную копию происходящего на мониторе.  

Все инструменты Equation Group хранились с высшей степенью секретности. Только ограниченный круг специалистов АНБ имел к ним доступ. Внутренние правила запрещали выносить даже обсуждения этих проектов за пределы офиса.

Как действовали Shadow Brokers

13 августа 2016 года на GitHub появляется пост от неизвестной группы под названием Shadow Brokers. Они заявили, что взломали Equation Group. Это звучало безумно! Но они предоставили доказательства.  

Вместе с заявлением в сеть выкладываются реальные инструменты взлома, взятые, по их словам, с внутренних серверов АНБ. Эти файлы могли позволить получить полный контроль над сетевым устройством Cisco, даже обновлёнными, проникнуть в корпоративные и государственные сети без обнаружения. Крупнейшие компании подтвердили, что эти уязвимости действительно есть, и они не знали об их существовании.  

Shadow Brokers не просто взломали АНБ, они решили продать украденное миру: «Сколько вы платите врагам за кибероружие? Мы выставляем на аукцион лучшие файлы. Хотите полный пакет? Заплатите один миллион биткоинов». Цена была бессмысленно высокой — это звучало смешно. На это и был расчёт — это выглядело не просто как продажа, а как демонстрация силы. Shadow Brokers играли в свою игру, они высмеивали АНБ. Тон сообщений был особенный, ломаный, будто переведённый через Google Translate.  

Некоторые эксперты считали, что Shadow Brokers намеренно так действовали, чтобы сбить с толку следователей. Через несколько дней некоторые из крупнейших СМИ мира, такие как Guardian и New York Times, написали: «АНБ взломано! Утекло реальное оружие цифровой войны. Уязвимости, о которых никто не должен был знать, теперь лежат в открытом доступе».

Расследование киберинцидента: какие версии?

Для специалистов в области кибербезопасности это был момент истины. Если раньше они только догадывались о мощи АНБ, то теперь видели всё своими глазами: строчки кода, взломы, уязвимости — все материалы лежали перед ними. Это было больше, чем утечка документов от Сноудена — Shadow Brokers раскрыли исходный код, представили настоящие инструменты, реальные «ключи от замков» прямо в руки потенциальных врагов США.

Началась охота. ФБР и АНБ строили гипотезы. В воздухе уже витало подозрение: Россия могла быть причастна к вмешательству в американские выборы. За месяц до этого киберпространство потрясла таинственная утечка DNS. Некоторые аналитики предположили, что, возможно, эти загадочные хакеры — тоже инструменты российского кибершпионажа. Но была одна важная деталь: стиль Shadow Brokers значительно отличался от того, что обычно демонстрируют российские спецслужбы. Это не было скрытой операцией, тщательно спланированной и замаскированной. Нет, это было шоу! Они играли с публикой, создавали иллюзию, что всё под их контролем

По другой версии искали шпиона внутри АНБ. Возможно, это был новый Сноуден, то есть кто-то, работающий в АНБ, решил отомстить. Доступ к подобным данным просто так не получишь.  

А может, это дело рук хакеров? Возможно, это просто группа, желающая обогатиться, и они решили шантажировать правительство?  

Официально ни одна версия не подтверждалась. ФБР начало наблюдать за указанным биткоин-кошельком, но аукцион провалился, биткоины почти никто не перевёл. При этом Shadow Brokers надолго замолчали. Но вместо облегчения внутри АНБ началась паника: если файлы настоящие, значит, где-то в системе утечка масштаба национальной катастрофы.

Подозреваемый найден

В кабинетах АНБ и ФБР кипела работа: криптоаналитики, офицеры по контрразведке, эксперты по внутренней безопасности — все пытались ответить на два ключевых вопроса: кто такие Shadow Brokers и как они получили доступ к святыне АНБ — арсеналу Equation Group.  

