Пролетта си отиде навръх православния празник Свети свети Константин и Елена, а с приближаването на първия летен месец – юни, светът е затихнал в очакване на нова кибератака. Както съобщи Ройтерс, хакерската група ShadowBrokers заплашила, че от юни нататък започва веднъж месечно да предоставя за продан кодове, чрез които всеки желаещ може да получи широк достъп до компютри, до софтуерни продукти и смарт телефони навсякъде по света и незаконно да проникне в най-големите търговски тайни на притежателите им. Освен това групата оповести, че ще разкрие данни от банки, използващи мрежата за международни парични трансфери SWIFT. Повече подробности – през юни, лаконично завършва предупреждението си групата.
Предупреждението на ShadowBrokers заслужава внимание, тъй като специалистите по киберсигурност смятат, че именно тази група е успяла да "открадне" и разпространи инструменти за кибершпионаж, които влизат в арсенала на американската Агенция за национална сигурност (АНС). Сред тях е и модифицираният червей-рансъмуер WannaCry, използван по време на глобалната атака, стартирала на 12 май 2017 година.
Групата пусна през март инструмент с кодово име EternalBlue, който атакува Windows. Месец и половина по- късно модифицирана версия на EternalBlue зарази компютри по целия свят със злонамерен софтуер, който блокира достъпа до данни и наруши дейността на болници, на банки, на телекомуникационни компании и правителствени агенции. Компютърният вирус WannaCry заключи файловете в стотици хиляди компютри, работещи под управлението на операционните системи Windows XP и Windows 7.
Според експертите по киберсигурност, след като първата атака затихна в рамките на десетина дни, вирусът WannaCry ще се върне с нова смарт технология, която ще доведе до още по-лоша криза. Подобно предположение се базира на факта, че дори специалистите от АНС, които са "бащите" на използваните от хакерите инструменти, не успяха да се противопоставят на първата атака. Уязвимостта на Microsoft си остава ахилесовата пета на тази операционна система. А според неофициална информация ShadowBrokers притежават вече 75 на сто от арсенала за кибершпионаж на АНС и е въпрос на време да "преопаковат" откраднатите инструменти, които могат да атакуват уеббраузъри,мобилни телефони, приложения, мрежата на банките, използващи SWIFT-система, и т.н.
На фона на кризата по света, разиграла се след връхлитането на WannaCry, у нас пораженията на червея-рансъмуер сякаш бяха минимални. Така излиза поне от изявленията на новия главен секретар на МВР главен комисар Младен Маринов. В разгара на атаката той съобщи, че МВР няма информация хакерската атака да е засегнала български институции. Активността на нашенските служби в противодействието на атаката се изрази в по-чести контакти с партньорите им от Европа и САЩ. Следим информацията и имаме контакти с партньорските служби, каза Маринов. А пресцентърът на МВР публикува кратко съобщение, че на 15 май, в сектор "Киберпрестъпност" на ГДБОП, е регистриран само един сигнал за атака с новия криптовирус WannaCry към областна административна структура. "В резултат на компетентните и навременни действия той е неутрализиран и вирусът не е нанесъл вреди. Не са регистрирани други сигнали за засегнати компютърни конфигурации на български правителствени организации, частни фирми или отделни граждани", уточниха от МВР.
Съобщението на министерството повече прилича на мантра на Кашпировски, отколкото на аргументирана информация, каквито обикновено най-голямата европейска компания за антивирусен софтуер "Касперски Лаб" тиражира в подобни случаи. В същото време Ясен Танев, специалист по киберсигурност, оповести, че освен София WannaCry е ударил и Варна.
Любопитно е, че успокояващото съобщение на МВР съвпадна със странна епидемия по различни банкомати из страната, заради която бяха блокирани дебитни и кредитни карти на десетки хора. Медиите в Русе например информираха, че банкови карти на много клиенти на една от големите банки у нас са били блокирани заради опит за компрометиране на банкомат. Хората получили СМС-и, че картите им са блокирани от съображения за сигурност и трябва да вземат нова карта. От банката уточнили, че е бил установен опит за компрометиране на АТМ устройство. Банкоматът най-вероятно е бил в центъра на града и на него е било инсталирано скиминг устройство. Най-странното е, че тази информация не е била потвърдена от полицията и в прокуратурата.
Подобна ситуация възникна и в София. С буквално същите мотиви картите на десетки столичани бяха блокирани и след това служебно преиздадени. И докато МВР твърдеше, че WannaCry ни е подминал, стана известно, че блокираните карти са много на брой и че с тях е теглено от различни банкомати, собственост на различни банки. В коментар под информацията в русенски сайт за случая неизвестен посетител пише следното: "Нещото, което се е случило, най вероятно се казва WannaCry. Блокираните карти са теглили от различни банкомати. Общото е, че тегленията са станали около петък, 12-и, когато удари вирусът. Ако се пусне разпечатка на транзакциите, се вижда, че те са отразени чак на 16-и, въпреки че тогава картите са били вече блокирани. Струва ми се, че данните са възстановявани от някой бекъп."
"Черният петък" бе отбелязан специално и в статистиките на Европол. Над 200 000 са жертвите на световната кибератака в петък, като са били засегнати над 100 000 организации в 150 страни, сочеха данните на Европол. Директорът на службата Роб Уейнрайт заяви, че обикновено Европол води операции срещу 200 кибератаки месечно, но досега такова нещо не се е случвало. Европол обяви, че е създаден специален екип в Европейския център за борба с киберпрестъпността, който да помага в международното разследване за откриване на виновниците.
Израелската компания за информационни технологии "Чек пойнт софтуеър текнолъджис" пък информира, че в седмицата на атаката нов вариант на вируса WannaCry е извършил нападения със скорост една атака в секунда. Жертва на нападанията, изглежда, е била и компанията "Уолт Дисни", откъдето обявиха, че интернет пирати са откраднали неразпространен филм на компанията и искат от нея огромен откуп. Това се случи буквално дни преди европейската премиера на последната серия от поредицата "Карибски пирати" с участието на Джони Деп…
Хакери по света и у нас
В края на миналата седмица прокуратурата ни обяви, че са разбили група контрабандисти, сред които имало и хакери. Говорителят на главния прокурор Румяна Арнаудова поясни, че разследването се води в няколко държави, извършени са над 100 обиска и изземвания, арестуваните са 23-ма души.
Двадесет и две годишният компютърен специалист Димитър Пешев създал вирус за контрабанда на стоки и го продал на групата. Вирусът хаквал системата на митниците така, че предоставял дистанционен достъп. Контрабандистите източвали ДДС след достъп чрез флаш памет, на която е инсталиран вирусът. На практика той блокирал системата на даден пункт, като е позволявал закриване на транзита в системата за товари и стоки, които реално не са преминали през границата ни, а само виртуално. Според обвинението със специално написания софтуер Пешев е успявал да манипулира данни за преминаващи камиони с товари. По този начин е ощетяван държавният бюджет от приспаднатия ДДС – акциз. Схемата е била засечена и наблюдавана от юни 2015 година. По данни на прокуратурата тя е ощетила Европейския съюз с над 3.6 млн. лева.
Трима от шестимата обвинени за хакерската атака в Агенция "Митници" бяха оставени за постоянно в ареста. Това са считаният от прокуратурата за ръководител на организираната престъпна група Емил Милчев – бивш служител на граничен пункт "Калотина", Янаки Евтимов, който работи на митница "Гюешево", и 22-годишният компютърен специалист Димитър Пешев.
