WannaCry – ახალბედების ნამუშევარი თუ კარგად დაგეგმილი ჩავარდნა?

გამომძალველი პროგრამა, სახელად WannaCry – 12 მაისს გავრცელდა და 2 დღეში 200,000-მდე კომპიუტერს მოედო მთელი მსოფლიოს მასშტაბით. ამ ვირუსმა მთელი დღის განმავლობაში პარალიზება გაუკეთა საავადმყოფოებს, სატრანსპორტო სისტემებს, მატარებლებს, მეტროს და ბანკომატებს. არნახული სისწრაფით გავრცელებისა და მასშტაბური დაზიანების მიუხედავად,WannaCry-ს ავტორებს ფრიად მოკრძალებული შემოსავალი ჰქონდათ  – სულ $55,000 დოლარი. და ეს მაშინ, როდესაც მაგალითად გამომძალველი პროგრამა Angler $60 მილიონ დოლარზე მეტს „შოულობდა“ ყოველ წელს, სანამ 2015-ში საბოლოოდ არ გაანადგურეს.

WannaCry-ს სწრაფი გავრცელების მთავარი მიზეზი იყო Windows-ში SMB პროტოკოლის იმპლემენტაციის კრიტიკული სისუსტე და მისი ექსპლოიტი EternalBlue, რომელიც თავის მხრივ საჯაროდ ცნობილი გახდა Shadow Brokers ჰაკერული დაჯგუფების მიერ NSA-ს ხელსაწყოების გამოქვეყნების შემდეგ. უსაფრთხოების სპეციალისტებმა მალევე აღმოაჩინეს, რომ WannaCry კომპიუტერში მოხვედრისას ცდილობდა გარკვეულ (გავრცელების პერიოდისთვის არარსებულ) საიტზე (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) შესვლას და თუ მოახერხებდა, სისტემას არ აინფიცირებდა. MalwareTech-ის მეტსახელით ცნობილმა მკვლევარმა, ამ კონკრეტული დომეინის რეგისტრირებითა და სპეციალური ინფრასტრუქტურის შექმნით ვირუსის გავრცელება მომენტალურად შეწყვიტა.

დიდი ზიანი, დაბალი შემოსავლები, მარტივი „შეცდომები“ და იგივე „შეცდომის“ განმეორებით დაშვება, ბუნებრივად ბადებს გარკვეულ კითხვებს: ვინ დგას WannaCry-ს უკან, რა მიზანი ამოძრავებდა მათ, ვისი ნამუშევარია WannaCry – პროფესიონალების თუ დილეტანტების და იყო თუ არა ეს სატესტო გაშვება?

WannaCry-ს შეცდომების მიზეზები და მოტივები

WannaCry-ს დაშლის შედეგად აღმოჩენილ იქნა სულ 4 ბიტკოინ მისამართი, რომლებზეც იგზავნებოდა მსხვერპლის მიერ გადახდილი თანხები. ვირუსს არ გააჩნია ავტომატიზირებული სისტემა, რაც იმას ნიშნავს, რომ WannaCry-ს უკან მდგომმა პირმა პირადად უნდა შეამოწმოს კონკრეტული გადახდის ვალიდურობა და პირადად მოახდინოს გადამხდელის იდენტიფიცირება. მხოლოდ 4 მისამართის არსებობა არამხოლოდ გადახდების პრობლემას ქმნის, არამედ სამართალდამცავ ორგანოების მიერ ჰაკერების აღმოჩენის ალბათობას ზრდის, რადგან ბლოკჩეინში ყველა ტრანზაქცია ხილულია, კონკრეტული მისამართების მონიტორინგი კი საშუალებას იძლევა პირი თანხის დოლარზე გადაცვლის ან შემდეგ თანხის გამოტანის დროს დაიჭირონ.

