Атака Wannacry в 2017 году привела к остановке работы нескольких больниц. и Патрику Уорду трудно сосредоточиться на дрянном криминальном романе, который он читал. Он сидит на больничной койке в больнице Святого Варфоломея в центре Лондона, в нескольких часах от операции, которая, как он надеется, изменит его жизнь.
Потребовалось некоторое время, чтобы добраться до этой точки. Все началось за несколько лет до этого. «Я играл в футбол и заметил одышку и подумал, что это какая-то боль в горле. Я пошел к врачу, и он сказал мне прекратить все», — говорит Уорд.
Оказалось, что у него было увеличенное сердце, наследственное заболевание, из-за которого ему было трудно прокачивать достаточное количество крови через его тело. Он был активным человеком, но теперь, в возрасте 47 лет, ему приходилось делать перерывы, чтобы подняться по лестнице. Это состояние оказало серьезное влияние на его жизнь. В конце концов врачи предложили решение, но очень рискованное: операцию на открытом сердце. «Это было важное, важное решение, — говорит Уорд.
Это также очень специализированная операция, и не многие хирурги в Великобритании проводят ее. Так что Уорду приходится ждать два года. Но, в конце концов, 12 мая 2017 года настала его очередь.
«Я был морально готов к тому, что у меня будет много-много недель отпуска, и мне вскроют грудь. И я хотел этого в тот момент. Я собирался снова вернуться к жизни», — говорит он.
Кажется, все идет по плану. Хирург заходит проведать его в середине утра. Но сразу после 13:00, за несколько минут до начала операции, Уорд начинает замечать какое-то волнение за пределами своей комнаты.
«Я встал с кровати и пошел к медицинскому пункту, чтобы увидеть пустые мониторы повсюду и людей, выглядевших очень встревоженными. Медсестры, санитары и разные другие люди просто бродят вокруг, не совсем зная, что делать».
На другом конце Лондона, в другой больнице NHS, происходит аналогичная сцена. Тони Блитман — консультант по неотложной медицинской помощи, и он только что прибыл на смену в отделении неотложной помощи. «Когда я вошел в офис, стало ясно, что со всеми компьютерами что-то пошло не так. На экране каждого компьютера было сообщение», — вспоминает он. Текст на красном фоне гласит: «К сожалению, ваши файлы были зашифрованы. Возможно, вы заняты поиском способа восстановить ваши файлы. Но не теряйте времени. Никто не сможет восстановить ваши файлы без нашей службы расшифровки».
Хакеры взломали компьютерную систему больницы и зашифровали все данные. Они предлагают расшифровать его, но за несколько сотен долларов, заплаченных в виртуальной валюте Биткойн. И есть дополнительная изюминка. Через три дня сумма выкупа удваивается. И если в течение недели ничего не будет оплачено, в сообщении хакеров говорится, что они уничтожат все данные навсегда. Выпадающее меню предлагает инструкции по оплате на 28 разных языках — кажется, что тот, кто стоит за атакой, настраивает себя на международный успех. Как государственная организация, больница не в состоянии заплатить выкуп. И поэтому, пытаясь контролировать вспышку, он отключает компьютерную сеть.
«Мы не могли регистрировать новых пациентов на компьютере, — говорит Блитман. «Мы не смогли получить доступ к их медицинским картам. Мы не могли отследить их местонахождение, что с ними происходит, кто за ними присматривает и какие у них результаты крови. Мы не могли получить доступ к рентгеновским снимкам или изображениям КТ на компьютере».
Современным врачам необходим доступ к новейшим технологиям. Когда времени мало, это может помочь принять быстрое решение, спасающее жизнь. Например, если пациент обращается с симптомами инсульта, одна из возможностей состоит в том, что часть мозга заблокирована тромбом; другая возможность состоит в том, что мозговой сосуд может быть кровоточащим. Если в первом случае вы назначаете лечение, разрушающее тромбы, вы спасаете жизнь. Но, если это второе, такое же лечение может привести к смерти. Единственный способ узнать наверняка — провести сканирование мозга. То же самое верно для всей экстренной медицины, от автомобильных аварий до рака. Сканирование является важным передовым активом. Но эта технология, наряду с базовой ИТ-администрацией, теперь недоступна для Блитмана и его коллег из-за кибератаки. Так они приспосабливаются. Некритическим пациентам отказывают. Некоторых критических пациентов переводят в другое место. Но это становится все труднее, поскольку другие больницы умирают от вируса.