АНБ сделали центральной версию о человеке внутри системы, который слил все данные. После разоблачения Сноудена АНБ ужесточило контроль над сотрудниками, но что если кто-то снова решил пойти против системы? В тот момент ФБР получила наводку — некто из сотрудников выложил подозрительный твит, содержащий зашифрованные намеки на внутреннюю утечку. Его аккаунт был странно оформлен: аватар, латинские и французские фразы, видеоролики 13-летней давности про ЧВК и снайперов.  

Имя подозреваемого — Гарольд Томас Мартин III. Он стал идеальным кандидатом на роль предателя. Бывший офицер работал подрядчиком в Booz Allen Hamilton, той же компании, которая нанимала Сноудена. Гарольд имел допуск к самым засекреченным материалам АНБ, работал напрямую с Equation Group, включая элитное подразделение АНБ по цифровым атакам. Он был тихим и замкнутым, коллеги описывали его как странного и очень умного. Он знал, где лежат ключи от цифровых дверей.  

Гарольда арестовали. Когда агенты прибыли к его дому, они были потрясены: папки, жесткие диски, печатные документы и даже засекреченные данные лежали в машине у всех на виду — 50 терабайт информации. Это эквивалент десятков миллионов документов, многие из которых были помечены как совершенно секретные.  

Гарольд Т. Мартин собирал материалы не только из АНБ, но и из ЦРУ, от киберкомандования США, Министерства обороны, Национального разведывательного управления — причем делал это два десятилетия подряд.  

ФБР рассчитывало, что Мартин и есть Shadow Brokers, и у них есть подозреваемый. Но в найденных у него 50 терабайтах данных не было файлов, опубликованных Shadow Brokers. Кроме того, он сам ничего не размещал в отрытом доступе. Мартин был виновен в краже документов и их хранении, но не являлся Shadow Brokers. 

Время шло, ответы так и не были найдены. Параллельно Shadow Brokers возвращаются с новым манифестом, с политическими заявлениями, с новой утечкой и с прямым вызовом Белому дому.

Второе послание Shadow Brokers

В сентябре 2016 года Shadow Brokers опубликовали новые данные, но на этот раз всё было иначе. Да, это были снова сведения о киберинструментах и новые доказательства. Но, главное, они сделали очень громкие заявления и действовали крайне вызывающе. Их цель — американские власти.  

В октябре 2016 года Shadow Brokers разместили ещё одно сообщение, полное насмешек над США. На этот раз их мишенью стал вице-президент Джо Байден. В послании они усиливают свою антимериканскую риторику, звучат фразы: «Враг моего врага — мой друг», «Где свободная пресса?» — они прямо намекали на свою позицию против истеблишмента США. Они поставили под сомнение обвинения за кибератаки в адрес России, которые тогда выдвигал Джо Байден, и прямо обвиняли США в сокрытии своих собственных провалов, перекладывании ответственности и отвлечении внимания. Их риторика перекликалась с текущими антизападными нарративами.  

Тем не менее, мотивы Shadow Brokers всё ещё оставались неясными. То ли это независимые хакеры, то ли кто-то, действующий в интересах противников США.

Что содержала новая утечка от Shadow Brokers

Shadow Brokers опубликовала список IP-адресов, доменов и серверов, через которые, по их словам, АНБ осуществляла кибератаки по всему миру. Это была настоящая цифровая карта тайной деятельности США. Эксперты по информационной безопасности по всему миру проверяли данные и находили подтверждение. Многие адреса действительно засветились в логах атак в Азии, на Ближнем Востоке и в Европе.  

Это был не просто скандал. Любая страна могла посмотреть в свои логи и сказать, что США шпионили за нами. А сам факт, что Shadow Brokers имеют доступ к таким данным, уничтожил иллюзию неприкосновенности АНБ. Оказалось, что даже самые защищенные сервера киберподразделений США с высочайшим уровнем секретности можно взломать. И это было куда опаснее, чем сами эксплойты.  

Реакция США — гробовая тишина. Белый дом не комментирует послания, в СМИ почти не обсуждают эту часть утечек, но Shadow Brokers делают следующий выпад: «Где свободная пресса — ABC, NBC, CBS, Fox и CW? Они халатно относятся к информированию американцев?» Shadow Brokers обвиняли СМИ в цензуре и зависимости от государства.

