Сегодня на всей Европейской части России наблюдались огромные проблемы со связью у абонентов Мегафона. Среди пострадавших - и ваш покорный слуга. SMS приходили через одну, интернет полз в час по чайной ложке, большая часть звонков уходили в никуда.
Но что же тут уникального? Ну, бывают перебои...
Нет, на этот раз ситуация принципиально новая. Дело в том что - сейчас об этом уже можно говорить уверенно - результатом перебоев стали не технические неисправности, а атака на одного из крупнейших сотовых операторов России. Атака спланированная, четко продуманная, скоординированная.
Сегодня одновременно вышли из строя два HLR-узла Мегафона (это, выражаясь просто, базы данных абонентов сети) - московский (центральный) и ростовский (отвечающий за весь юг европейской части России). Сеть перестала "видеть" номера и идентифицировать их с конкретными SIM-картами. Сейчас техники Мегафона рассказывают про "технические неисправности" , но это неубедительная ложь - одновременная поломка сразу двух важнейших элементов инфраструктуры сравнимо с выпадением "зеро" на рулетке раз тридцать подряд.
Куда вероятнее другое объяснение - Произошедшее стало следствием хакерской атаки, схожей с DDOs в случае с интернет-сайтами - огромное количество запросов, в разы превышающее мощности узлов.
Стоит такая атака немалых денег, так что досадить Мегафону хотел кто-то очень могущественный (скажем, другие сотовые операторы на такое не пошли бы). Кто же это, и за что "наказывает" ни в чем неповинных абонентов? Или дело не в них? И почему в самом "Мегафоне" это отрицают?
Большинство интернет-пользователей подобный аквариумным рыбкам - в их памяти не удерживается никакая новость дольше суток. Давайте не будем рыбками и вспомним, какие события сотрясали инфополе в последнее время? Ах да, Алишер Усманов, оскорбленный клеветой в его адрес, подал в суд на Алексея Навального и обратился к нему с открытым видеообращением, уже растащенным блогерами на цитаты ("из нас двоих уголовник ты!" и "тьфу на тебя", например).
А теперь просто подумайте - в четверг Усманов публично бросает перчатку в лицо Навальному. А в пятницу происходит небывалая атака на Мегафон... который фактически принадлежит как раз Усманову. Человеку, который открыто выступил против "любимца Америки", ставленника Госдепа Навального. Такие совпадения еще менее вероятны - это можно сравнить с тем, что после 30 "зеро" подряд шарик вдруг взлетел и повис в воздухе над рулеткой.
Да, как говорил Холмс, если мы отбросим все невозможное, то останется единственно верная разгадка - какой бы невероятной она не казалась. У заокеанских друзей Алексея были и мотив, и возможность для нападения на бизнес Усманова! Мы можем уже сейчас уверенно говорить, что сегодняшние перебои со связью были "местью" за то, что Усманов припер к стенке популярного оппозиционного политика. Интересы рядовых россиян для сил, стоящих за Навальным - несущественны.
Техники Мегафона, конечно, будут продолжать говорить о технических проблемах - ведь с точки зрения бизнеса нет ничего хорошего в том чтобы люди узнали, что против активов Усманова ведется атака со стороны столь серьезного врага. И да, Усманов гордец - он не позволит себе признаться в том что его сотрудники не смогли отбить эту атаку. Но факты, увы, говорят именно об этом.
Думаю, это еще не конец. Рискну предположить что возникнут проблемы и у других структур, связанных с Усмановым - например, лондонскому "Арсеналу", ведущему борьбу за место в Лиге Чемпионов, успех теперь уже явно не светит.
Интересно, впрочем, каков будет ответ Усманова. Не думаю что он даст задний ход. Он гордый человек и не поддастся давлению. Скорее уж наоборот - теперь у Навального будут еще большие проблемы.
МОСКВА, 19 мая - ПРАЙМ, Наталья Карнова. В пятницу абоненты сотового оператора "Мегафон" столкнулись с проблемами со связью в целом ряде регионов. Компания уточнила, что неполадки с голосовой связью наблюдаются в Москве и нескольких других городах, "снижение успешности дозвона" составляет 30%. При этом мобильный интернет работает в обычном режиме, звонки возможны через мессенджеры. Восстановительные работы оператор планирует завершить в ближайшие часы.
Вслед за "Мегафоном" о неполадках в своих сетях сообщили операторы "Билайн" и Yota. Позже в "Билайн" сообщили, что проблемы были только с одной станцией, и они уже устранены. Сети МТС и Tele2 на момент написания статьи работали в штатном режиме.
