logo
Susține
Bianca Felseghi

Bianca Felseghi

Senior Editor

Viitorul tech

16/05/2017

O metodă de spionaj folosită de NSA a stat la baza atacului WannaCry

https://images.pressone.ro/wp-content/uploads/2019/09/24112216/bianca_felseghi.jpg

Bianca Felseghi

Senior Editor

Cel mai vehiculat scenariu privitor la WannaCry − uriașul atac informatic mondial de săptămâna trecută − spune că grupul de hackeri Shadow Brokers a publicat pe net specificațiile tehnice ale unui exploit pe care îl furase, împreună cu un gigabyte de informații, de la NSA (Agenția Națională de Securitate a SUA).

Exploit-ul este termenul folosit pentru un soft care pătrunde printr-o breșă a unui sistem de operare.

În cazul de față, NSA ar fi cumpărat, cu o sumă foarte mare, exploit-ul numit EternalBlue. Acesta specula o vulnerabilitate a Windows pe care Microsoft a recunoscut-o în martie 2017, reparând-o în consecință.

Pe scurt, NSA a luat de la hackeri o metodă de a face spionaj cibernetic asupra utilizatorilor de Windows și, apoi, a fost lovită de alți hackeri, care au pus metoda respectivă la dispoziția oricui voia și putea s-o aplice.

Așa a fost posibil WannaCry. Iar atacatorii n-au făcut decât să profite de faptul că în lume există milioane de calculatoare învechite, mai ales în instituții publice, cărora nu li s-au făcut, cine știe de când, update-urile de securitate necesare.

Ce este un exploit?

Un exploit e un software care exploatează vulnerabilitatea unui sistem informatic. De aceea se și numește așa (to exploit înseamnă a „exploata”). Exploit-ul se strecoară printr-o portiță pe care programatorii nu au luat-o în calcul și care a fost descoperită ulterior.

Vrem să putem relata în profunzime despre viața de zi cu zi a românilor, așa cum e ea. Dacă e important și pentru tine, ajută-ne să o ducem la capăt! Orice sumă contează.

Astfel, cineva care deține exploit-ul (o persoană sau un robot) se va putea conecta la hard-ul oricărui calculator pe care este instalat sistemul (sau programul) cel vulnerabil.

În cazul Wannacry, exploit-ul livrează un ransomware − o solicitare de recompensă din partea atacatorului.

Ce este un ransomware?

Apă și talpă. Să alergi toată Via Transilvanica. Și să rămâi în viață.

Aceasta este povestea unui documentar de lung metraj care tocmai a intrat în cinematografe. Filmul e un must see, nu doar de către pasionații de alergare sau fanii Via Transilvanica. Este pur și simplu un film onest, dinamic, care conține fascinante felii de viață. E genul de film care pare prea scurt. Când se termină simți că ai fi vrut să mai vezi.

Mineri ieșind din schimbul unu la mina Lonea. Foto: Raul Ștef (c)

Reportaj: Minerii care sting lumina. De ce s-au bătut oamenii din Valea Jiului pe slujbele din subteran

325 de posturi au fost aruncate pe piață la începutul lunii septembrie 2024 și candidații s-au înghesuit să-și depună dosarele. Paradoxul închiderii minelor din Valea Jiului e că e nevoie de oameni în subteran.

Ransomware-ul este o amenințare constând într-un sample capabil să cripteze toate fișierele importante de pe un calculator. Pentru ca acestea să fie decriptate, utilizatorului infectat i se cere o sumă de bani, o răscumpărare.

„Este cea mai bănoasă metodă din zona de cyber-crime, astăzi. Ideea nu e nouă, s-a vehiculat și în anii ’80, dar a ajuns în vogă de la apariția bitcoin-ului încoace. Răscumpărarea se cere în bitcoin, astfel că traseul banilor nu mai poate fi urmărit, iar poliția nu-i mai poate prinde pe infractori”, a explicat, pentru PressOne, Cătălin Coșoi, Chief Security Strategist la compania Bitdefender.

Cum arată un calculator infectat?