Wannacry оставил треть трастов NHS либо зараженными вредоносным компьютерным кодом, либо вынужденными отключать компьютеры, чтобы защитить себя. Джеффри Блэклер/Алами
«По крайней мере, один из лондонских травматологических центров не принимал пациентов, потому что хирурги-травматологи не могли получить доступ к изображениям, на которые они часто полагаются, приступая к экстренной операции. И какое-то время был ограничен доступ в центры сердечного приступа», — говорит Блитман.
Тем временем, вернувшись в госпиталь Святого Варфоломея, Уорд все еще ждет, чтобы его отвезли в операционную. Не понимая, что происходит, он поворачивается к своему смартфону. Именно тогда он начинает видеть заголовки новостей и понимает, что пострадала не только его больница. И тут наконец появляется его хирург с плохими новостями. «Компьютерная система больницы была взломана, все системы вышли из строя, — вспоминает Уорд. Я сказал: «Ну, нам это не нужно. Вы оперируете мое сердце. На кой черт тебе нужен компьютер? Да ладно, я ждал этой операции два года». Это не может происходить со мной сейчас. Я сначала подумал, что он смеется.
Но хирург смертельно серьезен. Он говорит Уорду: «Мне очень жаль, но нам нужны компьютеры для ваших результатов крови. Нам это нужно для ваших тестов. Это неотъемлемая часть операции. Мы ничего не можем сделать. Операция отменяется. Ты можешь уйти.”
Уорд, спотыкаясь, выходит на дневной свет, все еще с повязкой на руке от только что удаленной канюли. Он воссоединился со своей семьей, которая приехала в Лондон, чтобы поддержать его. Он сразу же натыкается на съемочную группу BBC News, которая слонялась вокруг выхода в поисках интервьюируемых. Уорд рассказывает о своем собственном опыте, а затем задает вопрос, который у всех на уме: «Зачем кому-то взламывать больницу, которая пытается делать добро?» Чего Уорд не понимает, так это того, что это не просто больницы. Вирус распространяется по всему миру, поражая все, от немецкой железнодорожной компании Deutsche Bahn до российской финансовой компании Сбербанк. В течение дня он шифрует данные примерно на 230 000 компьютеров в 150 странах мира. Оценки ущерба варьируются от 4 миллиардов долларов (3,1 миллиарда фунтов стерлингов) до 8 миллиардов долларов (6,3 миллиарда фунтов стерлингов).
Это событие, которого специалисты по кибербезопасности боялись годами: всемирная компьютерная пандемия, которая распространяется автоматически. Это кажется неудержимым. Но это не так. Кто-то остановил вспышку вируса. А история о том, кто и как — одна из самых безумных историй в истории киберпреступности.
Пятница, 12 мая, день, когда разразился вирус, должен был стать выходным для Маркуса Хатчинса. Здоровый, с обворожительной улыбкой и копной вьющихся волос, 22-летний парень уже зарабатывал шестизначную зарплату в качестве исследователя в американской компании, занимающейся киберразведкой. Он работал над вирусами или «вредоносными программами», как их называют в торговле.
Как и многие технари, он начал молодым. После того, как в возрасте 13 лет он разобрал семейный компьютер, его родители купили ему собственный компьютер для экспериментов, и он никогда не оглядывался назад. В 17 лет он завел блог под названием Malware Tech. Его сообщения прославились своими подробными разборами компьютерных вирусов. У него появилось много подписчиков в Интернете, но они понятия не имели о его настоящем имени или о том, на что похожа его жизнь, потому что фотография профиля в его блоге была котом с надутой мордой в огромных солнцезащитных очках. Хатчинс застенчив, и ведение блога под псевдонимом его вполне устраивало.
Существует клише о том, что хакеры — это молодые люди, работающие из своих спален. За исключением того, что в случае с Хатчинсом это не было клише. «Я все еще жил с родителями. У меня была спальня, где я установил этот компьютер и серверную стойку», — рассказывает он мне.