Домыслов пока больше, нежели информации о реальном развитии событий - пожалуй, наиболее четкая картина сейчас у тех, кто находится внутри компании, рассуждает гендиректор агентства Telecom Daily Денис Кусков. "Можно констатировать лишь, что проблемы не в аппаратном обеспечении базовых станций. Если какой-то канал выходит из строя, его можно заменить на резервное оборудование. Похоже, что речь идет о программном сбое - на это указывает то, что проблемы фиксируются в разных регионах", - отметил он в беседе с агентством "Прайм".
По словам эксперта, причины такого сбоя могут быть как внутренние, так и внешние - воздействие извне или вирусная атака. "Хакеры забирались даже в Пентагон, что уж говорить об операторской сети, которая наверняка защищена не настолько хорошо. От этого никто не застрахован, особенно в наше время, когда мир становится все беззащитнее перед компьютерными атаками", - отметил он.
СЛЕД WANNA CRY
В сообщении "Мегафона" говорится, что сбой в сети не связан с вирусной атакой WannaCry, авария произошла на одном из элементов сетевого оборудования. При этом масштабная кибератака с вредоносной программой по всему миру затронула сети "Мегафона" 15 мая. Тогда компания отчиталась, что завершила ликвидацию последствий вирусной атаки.
"Мы уже видели, что в течение суток в ряде регионах не работала система выдачи водительских прав. Никто не исключает, что ее мог поразить вирус. Подобные атаки обычно идут веером, и могут дать или не дать результат в зависимости от того, как была настроена волна вируса", - отмечает в этой связи Кусков.
Злоумышленники используют WannaCry для шифрования файлов с целью вымогательства денег за восстановление зашифрованных данных. Ранее директор Европола Роб Уэйнрайт заявил, что масштабная кибератака по всему миру с 12 мая затронула более 200 тысяч пользователей в 150 странах. Разработчики антивируса Avast сообщали о 57 тысячах хакерских атак с использованием вируса WanaCrypt0r 2.0. По данным компании, в первую очередь вирус распространяется в России, на Украине и Тайване. В "Лаборатории Касперского" сообщали о 45 тысячах попыток хакерских атак в 74 странах по всему миру в пятницу, наибольшее число попыток заражений наблюдалось в России.
В пятницу пресс-служба Банка России сообщила о выявлении единичных случаев компрометации ресурсов кредитных организаций при помощи вируса WannaCry, последствия которых удалось быстро устранить. Банк России еще в апреле разослал банкам информацию о методах выявления рассылаемого по почте вредоносного программного обеспечения типа "шифровальщик" и противодействия ему. В частности, банки получили рекомендации по установке пакетов обновлений безопасности для Windows, которые способны противостоять вирусу WannaCry.
БЕЗ ЗНАЧИМЫХ ПОСЛЕДСТВИЙ
Социальные и стратегические объекты не пострадали от проблем "Мегафона", хотя первоначально появилась информация о том, что сбой в работе телефонов и сети интернет затронул Федеральную антимонопольную службу. Позже стало известно, что сбой произошел из-за отключения электричества в здании ведомств и не связан с проблемами "Мегафона". Данные службы не пострадали.
Никак не отразились неполадки "Мегафона" и на системе управления и связи МЧС РФ. Ведомственная цифровая сеть связи и управления с интеграцией различных услуг работает устойчиво в штатном режиме, сообщили в ведомстве. По словам представителя МЧС, параллельно с основной системой в штатном режиме работают и резервные системы управления и связи. Таким образом, неполадки в сети "Мегафон" не повлияли на работоспособность и функционирование министерства. "Неудобства почувствовали только сотрудники МЧС, являющиеся абонентами сотовой сети "Мегафон", — заключили в МЧС.
Что касается возможных последствий для стратегических объектов, то пока можно с уверенностью предположить лишь то, что кто-то из сотрудников Минобороны остался без сотовой связи, согласен Кусков. Что касается самих секретных объектов, то там используются другие варианты связи и защиты данных, и вряд ли неполадки с сотовой связью будут критичными. Однако в перспективе никто не сможет дать 100- и даже 50-процентной гарантии, что очередная поломка ограничится лишь сотовой связью и не затронет социальные объекты вроде Пенсионного фонда, добавил он.
Помимо телекоммуникационных компаний, жертвами атак хакеров, по словам источников РБК, а также «Газеты.Ru» и «Медиазоны», стали силовые ведомства России — МВД и Следственный комитет.