კომპიუტერის დავირუსების შემდეგ გამოსულ ფანჯარაში არსებული Check Payment ღილაკი რეალურად არ ამოწმებს ნამდვილად მოხდა თუ არა გადახდა. ეს ღილაკი არც მეტი არც ნაკლები – წინასწარ ჩაწერილი 4 სავარაუდო პასუხიდან (მათ შორის 3 error-ია და 1 ყალბი დეშიფრაციის მესიჯი) შემთხვევითობის პრინციპით აბრუნებს ერთ-ერთს. და ბოლოს მთავარი შეცდომა ე.წ. Kill Switch – ვირუსი ამოწმებს შემთხვევითობის პრინციპით გენერირებული და შემდეგ ვირუსში ჩაწერილი დომენის არსებობას და მისი არარსებობის შემთხვევაში აგრძელებს მუშაობას. შედეგად ამ კონკრეტული დომენის დარეგისტრირებით ვირუსის მუშაობა ჩერდება.

ზემოთ ჩამოთვლილი შეცდომები ახალბედა ჰაკერების ნამუშევარს ჰგავს: 4 ჩაწერილი ბიტკოინ მისამართის მაგივრად მათ შეეძლოთ გამოეყენებინათ ყოველ მსხვერპლზე ცალკეული ავტომატურად გენერირებული ბიტკოინ მისამართი, რომელიც მათ პოვნასაც გაართულებდა და გადახდებსაც გაამარტივებდა. ამ შემთხვევაში Check Payment-ის რეალურად შემოწმების საშუალებაც იარსებებდა. და ბოლოს, სპეციფიკური დომეინის ამოღებით, ან ავტომატური გენერირების ფუნქციის დამატებით ამ ვირუსის შეჩერება ფაქტიურად შეუძლებელი იქნებოდა.

WannaCry-ს შეტევიდან უკვე 2 კვირა გავიდა და არაერთი სპეციალისტი მიიჩნევს, რომ შეცდომები მიზანმიმართულადაა დაშვებული. ამის მიზეზები კი შემდეგია:

  • თანხის გატანა (Cashout) არ მომხდარა, ისევე როგორც არავის მოუხდენია მსხვერპლის ფაილების დეშიფრაცია. მაშასადამე, ამ ვირუსის შემქმნელები თავიდანვე არ აპირებდნენ ფაილების გაშიფვრას და არც ფული იყო მოტივაცია.
  • სპეციფიკური დომენის ვირუსში ჩაშენება (Kill Switch), აჩვენებს რომ ვირუსის შემქმნელებს გააზრებული ჰქონდათ რამდენად სწრაფად მოხდებოდა ამ ვირუსის გავრცელება და საჭიროების შემთხვევაში, სურდათ ჰქონოდათ ბერკეტი მისი მომენტალური გაჩერებისთვის.
  • 19 მაისს ხელმეორედ მოხდა ვირუსის გაშვება, ოღონდ ამჯერად სხვა დომეინი იყო ჩაშენებული ვირუსში. ასეთი ელემენტარული შეცდომის ორჯერ ზედიზედ დაშვება ფაქტიურად არარეალურია.

სპეციალური დომენის ჩაშენების შესახებ არის მეორე ვარაუდიც, კერძოდ ის ერთგვარი ფარის ფუნქციას ასრულებდა. როდესაც MalwareTech-მა დომენი დაარეგისტრირა, ვირუსმა ივარაუდა, რომ მის შემოწმებას ახდენდნენ და შემდგომი აღმოჩენებისგან თავდასაცავად მომენტალურად შეწყვიტა არსებობა. ვირუსებში ანტი-ანალიზური სისტემების იმპლემენტაცია არახალია, თუმცა მსგავსი საეჭვო და დილეტანტური მიდგომა პირველად შეხვდათ ექსპერტებს.

რატომ უნდა დაუშვა ერთი და იგივე შეცდომა ორჯერ და უბრალოდ განსხვავებული დომენი მიუთითო, განსაკუთრებით მაშინ, როდესაც უკვე ცნობილია ვირუსის განადგურების ხერხი? არ არის გამორიცხული ეს იყოს ვირუსის განეიტრალების დროის შემოწმების ვარიანტი.

