Хакерські інструменти афілійованої з АНБ угруповання Equation Group почали використовуватися для атак на простих користувачів. По всій видимості, працюють хакери-дилетанти, що озброїлися цими експлойта. Загальна кількість заражень, за різними оцінками, знаходиться в діапазоні від 15 до 41 тис.

Серйозні інструменти потрапили в руки хакерів-дилетантів Протягом останніх місяців хакерська угруповання Shadow Brokers публікувала у відкритому доступі інструменти сумнозвісної Equation Group - ще однієї хакерського угруповання, яка, на думку експертів з безпеки, може бути пов'язана з Агентством національної безпеки США (АНБ). Як мінімум два з цих інструментів вже активно використовуються дилетантами для проведення атак.

Експерт з безпеки Ден Тентлер (Dan Tentler), засновник компанії Phobos Group, заявив виданню The Register, що йому вдалося виявити кілька десятків тисяч машин з ознаками зараження Бекдор Doublepulsar, розробленим Equation. Цей бекдор, в свою чергу, встановлюється за допомогою іншого інструменту тих же розробників - експлойта Eternalblue.

Даний експлойт атакує сервіси мережевого протоколу для віддаленого доступу SMB в версіях Windows від XP до Server 2008 R2 - за умови, що дані сервіси доступні ззовні.

Microsoft усунула відповідну вразливість в SMB Server (MS17-010) в березні 2017 р. Патч був випущений для операційних систем Windows, починаючи з Vista SP2 і до Windows Server 2016 включно. Патчі для XP і Server 2003 не випускалися, оскільки їх Microsoft вже зняла з підтримки.

масштаби проблеми.

За словами Тентлера, в минулий четвер він за допомогою пошукової системи Shodan. io виявив понад 15 тис. заражень, чотири п'ятих з яких припадають на IP-адреси на території США. З кожним новим скануванням кількість заражень зростає. Систему, атакували Doublepulsar, можна впізнати по відповіді на спеціальний PING-запит до порту 445.

За запевненням Тентлера, зростання числа заражень означає, що хакери-дилетанти і недоучки озброїлися чужими інструментами і почали заражати все навколо. Причому 15 тис. заражень - це ще й «нижній поріг» оцінки. Колега Тентлера по цеху, експерт Роберт Грем (Robert Graham) виявив понад 41 тис. заражених хостів, і це, швидше за все, не кінець.

«Нічого несподіваного в тому, що дилетанти схопилися за колишні" іграшки "Equation, немає, - каже Ксенія Шилак, директор з продажу компанії SEC-Consult Рос. - Але це дуже неприємне розвиток подій: дилетант, озброєний ефективним інструментом злому, небезпечніша, ніж дилетант беззбройний. Кількість успішних заражень, в цілому, теж не дивно: призначена для користувача "безтурботність" щодо кібербезпеки - це об'єктивний фактор, з яким доводиться рахуватися: і галузі кіберзахисту, і розробникам ПО ».

«Чужі іграшки».

У 2015 р. «Лабораторія Касперського» опублікувала дослідження, присвячене EquationGroup, в якому вказувалося, що ця група «багато років взаємодіє з іншими впливовими угрупованнями, наприклад з тими, що стоять за Stuxnet і Flame, причому кожного разу з позиції переваги: ??Equation завжди отримувала доступ до експлойтів нульового дня раніше інших груп ».

Угруповання TheShadowBrokersв серпні 2016 р. оголосила про те, що їй вдалося викрасти ряд інструментів EquationGroup, і спробувала виставити їх на аукціон.

Оскільки бажаючих платити за кота в мішку не знайшлося, «брокери» почали публікувати ці експлойти в загальному доступі (це дає підставу вважати, що поширення даного інструментарію і було основною метою «брокерів»).

Експерти, які проаналізували опубліковані Shadow Brokers експлойти, зійшлися у високій оцінці якості шкідливих програм Equation. Як неважко помітити, вони до сих пір виявляються досить ефективні, не дивлячись на те, що вендори ПО оперативно випускають патчі для всіх вразливостей, до яких у Equationбилі експлойти.