Эксперты по кибербезопасности выдвинули предположение, что целью недавней хакерской атаки на оборудование Cisco была исключительно Россия — это подтверждает и американский флаг в коде программы, и недвусмысленная надпись, намекающая на возмездие Штатов за вмешательство в выборы 2016 года. «Газета.Ru» разбиралась, чего хотели добиться хакеры, и действительно ли их мишенью были объекты критической инфраструктуры РФ.
Месть за выборы
В минувшие выходные киберпреступники запустили масштабную хакерскую атаку, которая была направлена на сетевые коммутаторы (свитчи) Cisco. Так как такие свитчи используются практически во всех дата-центрах мира, кибервзлом привел к отключению сразу нескольких секторов Всемирной паутины.
Об уязвимости в программе Cisco Smart Install Client, которой воспользовались злоумышленники, стало известно еще в мае 2017 года. Спустя почти год, в конце марта, Cisco выпустила патч, исправляющий эту ошибку. По данным аналитиков компании Embedi, около 8,5 млн устройств по всему миру потенциально подвержены взлому. При этом сотни тысяч из них оказались так и не пропатчены и могли легко стать жертвами апрельской хакерской атаки.
«Как мы помним по кейсу WannaСry, не все пользователи устанавливают обновления безопасности вовремя. Поэтому на момент начала атаки множество устройств Cisco были уязвимы», — рассказал «Газете.Ru» Виталий Земских, технический директор ESET Russia. Он добавил, что пока сложно назвать точную цифру, но от атаки пострадали пользователи сетевых устройств Cisco, у которых не был закрыт порт 4786 и использовался Cisco Smart Install Client — устаревшее ПО для удалённой настройки оборудования.
«По официальным данным Cisco Talos, речь идёт о 168 тысяч устройств, которые они обнаружили. По факту, пострадавших устройств может быть несколько больше», — заключил эксперт. Как сообщили «Газете.Ru» в «Лаборатории Касперского», хакеры перезаписывали образ системы Cisco IOS и вносили изменения в конфигурационный файл, оставив в нем послание.
Оно выглядело как американский флаг, составленный из символов, и сопровождалось подписью — «Do not mess with our elections» (рус. «Не вмешивайтесь в наши выборы»). «Масштабы атаки пока не полностью ясны, но они могут быть очень серьёзными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент интернета, хотя и другим явно тоже досталось», — заявили представители «Лаборатории Касперского».
Упреждающий удар
Чем глубже эксперты по информационной безопасности изучали это киберпреступление, тем больше сходились во мнении, что атака на свитчи Cisco была целевой. Если раньше предполагалось, что целью хакеров был саботаж компьютерных систем во всем мире, то впоследствии стало ясно, что больше всего от действий злоумышленников пострадали только две страны — Иран и Россия.
Техпорталу Motherboard удалось связаться с этой хакерской группировкой, направив письмо на их электронную почту, в котором журналисты решили узнать, в чем была причина масштабного взлома. «Мы устали от атак “государственных” хакеров на Соединенные Штаты и другие страны, — ответили киберпреступники. — Мы хотели оставить предупреждение».
Motherboard предполагает, что злоумышленников спровоцировал недавно опубликованный доклад Компьютерной команды экстренной готовности США, в котором утверждалось, что «русские хакеры» давно проникли в системы критической инфраструктуры США и буквально «держат руку на рубильнике», ожидая лишь повод, чтобы вывести из строя американские атомные электростанции.
Что касается взаимоотношений США и Ирана в киберпространстве, то и там не все просто — иранские хакеры беспокоят Белый дом в такой же мере, как русские хакеры и кибервзломщики из КНДР. Министр информации и коммуникационных технологий Ирана Мохаммад Джавад Азари Яхроми заявил о том, что в ходе минувшей хакерской атаки пострадало около 3,5 тыс. устройств в стране.
Кроме того, он добавил, что среди стран, которые затронула атака, значатся и страны Европейского союза, а также Соединенные Штаты Америки. Министр пообещал, что по факту инцидента будет запущено специальное расследование. На текущий момент еще рано говорить о конкретных заказчиках, но судя по многим деталям, атака координировалась не из стран Ближнего Востока.
Корреспондент «Газеты.Ru» поинтересовался у Виталия Земских, что тот думает о том, что главной целью хакеров была именно Россия. «В том, что касается географии атак, я бы доверял только данным Cisco. Давно известно, что инциденты в сфере информбезопасности нередко пытаются использовать в политических или коммерческих целях», — сообщил Земских.
Эксперт предложил дождаться официальных результатов расследования прежде, чем делать выводы, но не исключает вероятность того, что атака на свитчи могла быть направлена только на одну страну.