Вся эта высокотехнологичная работа происходила в сонном приморском городке Илфракомб на юго-западе Англии, в нескольких минутах от пляжа, где Хатчинс занимается серфингом. Это причудливое маленькое место в Девоне с извилистыми дорогами и магазинами мороженого: не то место, где вы ожидаете найти ведущих мировых технических экспертов. Семья Хатчинса понятия не имела, что он делал в своей спальне, за исключением того, что она была смутно связана с компьютерами. «Я всегда был довольно замкнутым, замкнутым человеком, — говорит он. «Поэтому я держал работу в своей жизни очень отдельно от личной жизни. Я действительно не делился многим из того, что я делаю, с моими родителями, друзьями или семьей».
В ту пятницу Хатчинс начинает день с легкости. Он обедает в местной рыбной лавке. Но когда он возвращается и садится перед своим компьютером, он обнаруживает, что вспышка вируса идет полным ходом.
«Больницы NHS по всей Великобритании сообщают, что они пострадали от одного и того же вредоносного ПО», — вспоминает он. «Итак, это был момент, когда я подумал: «Это что-то серьезное». Он сразу же связывается с другом по кибербезопасности и получает образец вируса (такое сотрудничество является относительно обычным явлением в мире технической безопасности).
То, на что сейчас смотрит Хатчинс, — это образец программы-вымогателя. Вы, наверное, слышали об этом — на момент написания статьи это был самый прибыльный хакерский феномен в мире. Всего один вид программ-вымогателей принес одной банде более 325 миллионов долларов за один месяц. С годами эта часть индустрии киберпреступности постепенно превратилась в высокоэффективную форму цифрового вымогательства.
Маркус Хатчинс сыграл ключевую роль в замедлении WannaCry. Фото: AP Photo/Frank Augstein
Это также удивительно просто объяснить по сравнению со многими другими, более сложными тактиками киберпреступности. При атаке программы-вымогателя хакеры заражают ваш компьютер вирусом, который шифрует или «шифрует» ваши файлы. Затем они берут с вас выкуп за их расшифровку, чаще всего выплачиваемый в виртуальной валюте биткойн, что при правильном использовании делает невозможным отслеживание транзакции до виновника.
Звучит достаточно просто для технаря, но как получить программу, способную шифровать файлы? Что ж, для удобства хакеров Microsoft делает именно это. Если пользователь ПК хочет зашифровать свои файлы (возможно, из соображений безопасности или конфиденциальности). они могут использовать инструмент под названием Windows Crypto. После того, как он закончит шифрование файлов, он помещает WINCRY в конец имени файла. Конечно, если вы шифруете свои собственные файлы, у вас есть ключ дешифрования, поэтому вы можете расшифровать свои файлы, когда захотите.
Люди, создавшие вирус в мае 2017 года, использовали то же программное обеспечение для шифрования файлов жертв, но с одной изюминкой: они сохранили ключ дешифрования и взимали с жертв плату за его возвращение. У них также было чувство юмора: они переименовали WINCRY в WannaCry — потому что это то, что вы хотите сделать, когда узнаете, что ваши драгоценные фотографии, электронные письма и музыкальную коллекцию требуют выкупа.
Бизнес-модель программ-вымогателей может быть простой, но она по-прежнему сталкивается с проблемой многих кампаний по борьбе с киберпреступностью: масштабированием. Для получения прибыли необходимо широкое распространение. Как вы собираетесь разместить программу-вымогатель на достаточном количестве компьютеров, чтобы заработать большие деньги? Традиционно ответом был спам по электронной почте. Но WannaCry использовала пугающую новую тактику, как обнаружил Хатчинс, вглядываясь в код вируса. «WannaCry распространялся с компьютера на компьютер, а это означало, что вам не нужно было открывать вредоносное электронное письмо или переходить по странной ссылке. Он просто смог удаленно взломать ваш компьютер», — говорит он.
В нашем современном мире взаимосвязанных технологий это означало, что вирус вышел из-под контроля и распространялся без разбора.
«Люди предполагали, что они преследуют NHS, — говорит Хатчинс. «Но, увидев все эти данные, стало ясно, что они не предназначались для NHS. Он даже не был нацелен на Великобританию. Это было просто ударом по чему угодно, везде в мире. Это был феноменальный масштаб, подобного которому я никогда раньше не видел. Это были просто инфекции, приходящие тысячами каждые несколько секунд. Это было ошеломляюще».