Revista Pressei

Un newsletter pentru cititori curioși și inteligenți.

Sunt curios

Ni se spune într-un comunicat făcut public de Poliția Română:

„Odată infectat un calculator dintr-o rețea, malware-ul încearcă să se răspândească în interiorul acesteia și să afecteze toate calculatoarele care comunică între ele. Procesul de răspândire se realizează prin exploatarea unei vulnerabilități a sistemului de operare. După infectarea cu malware și criptarea datelor de pe calculatoare, atacatorii solicită o plată de circa 300 USD (0.1781 bitcoin) pentru decriptarea acestora”.

Practic, explică specialistul de la Bitdefender, „ți se spune că e vorba de un update de la Microsoft, dai ok, că mulți nu citesc ce scrie. Cinci minute mai târziu, ești notificat că ai fost infectat și că trebuie să plătești o sumă de bani ca să îți salvezi calculatorul”.

Cum s-a ajuns aici?

EternalBlue e un exploit pe care NSA îl folosea neoficial pentru percheziții informatice și care le-a fost sustras, împreună cu alte informații, și apoi făcut public de grupul de hackeri Shadow Brokers.

„Să zicem că NSA urmărea un anumit terorist, un criminal. Știau că avea un calculator, care se regăsea undeva. Făceau rost de la judecător de un mandat de percheziție informatică și, în principiu, poate reușeau să identifice calculatorul lui.

În momentul în care lista a fost făcută publică, compania Microsoft a fost trimisă să iasă în față și să anunțe că e nevoie de patch-uri la următoarele variante. Microsoft a venit cu soluțiile și a oferit rezolvări tuuror problemelor”, detaliază Cătălin Coșoi.

Ca să se păzească, utilizatorii de Windows ar fi trebuit pur și simplu să respecte calendarul update-urilor.

Soluția există, dar oamenii trebuie să o aplice. Nu contează dacă sunt sisteme mai vechi sau nu. Majoritatea sistemelor Microsoft erau vulnerabile.

Dacă am avea activată opțiunea de update automat, nici n-ar trebui să ne mai batem capul cu așa ceva.

Mulți mă întreabă: «Dar dacă eu fac update-urile și, pentru că am un calculator mai vechi, nu mai pot să îl folosesc după aceea?» Răspunsul este: nici dacă te infectezi cu ransomware nu o să-l mai poți folosi”, spune Coșoi.

„Ce s-a întâmplat acum a fost cea mai simplă metodă de a face bani. Dar, știind că aceste calculatoare se găsesc în instituții, în spitale, în școli, în sisteme care controlează traficul, metoda poate fi exploatată de zona de terorism și de alt gen de criminalitate.”

Cătălin Coșoi, Chief Security Strategist la Bitdefender

Specialiștii în securitate cibernetică sunt îngrijorați pe motiv că atacul care a îngenuncheat deja sisteme din peste 100 de țări ar fi doar primul exploit dintr-o serie de 10 episoade.

Mai există unul deja scris, care trebuie doar să fie folosit și care se va declanșa în următoarele zile.

O dovadă că exploit-ul EternalBlue este folosit „la liber” de tot soiul de minți criminale, după ce Shadow Brokers l-a publicat pe internet, vine din analiza companiei Kaspersky Lab: cercetătorii de aici spun că există mai multe variante ale atacului, care nu ar fi fost create de autorii inițiali.

„Cel mai probabil, au fost create de alții care au dorit să profite de atac, urmându-și propriile scopuri”, spun cei de la Kaspersky într-un comunicat de presă.

Ce efecte a avut Wannacry?

Europol anunța luni, 15 mai, că 200.000 de calculatoare din întreaga lume au fost afectate de atacul Wannacry. De pildă, 40 de agenții și spitale din rețeaua de sănătate britanică NHS au colapsat la sfârșitul săptămânii trecute, făcând imposibile, printre altele, intervenții chirurgicale planificate.

Citat de The Guardian, ministrul de Interne al Marii Britanii, Amber Rudd, a refuzat să confirme dacă spitalele afectate aveau un backup pentru datele pacienților. Ea a declarat doar că NHS își va upgrada programele, ca urmare a atacului.