ასევე არსებობს ვარაუდი, რომ მოხდა EternalBlue ექსპლოიტის ტესტირება რეალურ რეჟიმში და იმის ჩვენება თუ რამხელა ზიანის მოტანა შეუძლია ამ და სხვა მსგავსი ექსპლოიტის იმპლემენტაციას ვირუსებში. გარდა ამისა, 2 დღეში 200,000 კომპიუტერის დავირუსებით ნათელი გახდა რამდენი კომპიუტერის დავირუსება შეეძლო NSA-ს თავისი ექსპლოიტით, მითუმეტეს რომ წლებია მათ ეს ექსპლოიტი აქვთ.

200,000 დაინფიცირებული მსხვერპლიდან, მხოლოდ 200-მა მოახდინა მოთხოვნილი თანხის გადახდა, რაც ძალიან მცირე რიცხვია. ჰაკერებს თავი არ შეუწუხებიათ გადახდების ავტომატიზაციით და ავტომატური შემოწმებით, რაც საშუალო დონის კოდერისთვისაც კი რთული არ იქნებოდა. აქედან ჩნდება კითხვა: ვინ დგას WannaCry-ს უკან და არსებობს თუ არა პოლიტიკური მოტივებიც?

ეჭვი ჩრდილოეთ კორეისკენ მიდის

ალბათ გსმენიათ Lazarus Group-ის შესახებ. სწორედ მათ დაჰაკეს Sony Pictures 2014 წელს და ბანგლადეშის ბანკი 2016 წელს. არაერთი ექსპერტი მიიჩნევს, რომ ეს დაჯგუფება ჩინეთიდან ოპერირებს მაგრამ იმართება და ემსახურება ჩრდილოეთ კორეის ინტერესებს.

WannaCry-ის კოდის კვლევის შედეგად მკვლევარმა Neel Mehta-მ აღმოაჩინა არსებითი მნიშვნელობის მსგავსება WannaCry-სი არსებულ ფუნქციებსა და Lazarus Group-ის ადრინდელ ვირუსებს, კერძოდ Backdoor.Fimlis, Backdoor.Fimlis.B და Backdoor.Contopee-ს შორის.

მიუხედავად იმისა, რომ ეს არ არის მყარი მტკიცებულება ის მაინც საკმაო ეჭვებს ბადებს. ჩრდილოეთ კორეისთვის ეს არ იქნება პირველი შეტევა პოლიტიკური მოტივებით თუ ყურადღების მისაქცევად. 2014 წელს ხომ სწორედ ჩრდილოეთ კორეა ცდილობდა Sony Pictures-სთვის ფინანსური ზიანის მიყენებასა და მათ ლიდერზე გადაღებული ფილმის “The Interview”-ს გაშვების შეჩერებას.

პოლიტიკური მიზნები WannaCry-ს უკან ჯერჯერობით მაინცდამაინც ნათელი არ არის, მაგრამ არც ისაა გამორიცხული მომავალში გამოჩნდეს, ისევე როგორც ეს Sony Pictures-ის დაჰაკვიდან რამდენიმე თვის გასვლის შემდეგ გამოიკვეთა. ზოგი ექსპერტი ვარაუდობს, რომ ჩრდილოეთ კორეის მოტივაცია შეიძლება NSA-სთვის ნერვების მოშლა და საზოგადოებრივი აზრის მათ წინაააღმდეგ აგორება ყოფილიყო.

ბუნებრივია, არსებობს ვარაუდი, რომ ვიღაც სხვა იყენებს Lazarus Group-ს და მის კოდს, რომელსაც სურს საკუთარი თავი სხვის ჩრდილში დამალოს, თუმცა ეს ვარაუდი ნაკლებად რეალურია, იმდენად რამდენადაც WannaCry-ს კოდის ხელწერა არსებითად ემთხვევა Lazarus Group-ის ხელწერას.

კიდევ ერთი ვარაუდია, რომ WannaCry ალტრუისტული მოტივით გაავრცელეს: ავტორებს უნდოდათ მსოფლიოსთვის გაეგებინებინათ SMB კრიტიკული სისუსტის არსებობა, სანამ მას ბევრად უფრო ბოროტული მიზნებისთვის გამოიყენებდნენ.

WannaCry-ზე მეტი ტექნიკური დეტალები იხილეთ უსაფრთხოების ექსპერტ ტროი ჰანტის ბლოგზე: https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/