Собеседник РБК в МВД рассказал об атаке на внутренние сети ведомства. По его словам, атаке подверглись в основном региональные управления министерства. Он уточнил, что вирус поразил компьютеры как минимум в трех областях европейской части России. Источник добавил, что на работе МВД эта атака не должна отразиться. Другой собеседник РБК в министерстве рассказал, что хакеры могли получить доступ к базам МВД, но неизвестно, успели ли они скачать оттуда информацию. Атака на МВД затронула только те компьютеры, на которых давно не обновлялась операционная система, рассказал собеседник в ведомстве. Работа министерства не парализована хакерами, но сильно затруднена.
В Германии хакеры сервисы компании Deutsche Bahn, которая является основным железнодорожным оператором страны. Об этом сообщил телеканал ZDF со ссылкой на МВД страны.
Министерство национальной безопасности США партнерам техническую поддержку и помощь в борьбе с «программой-вымогателем» WannaCry.
Что за вирус?
Согласно сообщению «Лаборатории Касперского» , вирус, о котором идет речь, — программа-шифровальщик WannaCry. «Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — рассказали в компании.
«Все решения «Лаборатории Касперского» детектируют данный руткит как MEM: Trojan.Win64.EquationDrug.gen. Также наши решения детектируют программы-шифровальщики, которые использовались в этой атаке, следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf, Trojan-Ransom.Win32.Fury.fr, PDM: Trojan.Win32.Generic (для детектирования данного зловреда компонент System Watcher должен быть включен)», — отметили в компании.
Для снижения рисков заражения специалисты «Лаборатории Касперского» советуют пользователям установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость, а для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных атаках и возможных заражениях.
Хакерскую атаку прокомментировали и в Microsoft . «Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom: Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь», — говорится в заявлении представителя Microsoft в России, поступившем в РБК.
Представитель Solar Security заявил РБК, что компания видит атаку и в настоящий момент исследует образец вируса. «Сейчас мы не готовы делиться деталями, но зловред явно написан профессионалами. Пока нельзя исключать, что он представляет собой нечто более опасное, чем шифровальщик. Уже очевидно, что скорость его распространения беспрецедентно высокая», — сказал собеседник. По его словам, ущерб от вируса «огромен», он задел крупные организации в 40 странах мира, но точную оценку пока дать невозможно, поскольку возможности зловреда еще не до конца изучены и атака сейчас находится в развитии.
Генеральный директор Group-IB Илья Сачков рассказал РБК, что программы-шифровальщики, аналогичные той, что использовалась при нынешней атаке, — это нарастающий тренд. В 2016 году количество таких атак увеличилось более чем в сто раз по сравнению с предыдущим годом, уточнил он.
Сачков отметил, что, как правило, заражение устройства в таком случае происходит через электронную почту. Говоря о WannaCry, эксперт отметил, что у этой программы-шифровальщика есть две особенности. «Во-первых, она использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers. Патч, закрывающий эту уязвимость, для ОС Windows Vista и старше, стал доступен 9 марта в составе бюллетеня MS17-010. При этом патча для старых ОС вроде Windows XP и Windows server 2003 не будет, так как они выведены из-под поддержки», — рассказал он.
«Во-вторых, помимо шифрования файлов она осуществляет сканирование интернета на предмет уязвимых хостов. То есть, если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже, — отсюда и лавинообразный характер заражений», — добавил Сачков.
Защиту от подобных атак, по словам Сачкова, можно обеспечить, используя решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, приходящие на почту сотрудникам или скачиваемые ими из интернета. Кроме того, напомнил эксперт, важно проводить с сотрудниками разъяснительные беседы об основах «цифровой гигиены» — не устанавливать программы из непроверенных источников, не вставлять в компьютер неизвестные флэшки и не переходить по сомнительным ссылкам, а также вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем.
Кто виноват
Кто стоит за масштабной кибератакой, пока не ясно. Экс-сотрудник АНБ Эдвард Сноуден , что при глобальной хакерской атаке, случившейся 12 мая, мог быть использован вирус, разработанный АНБ. О такой возможности ранее заявил WikiLeaks.
В свою очередь власти Румынии , что за попыткой атаки может стоять организация, «связанная с группировкой киберпреступности APT28/Fancy Bear», которую традиционно причисляют к «русским хакерам».
The Telegraph предполагает , что за атакой может стоять группировка Shadow Brokers, связанная с Россией. Они связывают это с заявлениями хакеров, прозвучавшими в апреле, что они якобы украли «кибероружие» разведывательного сообщества США, что дает им доступ ко всем компьютерам с ОС Windows.