Wszystkie media od wczoraj wieczorem są pełne doniesień o brutalnym ataku hakerów na systemy komputerowe brytyjskiej służby zdrowia NHS, hiszpańskiego odpowiednika TPSA... eee Orange, czyli firmy Telefonica, niemieckich kolei a nawet rosyjskich urzędów centralnych. Temat jest nośny i rozprzestrzenia się z z szybkością eksplozji. Niestety, również z szybkością eksplozji rozprzestrzeniają się bzdury na temat co się właściwie stało i jak to się odbyło.
Dziś jednymi z największych „bajkopisarzy” były telewizje TVN, TVN24 i TVN24bis. Na tle swojego ulubionego motywu wszystkich cyber-wiadomości, czyli jakiegoś ziutka klikającego w klawisze laptopa podczas gdy projektor wyświetla na nim motyw spadających liter z Matrixa, przerywanych migającymi lampkami serwerowni (nawet nie komputerowej, tylko telewizyjnych) padły hasła takie jak:
Hakerzy weszli przez dziurę
czy też:
Hakerzy na cel wzięli brytyjską służbe zdrowia, hiszpańską firmę telekomunikacyjną i niemiecką kolej
Człowiek słuchając tego typu bon-motów człowiek ma ochotę zabić się własną pięścią.
Ale Ty, drogi czytelniku, masz prawo nie wiedzieć co się właściwie stało i dlaczego informacje TVNów są tak bardzo żenujące.
Zacznijmy więc od początku. Malware typu ransomware jest bardzo popularne od dłuższego czasu. Na pewno widziałeś już ostrzeżenia, żeby nie klikać w załączniki, bo mogą zawirusować komputer a nawet go zaszyfrować, co może skutkować utratą danych lub koniecznością zapłacenia okupu w Bitcoinach. Niektóre wirusy ransomware są tak stare i niedbale napisane, że firmy antywirusowe znalazły sposoby odkodowania plików – za darmo.
Nowsze są napisane lepiej i nie ma póki co możliwości odszyfrowania. Być może się znajdzie, być może nie. Ale prościej być ostrożnym.
Jak działa taki wirus? Drogi czytelniku, uśmiechniesz się. Albowiem w sporej części przypomina on słynnego albańskiego wirusa. Jak nie znasz historii o albańskim wirusie, spójrz tutaj:
Myślicie, że sobie żartuję? Otóż nie. Cała infekcja ransomware odbywa się rękami ofiary. Najczęściej wirusy rozprzestrzeniają się jako wiadomości e-mail z załącznikiem Word, częściej Excel, ostatnio czasem PDF.
Taki mail musi przyjść pocztą elektroniczną i przejść przez firmowy system antywirusowy. Zdarza się. Autorzy wirusa ciężko pracują zmieniając drobne fragmenty plików, żeby nie pasowały do wzorców antywirusowych.
Następnie ofiara musi uznać, że ta wiadomość jest prawdziwa a nie spamem/wirusem i zdecydować się kliknąć w załącznik. Typowy atak socjotechniczny. Pliki udają faktury, wyciągi bankowe, zawiadomienia o dostarczeniu przesyłki czy też informacje o zwrocie nadpłaty podatku. To działa w jakimś zakresie, choć naprawdę trzeba być bardzo słabo wykwalifikowanym, żeby np. w Polsce klikać fakturę której wartość w mailu podaje się w dolarach amerykańskich.
Ale to nie wystarczy jeszcze do infekcji. Jak ostrzeżenie klienta e-mail nie wystarczy, to kolejnym progiem do przejścia jest ostrzeżenie w Excelu/Wordzie o konieczności włączenia makr do wyświetlenia faktury. Jak to nie zapali lampki ostrzegawczej, to sam nie wiem co to uczyni. Nie trzeba skryptów do wyświetlenia faktur.
Wiele rozsądnych firm w ogóle CAŁKOWICIE zablokowało odbieranie maili z załącznikami *.xlsm czy *.docm. Ma to sens, bo jeżeli już ktoś koniecznie potrzebuje wysłać dokument worda/excela, może do tego użyć formatów *.xls/*.xlsx/*.doc/*.docx – te pliki z definicji skryptów (zarówno dobrych jak i złych) nie zawierają.
Uruchomiony skrypt łączy się z internetem (zakładając, że firmowy firewall na to pozwoli) i ściąga właściwego wirusa. Czasem jest to wirus wykradający hasła bankowe, czasem własnie ransomware. Wtedy następuje właściwe szyfrowanie. Przy czym są możliwe dwa scenariusze: jeden to prostszy wirus a użytkownik zgodnie z wszelkim zdrowym rozsądkiem nie ma praw admina. Wtedy utracone zostaną tylko dokumenty do których użytkownik ma dostęp (lokalne i sieciowe), ale sam system pozostanie bez infekcji.
Nowsze wersje wirusów zawierają exploity, które potrafią uzyskać prawa admina i zaszyfrować cały system. Czasem też systemy są skonfigurowane nierozsądnie, żeby nie powiedzieć głupio, i użytkownicy mają prawa lokalnego admina (bo pani Krysia sobie sama instaluje aktualizacje do Płatnika czy czegoś tam jeszcze). No cóż.. na głupotę nie ma rady.
Jak widzicie – wirus prawie-że- albański. Rozprzestrzeniał się, ale wolno. Każda infekcja musiała zacząć się od oddzielnej wiadomości e-mail, która musi trafić na niedouczonego i niefrasobliwego użytkownika. Dlatego też najczęściej ransomware atakowało komputery osób prywatnych.
Co się więc stało wczoraj, że infekcja tak eksplodowała?