Harta țărilor afectate de atacul Wannacry.

În decembrie 2016 a apărut un raport în care se arăta că programele rulate în rețeaua de sănătate NHS erau învechite și se bazau pe o versiune de Windows pentru care Microsoft încetase să mai producă update-uri de securitate încă din primăvara lui 2014.

Printre cele mai afectate țări din lume este China, unde rețelele de computere din circa 30.000 de instituții − incluzând agenții guvernamentale, spitale, ATM-uri și peste 4.000 de universități − au fost blocate de WannaCry.

Background

1989: cea mai veche variantă de ransomware, așa-numitul AIDS sau PC Cyborg Trojan, înlocuia fișierul autoexec.bat, care inventaria restartarea calculatorului. Odată ajuns la 90 de reporniri, AIDS-ul ascundea și cripta directoarele de pe partiția C, astfel că sistemul de operare nu mai era funcțional. Utilizatorului i se cerea apoi să își reînnoiască licența și să contacteze PC Cyborg Corporation, trimițând 189 de dolari într-un cont din Panama.

Inițial, această infracțiune a fost populară în Rusia, dar, în timp, a ajuns să fie folosită pe scară largă de tot felul de grupuri de hackeri. În iunie 2013, datele companiei McAfee arătau că, numai în primul trimestru al anului, sistemul său de securitate ar fi colectat peste 250.000 de modalități de a percepe cyber-recompense, mai mult decât dublul aceleiași perioade în 2012.

Cele mai eficace malware-uri de până acum au fost CryptoLocker (2013) și CryptoWall 3.0 (2015). CryptoLocker, tot călărind un virus trojan, ajungea pe calculatoare prin tot soiul de atașamente emise de un robot pe nume Gameover ZeuS.

Odată ajuns pe calculatoare, softul cripta anumite fișiere, iar pentru recuperarea lor, utilizatorul trebuia să plătească fie folosind fie bitcoin (moneda digitală), fie vouchere pre-încărcate.

În 2014, o coaliție de criptologi de la Departamentul de Justiție din SUA, Europol și FBI au reușit să decupleze robotul. Și așa, CryptoLocker a reușit să extorcheze 3 milioane de dolari înainte să fie securizat.

În 2015, cel mai avansat ransomware era CryptoWall 3.0. Potrivit evaluării FBI, pagubele produse companiilor infectate de acesta se ridicau la cel puțin 18 milioane de dolari.

+

Specialiștii în criminalitate cibernetică se așteaptă ca actualul atac Wannacry să treneze în următorii ani, producând efecte la scară globală. Motivul nu este lipsa de reacție și nici absența unui antidot, ci simplul fapt că utilizatorii de calculatoare nu pot fi obligați să își facă update-uri la sistemele de operare.

echipa pressone

Avem nevoie de ajutorul tău!

Jurnalismul independent nu se face cu aer, nici cu încurajări, și mai ales nici cu bani de la partide, politicieni sau industriile care creează dependență. Se face, în primul rând, cu bani de la cititori, adică de cei care sunt informați corect, cu mari eforturi, de puținii jurnaliști corecți care au mai rămas în România.

De aceea, este vital pentru noi să fim susținuți de cititorii noștri.

Dacă ne susții cu o sumă mică pe lună, noi vom putea să-ți oferim în continuare jurnalism independent, onest, care merge în profunzime, să ne continuăm lupta contra corupției, plagiatelor, dezinformării, poluării, să facem reportaje imersive despre România reală și să scriem despre oamenii care o transformă în bine. Să dăm zgomotul la o parte și să-ți arătăm ce merită cu adevărat știut din ce se întâmplă în jur.

Ne poți ajuta chiar acum. Orice sumă contează, iar faptul că devii și rămâi abonat PressOne face toată diferența. Poți folosi direct caseta de mai jos sau accesa pagina Susține pentru alte modalități în care ne poți sprijini.

Vrei să ne ajuți? Orice sumă contează.

3€5€10€

Share this