Маркус не единственный, кто глубоко обеспокоен распространением вируса. В трех милях от больницы, из которой только что выписали Уорда, в переулке за станцией метро «Воксхолл» находится неприметный офисный блок, ощетинившийся камерами видеонаблюдения. Это штаб-квартира Национального агентства по борьбе с преступностью. В то пятничное утро сотрудники прибавляют громкость на офисном телевизоре. Sky News сообщает о кибератаке на больницу на северо-западе Англии. Другие отчеты вскоре начинают поступать в NCA, большинство из которых попадают на стол Майка Хьюлетта, директора по операциям национального подразделения Агентства по борьбе с киберпреступностью.
«Ближе к обеду в тот день становится довольно быстро очевидно, что это не просто изолированный инцидент, затрагивающий одну больницу или одну организацию», — говорит он. Работая с недавно созданным Национальным центром кибербезопасности, сотрудники NCA должны выяснить, как вирус распространяется так быстро. Впервые он обрушился на Аргентину около полуночи, а через полдня бушевал по всей Европе. Хьюлетт и его команда определяют, что вредоносное ПО использует определенный «порт» — цифровой дверной проем, встроенный в компьютеры, который позволяет различным машинам в одной сети взаимодействовать друг с другом: порт 445, если быть точным. На некоторых машинах порт 445 не только позволяет обмениваться данными с другими компьютерами в той же сети, но также настроен как «общедоступный», что означает, что любой человек в любой точке мира может отправлять компьютеру сообщения, используя порт, в том числе компьютерные вирусы. Вот как WannaCry распространяется по всему миру. Он прыгает с компьютера на компьютер в сети, заражая каждый, на который попадает, и шифруя свои файлы. Затем он обращается к случайным адресам компьютеров по всему миру в поисках машины с общедоступным портом 445. Как только он ее находит, он перепрыгивает, заражает ее и начинает распространяться в сети этого компьютера.
Чем больше связей у организации, тем легче WannaCry будет распространяться. А это означает, что, хотя это и не было намеченной целью, Национальная служба здравоохранения, как один из крупнейших работодателей в мире, становится одним из наиболее пострадавших.
Как отмечает Хьюлетт: «Возможность подключения по всей стране, чтобы ваши результаты, тесты и т. д. можно было быстро отправлять из учреждения в учреждение, означает, что у вас есть довольно широко взаимосвязанная система, особенно восприимчивая к заражению».
Тем временем в своей спальне в Девоне Хатчинс все еще анализирует код WannaCry и замечает нечто необычное. Прежде чем заразить жертву, вирус пытался посетить определенный веб-сайт с длинным, казалось бы, случайным адресом. Если он обнаружит, что веб-сайт не в сети, вирус включится, зашифрует файлы, потребует выкуп и попытается заразить другие машины. Но если вирус обнаружит, что веб-сайт запущен и работает, он остановится, оставив файлы жертвы нетронутыми. Поэтому у Хатчинса есть идея проверить, кому на самом деле принадлежит веб-сайт, который пытается посетить вирус.
«И оно никому не принадлежало, поэтому я сразу его зарегистрировал», — говорит он. Это обходится ему менее чем в 10 фунтов стерлингов — дешевая инвестиция, которая, как говорят бухгалтеры, может иметь «значительный потенциал роста». Взяв под свой контроль веб-сайт, Хатчинс фактически остановил вспышку. Код вируса видит, что сайт запущен и работает, поэтому он останавливается, больше не заражая никакие компьютеры и не пытаясь распространяться. «Через несколько секунд после регистрации домена уровень заражения начал снижаться, — говорит он.
«Обычно остановить вредоносные программы — это огромный подвиг, когда вы боретесь неделями или месяцами, сражаясь с парнями на другом конце. Вы придумываете умные способы демонтировать их инфраструктуру. Я никогда не сталкивался с чем-то таким простым».
Компания Hutchins только что остановила одну из самых опасных в мире вспышек вируса по цене большой рыбы с жареным картофелем.
Читать наш эксклюзив интервью с Джеффом Уайтом, нажмите здесь.
The Lazarus Heist – From Hollywood to High Finance: Inside North Korea's Global Cyber War Джеффа Уайта (Penguin Random House) выходит в четверг, 9 июня. Предварительный заказ на 20 фунтов стерлингов на books.telegraph.co. Великобритании или по телефону 0844 871 1514
Recent Comments