На тот момент Гарольд Т. Мартин уже сидел в СИЗО, а утечки продолжались. И не было никаких улик или следов. Все действия Shadow Brokers совершали анонимно, грамотно маскируясь, не оставляя цифровых следов. ФБР и АНБ начали подозревать, что в их рядах есть ещё один предатель. По другой версии — это была внешняя атака, о которой они не догадывались. Расследование зашло в тупик. Shadow Brokers замолчали, но это было только затишьем перед бурей.

Третье послание Shadow Brokers

В апреле 2017 года на платформе Medium, созданной соучредителем Twitter Эвом Вильямсом, появляется пост с личным обращением к Дональду Трампу. Сообщение начиналось не как хакерский релиз, а как гневное послание, в котором Shadow Brokers обвиняли Трампа в предательстве своего электората. В самом конце сообщения, как будто между делом, они выкладывают пароль к зашифрованному архиву, который опубликовали ещё полгода назад.  

Это был ключ в ад: 67 исполняемых файлов для Windows, Zero-Day-эксплойты, неизвестные даже Microsoft, IP-адреса, домены, зашифрованные трояны, инструменты удалённого управления, вредоносные драйверы, невидимые антивирусам. Но главное среди них — эксплойт EternalBlue — киберарсенал, созданный АНБ, чтобы проникать в любые компьютеры под управлением Windows.  

EternalBlue использует уязвимость в протоколе SMBv1 — устаревшей компоненте для обмена файлами между устройствами в локальной сети, классифицируемой как CVE-2017-0144. Она позволяет удалённо исполнять код на любом компьютере, то есть полностью захватить систему, без пароля, без нажатия кнопок и без подтверждения.

Цепь непредсказуемых событий: ящик Пандоры открыт

EternalBlue — это цифровая ракета с ядерной боеголовкой. До этого момента только АНБ обладало таким кибероружием, а теперь — весь мир.  

SMB1 был включён по умолчанию на сотнях миллионов устройств. Уязвимость присутствовала даже у Windows XP и Server 2003. Многие организации просто не успели установить патчи или даже не знали об угрозе. EternalBlue давал хакерам возможность заражать огромные компьютерные сети за секунды — эксплойт распространялся от одного компьютера к другому, как цифровая чума.  

В мае 2017 года прогремел на весь мир сетевой червь WannaCry. Через месяц после утечки EternalBlue началась первая глобальная атака вируса нового типа, которая парализовала больницы, банки и предприятия по всему миру.  

Вредонос WannaCry использовал EternalBlue для проникновения в системы, а затем шифровал все файлы и требовал выкуп в биткоинах. Масштаб атаки поражал — было заражено более 300 тысяч компьютеров в 150 странах мира. Вирус затронул больницы, в некоторых отменялись операции, врачи вынуждены были писать диагнозы от руки. Службы экстренной помощи были временно недоступны. Ущерб оценивался в более чем 4 миллиарда долларов.  

США официально обвинили в атаке Северную Корею. Хакерская группировка Lazarus, связанная с КНДР, использовала EternalBlue, чтобы запустить вирус. Оружие, разработанное США, оказалось в руках их врагов и было использовано против всего мира. Но и это ещё не всё.  

Всего через полтора месяца, 27 июня 2017 года, началось массовое распространение вируса NotPetya — на этот раз целью стала Украина. Вредонос распространялся теми же методами через EternalBlue. Но теперь требовали не выкуп, а уничтожали все данные без возможности восстановления. Пострадали национальные банки, метро Киева, электросети, международные компании, такие как Роснефть и FedEx. Некоторые организации восстанавливали свои системы месяцами, другие — лишились данных навсегда. Ущерб оценивался в более чем 10 миллиардов долларов.  

Утечка EternalBlue стала одной из самых разрушительных в истории человечества. Не из-за взлома или вируса, а потому что оружие, созданное одним из государств, оказалось в свободном доступе. Но кто несет ответственность за этот инцидент — Shadow Brokers за публикацию или АНБ за сам факт создания оружия?

