Относительно надежные улики

Китайский след

Чтобы выявить происхождение WannaCrypt, сотрудники Flashpoint проанализировали сообщения с требованием выкупа, которые вирус рассылал на зараженные компьютеры. «Мы проанализировали отдельно каждое из сообщений на предмет содержания, аккуратности и стиля, а затем сравнили результаты. Также мы сравнили их с похожими сообщениями других вымогателей на предмет возможных сходств. Как и ожидалось, совпадения действительно были, но проследить точные связи пока не удалось», — говорится в сообщении компании.

Аналитики пришли к выводу, что из 28 вариантов требований о выкупе на разных языках (в том числе и на русском) только три были написаны человеком: на двух вариантах китайского (традиционном и упрощенном) и на английском. Остальные сообщения были оставлены по одному и тому же принципу: исходный текст на английском пропускался через сервис Google Translate — сходства в структуре предложений достигли 96%. При этом, отмечают авторы исследования, английский язык — явно не родной для автора сообщения, допустившего слишком много ошибок для носителя.

Это позволило специалистам Flashpoint сделать вывод о том, что родным для вымогателей является один из вариантов китайского языка. Эту версию подтвердил и более глубокий лингвистический анализ требований на китайском. Стиль письма, грамматическая и синтаксическая точность, а также отдельные употребляемые слова не оставили сомнений в том, что текст изначально был введен на клавиатуре с китайской раскладкой, а не создан с помощью Google Translate. Одна небольшая ошибка в сообщении все же присутствует, однако ее можно списать на то, что автор использовал функцию автозаполнения, считают во Flashpoint.

Более того, некоторые термины, встречающиеся в сообщении на китайском, говорят о том, что составитель говорит на южном диалекте. Эти слова чаще всего употребляются непосредственно в Южном Китае, а также в Гонконге, Сингапуре и на Тайване. Однако во Flashpoint признают, что всех этих выводов, несмотря на их убедительность, недостаточно для того, чтобы установить не только личность авторов вируса, но и даже их точную национальность. Также исследователи не исключили, что злоумышленники могли использовать электронный переводчик умышленно, чтобы запутать следствие.

Что говорят в самом Китае

Примечательно, что первым на доклад Flashpoint обратило внимание китайское англоязычное издание South China Morning Post. Его журналисты опросили китайских лингвистов. Чжан Кефен из университета города Сямынь поставил некоторые выводы из доклада под сомнение: «Слово "либай" ["слабый" — кит.; аналитики Flashpoint приводят его в качестве доказательства своих аргументов] используется не только на юге Китая — его употребляют и в некоторых северных районах, причем в повседневном общении. По образцам письменной речи на китайском очень трудно сделать точную географическую привязку. Особенно это касается образованных людей — они пишут в похожем стиле, несмотря на то, какой диалект считают своим родным».

Слова профессора подтвердили и опрошенные изданием пекинцы (столица Китая находится на севере страны). Они рассказали, что постоянно используют слово «либай» в своей речи. Тан Вэй, вице-президент китайской компании Rising, производящей системы кибербезопасности, подтвердил версию Flashpoint (в самой компании ей, правда, оставляли мало шансов на реалистичность). «Профессиональные хакеры часто оставляют многочисленные приманки, чтобы ввести в заблуждение сыщиков. Беспрецедентный размах WannaCrypt — лишнее подтверждение их изощренности», — отметил собеседник South China Morning Post.

Или все-таки КНДР?

Прежде программисты выдвигали разные версии о происхождении вируса-вымогателя. Самая популярная гласила о северокорейском следе. Ее в середине мая, через три дня после атаки, высказал главный эксперт «Лаборатории Касперского» Александр Гостев. «Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много слышали в последнее время? Детектив закручивается все сильнее, и теперь один и тот же код обнаружен в WannaCrypt и троянцах от Lazarus. Боюсь, что после такого Северную Корею в интернете мы больше не увидим», — писал Гостев.

Хакерскую группировку Lazarus Group, о которой говорил специалист, в последнее время связывали сразу с несколькими крупными взломами. Среди них атака на Центральный банк Бангладеш в феврале прошлого года (тогда преступникам удалось похитить 81 миллион долларов, 15 миллионов из которых позже удалось вернуть), на банки в 18 странах мира и на кинокомпанию Sony Pictures в ноябре 2014 года (в распоряжении WikiLeaks попали более 20 тысяч документов и электронных писем со сведениями о финансах компании и гонорарах актеров, а также несколько сценариев еще не вышедших фильмов).

