Дилетанты массово воспользовались инструментами хакеров, связанных с АНБ

Софт Безопасность Бизнес Интернет
мобильная версия
, Текст: Роман Георгиев

Хакерские инструменты аффилированной с АНБ группировки Equation Group начали использоваться для атак на простых пользователей. По всей видимости, работают хакеры-дилетанты, вооружившиеся этими эксплойтами. Общее количество заражений, по разным оценкам, находится в диапазоне от 15 до 41 тыс.


Серьезные инструменты попали в руки хакеров-дилетантов

На протяжении последних месяцев хакерская группировка Shadow Brokers публиковала в открытом доступе инструменты печально знаменитой Equation Group — еще одной хакерской группировки, которая, по мнению экспертов по безопасности, может быть связана с Агентством национальной безопасности США (АНБ). Как минимум два из этих инструментов уже активно используются дилетантами для проведения атак.

Эксперт по безопасности Дэн Тентлер (Dan Tentler), основатель компании Phobos Group, заявил изданию The Register, что ему удалось выявить несколько десятков тысяч машин с признаками заражения бэкдором Doublepulsar, разработанным Equation. Этот бэкдор, в свою очередь, устанавливается с помощью другого инструмента тех же разработчиков — эксплойта Eternalblue.

Данный эксплойт атакует сервисы сетевого протокола для удаленного доступа SMB в версиях Windows от XP до Server 2008 R2 — при условии, что данные сервисы доступны извне.

Дилетанты начали активно пользоваться хакерскими инструментами Equation Group

Microsoft устранила соответствующую уязвимость в SMB Server (MS17-010) в марте 2017 г. Патч был выпущен для операционных систем Windows, начиная с Vista SP2 и до Windows Server 2016 включительно. Патчи для XP и Server 2003 не выпускались, поскольку их Microsoft уже сняла с поддержки.

Масштабы проблемы

По словам Тентлера, в минувший четверг он с помощью поисковика Shodan.io выявил более 15 тыс. заражений, четыре пятых из которых приходятся на IP-адреса на территории США. С каждым новым сканированием количество заражений растет. Систему, атакованную Doublepulsar, можно опознать по ответу на специальный PING-запрос к порту 445.

По заверению Тентлера, рост числа заражений означает, что хакеры-дилетанты и недоучки вооружились чужими инструментами и начали заражать все вокруг. Причем 15 тыс. заражений — это еще и «нижний порог» оценки. Коллега Тентлера по цеху, эксперт Роберт Грэм (Robert Graham) обнаружил более 41 тыс. зараженных хостов, и это, скорее всего, не конец.

«Ничего неожиданного в том, что дилетанты схватились за бывшие "игрушки" Equation, нет, — говорит Ксения Шилак, директор по продажам компании SEC-Consult Рус. — Но это очень неприятное развитие событий: дилетант, вооруженный эффективным инструментом взлома, опасней, чем дилетант безоружный. Количество успешных заражений, в целом, тоже неудивительно: пользовательская "беззаботность" в отношении кибербезопасности — это объективный фактор, с которым приходится считаться: и отрасли киберзащиты, и разработчикам ПО».

«Чужие игрушки»

В 2015 г. «Лаборатория Касперского» опубликовала исследование, посвящённое EquationGroup, в котором указывалось, что эта группа «много лет взаимодействует с другими влиятельными группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства: Equation всегда получала доступ к эксплойтам нулевого дня раньше других групп».

Группировка TheShadowBrokersв августе 2016 г. объявила о том, что ей удалось похитить ряд инструментов EquationGroup, и попыталась выставить их на аукцион. Поскольку желающих платить за кота в мешке не нашлось, «брокеры» начали публиковать эти эксплойты в общем доступе (это дает основание полагать, что распространение данного инструментария и было основной целью «брокеров»).

Эксперты, проанализировавшие опубликованные Shadow Brokers эксплойты, сошлись в высокой оценке качества вредоносных программ Equation. Как нетрудно заметить, они до сих пор оказываются весьма эффективны, несмотря на то, что вендоры ПО оперативно выпускают патчи для всех уязвимостей, к которым у Equationбыли эксплойты.