Otóż to wcale nie hakerzy wzięli coś na cel – wiadomości e-mail są rozsyłane najczęściej na ślepo w milionach sztuk. Tym razem pomogła moja ulubiona firma Microsoft, mój ulubiony urząd NSA oraz niefrasobliwi admini. To nie są żarty. Czytajcie dalej.
Otóż autorzy wirusa nieco go zmodyfikowali. Użyli do tego exploita stworzonego przez NSA do szpiegowania tych, których NSA chciało szpiegować, czyli praktycznie wszystkich. Miesiąc temu na czarnym rynku zaoferowano exploit pochodzący z wielkiego wycieku danych od firmy będącej podwykonawcą NSA. Wśród danych i programów był też exploit wykorzystujący błędy w protokole SMB v1, czyli dla laików – w protokole który system Windows używa do dostępu do plików przez sieć. Błędy istnieją tylko w starszej wersji protokołu, która już dawno powinna być wyłączona. Nie, nie żartuję, wiedza o poważnych problemach z tą wersją była znana już w styczniu. Po miesiącu Microsoft opracował łatki do systemów i je opublikował.
Oczywiście łatki były tylko do systemów wspieranych, czyli – pokrótce – nie dla Windows XP i nie dla Windows Server 2003 (wbrew pozorom wiele firm tego jeszcze używa). Ale czy na pewno?
Otóż wczoraj Microsoft zauważając eksplodujący problem i jednak łatki dla XP/2003 wypuścił. Dobry Microsoft? Nie do końca, ale o tym za chwilę…
Co się zmieniło od kwietnia? Otóż autorzy wirusa dołożyli kod exploita NSA do typowego ransomware. Exploit był gotowy do wykorzystania, więc nie było to trudne. Najfajniejszym określeniem jakie dziś znalazłem było, że exploit stał się takim strap-on do standardowego malware. (jak nie wiecie co to jest strap-on, to sprawdźcie w google, ale nie róbcie tego jak szef jest w pracy albo rodzice w domu).
Wirus teraz może nie tylko zainfekować konto użytkownika i jego pliki, nie tylko jego komputer (jak ktoś mu niefrasobliwie dał prawa admina) ale poprzez protokół SMB jest w stanie zrobić coś, co się nazywa remote code execution czyli zdalne wykonanie kodu. W prostych słowach – jest w stanie zainfekować inne komputery w lokalnej sieci, uzyskując tam prawa admina i dostęp do kolejnych komputerów. Całość się rozprzestrzenia jak pożar lasu i po krótkim czasie cała sieć jest zainfekowana.
Cała? Nie cała. Tylko ta, która używa protokołu SMB v1. Łatka do Windows 7/8/10 i Server 2008/2012/2016 była dostępna już w marcu. Ale leniwi admini często opóźniają aktualizacje, szczególnie na serwerach, gdzie wymagany restart jest w korporacjach dużym problemem i trzeba je np. robić w niedzielę w nocy. Stwierdzają, że „jakoś to będzie” i zostawiają bez aktualizacji albo przynajmniej z oczekującym restartem (czyli de facto wciąż bez aktualizacji). Do tego duże organizacje wciąż często używają Windows XP – takie brytyjskie NHS jest tak duże, że nawet Wielkiej Brytanii nie stać na wymianę tak dużej ilości komputerów.
Kończy się to tak:
Ale – po raz kolejny przypominam – wciąż wymaga pani Kazi z księgowości czy pana Zdziśka z kadr, który niefrasobliwie kliknie w maila, zignoruje wszelkie ostrzeżenia, włączy makra i pozwoli wirusowi działać.
Last but not least: co do tego ma wątpliwa dobroć Microsoftu? Otóż analitycy przyjrzeli się wypuszczonym łatkom dla systemu XP/2003. I co znaleźli? To:
Co to znaczy? Że Microsoft te łatki miał gotowe 11 lutego. Prawdopodobnie łącznie z innymi, do nowszych systemów.
Nie, nie mam pretensji do Microsoftu, że nie wypuścił ich w marcu. Sytuacja z XP/2003 jest jasna, Microsoft na indywidualnym wsparciu dla starych systemów robi ogromna kasę (np. US Navy wciąż używa XP na okrętach, i to tych największych, ale płaci Microsoftowi ciężkie pieniądze za łatki wypuszczane tylko dla nich).
Dlaczego wypuścili łatki teraz? Bo zobaczyli, co groźnego się stało. To już nie jest zwykły atak wirusów, tu już jest zagrożenie dla zdrowia ludzi.
Dlaczego mam pretensje do Microsoftu? Bo wiedzieli co się stało w kwietniu, kiedy exploit stał się dostępny praktycznie dla każdego. Taki atak wirusów był tylko kwestią czasu i można było go zdrowo ograniczyć.
Dlaczego tego nie zrobili? Nie wiem… może podeszli jak niefrasobliwi admini na zasadzie jakoś to będzie a może nie chcieli psuć NSA dobrego dostępu do komputerów na całym świecie. W końcu nie od dziś bardzo dobrze im się współpracuje.
Będę bardzo zdziwiony jak to nie skończy się wieloma procesami za zaniechanie i doprowadzenie do zagrożenia zdrowia i życia.
A jak sobie sytuację wyobraża mały Kazio z tytułu, pracujący w TVN?
Otóż tak :
Dziury, haxxiory, ataki, ciemne siły….
Co śmieszniejsze, tuba propagandowa partii, mimo początkowych niezręczności, jakoś jednak dała radę w prostych słowach poinformować co się dzieje, bez bajek o smokach…
Leave a Reply
You must be logged in to post a comment.