Отдельное внимание хакеры из Lazarus Group традиционно уделяют организациям из Южной Кореи. С 2009 года, когда группировка предположительно появилась на свет, они совершили сразу несколько нападений на своих соседей, в том числе на банки, радио и телевидение, СМИ, предприятия авиакосмической промышленности. Другими жертвами преступников стали частные и корпоративные пользователи из Бразилии, Мексики, Саудовской Аравии, Турции, Ирана, Тайваня и России. Связать атаки между собой и с Lazarus удалось благодаря повторяющимся из раза в раз фрагментам кода. При этом, отмечают специалисты, северокорейские хакеры используют и новые инструменты, которые с трудом поддаются вычислению.

В феврале специалисты по кибербезопасности обнаружили во вредоносных кодах Lazarus русские слова. Так хакеры пытались пустить правоохранительные органы по ложному следу, создав видимость того, что к их атакам причастны русскоязычные взломщики. «Благодаря обратному инжиниингу мы смогли обнаружить в коде использование русских слов, которые были переведены неправильно. В некоторых случаях неточные переводы полностью меняли смысл слов. Это значит, что злоумышленники, стоящие за атаками, не являются носителями русского языка и пытались таким образом сбить нас с толку», — отчитывались компании Symantec и BAE Systems.

Китайских хакеров в последние годы тоже нередко обвиняли в резонансных атаках. По данным агентства Xinhua, в 2016 году взломщики из Поднебесной создали более двух миллионов вирусов. Правда, в 99% случаев атакам подвергались мобильные устройства под управлением операционной системы Android (в то время как WannaCrypt заразил исключительно персональные компьютеры, на которых была установлена Windows).

Аналитики отмечали, чти за последние два года китайские киберпреступники стали гораздо реже атаковать цели в США, переключившись вместо этого на Россию, в том числе и на ее стратегические объекты. Произошло это после того, как осенью 2015 года Пекин и Вашингтон заключили соглашение об отказе от взаимного кибершпионажа. С тех пор больше всего от действий китайских хакеров страдали правительственные учреждения (преимущественно оборонно-промышленного комплекса) России и стран СНГ, которые используют зависящую от иероглифов инфраструктуру. Самым популярным видом вируса стал троян.

Хакеры над политикой

Flashpoint выбрал сомнительный способ анализа, не затрагивающий техническую сторону вопроса, рассказал «Профилю» сотрудник лаборатории компьютерной криминалистики Group IB Сергей Никитин. «Очень странно, что анализ был именно лингвистическим. Его авторы как будто не подумали о том, что создать вирус и написать требование о выкупе могли совсем разные люди. Для таких вещей нужен технический анализ: с каких IP-адресов, с каких автономных систем производились атаки, откуда пошло первое заражение, кто его распространял. Много информации можно собрать — было бы желание и международное взаимодействие. Так что у меня подобные методы вызывают большие вопросы», — говорит Никитин.

По его словам, история знает немало примеров, когда установить хакеров все же удавалось, но происходило это, как правило, в рамках одной страны: «Потому что иначе мешает как раз то самое отсутствие международного взаимодействия. Мы помним, как в прошлом году взломали WADA и слили данные многих спортсменов со всего мира. Этот случай можно было бы успешно расследовать, но спецслужбы разных стран не захотели объединяться. Хакеры стоят выше политики и успешно пользуются этим».

Последствия атаки WannaCrypt

По последним данным, совокупный ущерб от действий WannaCrypt по всему миру превысил миллиард долларов. Основная часть этой суммы приходится на репутационные потери и упущенную прибыль. Сами же злоумышленники, требовавшие от жертв выкуп в 300 долларов (в биткойнах), к концу прошлой недели получили около 127 тысяч долларов. При этом обналичить деньги они пока не могут — указанные в сообщении счета находятся под наблюдением спецслужб.

Эксперты расходятся во мнении о причинах относительной неудачи вируса. Одни говорят о том, что изначальной целью хакеров был не заработок, а привлечение внимания. Другие считают, что WannaCrypt просто вышел из-под контроля. Самым известным сбоем стал тот, что произошел на следующий день после начала атаки. Анонимный специалист по компьютерной безопасности из Великобритании, ведущий в твиттере аккаунт @MalwareTechBlog, нашел в коде вируса уязвимость, которая блокировала его распространение. В итоге создателям WannaCrypt пришлось выпускать обновление, в котором были учтены предыдущие ошибки.

В самом Китае под ударом оказались сотни тысяч компьютеров, в том числе и принадлежащих государственной нефтегазвовой компании PetroChina. Из-за этого на ее заправках несколько часов не принимали электронные платежи.