После последнего манифеста и утечки EternalBlue группа Shadow Brokers исчезла так же внезапно, как и появилась. Никаких новых постов, заявлений, следов. В даркнете, на форумах, в специализированных чатах — тишина. За два года расследований правительство США так и не выявило никого из членов Shadow Brokers. Россия — никаких доказательств. Китай, Иран, Северная Корея — лишь догадки.  

Единственный обвиняемый — Гарольд Т. Мартин, который сидит в тюрьме, но к утечке Shadow Brokers не имеет отношения. Мартин признал вину в незаконном хранении засекреченных материалов и был приговорён к 9-ти годам лишения свободы, 3-м годам надзора и штрафу в 250 тысяч долларов. В приговоре не было ни слова о Shadow Brokers, потому что доказательств так и не нашли.

Государство на защите бизнеса от кибератак

В этой истории важен прецедент. Shadow Brokers раскрыли не секреты, а уязвимости системы. Они показали, что оружие, спрятанное в сейфе, рано или поздно может оказаться в чужих руках. В даркнете до сих пор появляются аккаунты, которые пытаются выдать себя за Shadow Brokers. Группировка скрылась, но их наследие живёт в каждой атаке, в каждом новом вирусе. 

Знание хакерских методов помогает защититься от них. Но обеспечение информационной безопасности — это не разовая акция, а постоянный и непрерывный процесс, который требует системного подхода и постоянного обновления мер защиты. В современном цифровом мире киберугрозы становятся все более изощренными и масштабными, а история с группировкой Shadow Brokers ярко иллюстрирует важность этого факта. Они продемонстрировали, насколько может быть уязвима критическая инфраструктура и коммерческие организации, если меры защиты недостаточно эффективны или устарели.  

Это показывает, что защита информационных систем требует не только усилий отдельных компаний, но и более широкой координации на государственном и международном уровне. Госучастие в кибербезопасности становится необходимым по нескольким причинам: во-первых, правительство обладает более широкими ресурсами и возможностями для мониторинга и реагирования на киберугрозы; во-вторых, кибератаки часто выходят за рамки одной организации и могут иметь масштабы национальной или даже международной угрозы.  

Тесное взаимодействие ИТ- и ИБ-экспертов на уровне государства обеспечивает создание единых стандартов, обмен информацией о новых видах атак и более эффективное реагирование на инциденты. Это позволяет не только защищать отдельные компании, но и предотвращать масштабные киберинциденты, которые могут повлиять на стабильность всего государства.  

Таким образом, государственная машина играет ключевую роль в формировании устойчивой системы кибербезопасности, обеспечивая поддержку, нормативное регулирование и совместные усилия по защите критической инфраструктуры и бизнеса от хакерских атак и кибервзломов. 

Для коммерческих организаций важно обозначить несколько ключевых задач, решаемых при взаимодействии с государством:

  1. Обеспечение правовой защиты и соответствие требованиям регуляторов
  2. Создание многоуровневой системы корпоративной безопасности
  3. Использование сертифицированных программ, аппаратных комплексов и сервисов
  4. Постоянный мониторинг и реагирование на инциденты:
    • Регулярное осуществление ИТ/ИБ-аудита
    • Разработка и применение плана действий на случай кибервзлома или проверки государственными органами
  5. Регулярное обучение и повышение квалификации персонала

Специалисты компании Wone IT оказывают всестороннюю поддержку и консультации, проводят ИТ- и ИБ-аудит, помогают в расследовании киберинцидентов и минимизации ущерба в случае кибервзлома, составляют дорожные карты по развитию информационной безопасности, поставляют и внедряют все необходимые программные и аппаратные комплексы для защиты бизнеса от кибератак.

В лице Wone IT вы приобретаете надежного партнера с высоким уровнем экспертизы, готового оперативно прийти к вам на помощь. Оставьте заявку и мы свяжемся с вами.  

Оставить заявку


Назад к списку