Читаем Цифровой журнал «Компьютерра» № 165 полностью

Термин «цифровое 11 сентября» давно стал главным жупелом компьютерной безопасности. Он хорошо передаёт суть (так принято обозначать скоординированную атаку на ИТ-инфраструктуру, повлекшую паралич деловой и промышленной активности, разрушения и/или жертвы среди гражданского населения), но и по сей день остаётся во многом теоретическим. Не все даже верят в осуществимость такого сценария: одно дело — вывести из строя отдельную персоналку или сервер, совсем другое — задеть последствиями людей и объекты, от компьютеров напрямую не зависящие (см. «Страшная сказка становится былью» и «Успокойтесь: кибертерроризма не существует»).

Но вот что интересно: одновременно со сторонниками и противниками этой теории, ломающими копья в политических баталиях, существует сравнительно небольшая группа граждан, которые не спорят, а просто живут в условиях перманентного цифрового катаклизма. Я говорю о Южной Корее, в эти дни и часы как раз восстанавливающейся после очередного масштабного кибернетического удара по гражданской инфраструктуре.

В 2 часа дня в среду, 20 марта, минимум полдюжины крупнейших южнокорейских банков и телекомпаний подверглись компьютерной атаке, вынудившей их прервать работу или по крайней мере переключиться на особый режим выполнения своих обязанностей. Позже было подсчитано, что за несколько минут свыше 30 тысяч компьютеров отключились от локальных сетей, интернета либо оказались непосредственно выведены из строя. Подвергшиеся атаке финансовые учреждения были вынуждены отключить функции интернет-банкинга, решать вопрос с отказавшимися работать тысячами банкоматов, восстанавливать нарушенные связи с удалёнными отделениями. В то же время телекомпании старались продолжать вещание, несмотря на отключившиеся студийные компьютеры. Газетные заголовки первых часов звучали панически: никто не понимал, что вызвало паралич ИТ-систем и каковы масштабы происшедшего. Но даже в те ранние часы уже было понятно, что случай беспрецедентный. Вместо правительственных или военных веб-сайтов, вместо сайтов газет, министерств и ведомств чёрные хакеры смогли вывести из строя или повредить элементы, имеющие непосредственную ценность для обывателя.

_{Одновременно с нападением на банки и телекомпании, неизвестные взломщики «дефейснули» веб-сайт одного из подразделений LG (квартирующей в Южной Корее). Большинство специалистов сходятся во мнении, что это случайное совпадение: главный подозреваемый — Северная Корея — такой ерундой не занимается!}

Первым вопросом, которым задалась и пресса, и специалисты, занимавшиеся восстановлением, был вопрос: как? Уже в течение суток на компьютерах поражённых учреждений выявили несколько (кто говорит о четырёх, кто — о девяти) подозрительных программ, вероятно, использованных в ходе цифрового теракта. Одна из этих закладок, дождавшись определённого часа, уничтожала MBR-сектора на всех доступных накопителях и перезагружала компьютеры, превращая их в бесполезную груду железа. Именно она вызвала самые масштабные поражения. Другая закладка пыталась атаковать UNIX-совместимые машины и уничтожать системные файлы на них. Проблема в том, что ни одна из обнаруженных программ не была достаточно функциональна, чтобы вызвать ещё и отключение атакованных компаний от интернета. Таким образом, по всей видимости, злоумышленниками была проведена одновременная атака на ключевые узлы локальных корпоративных сетей или южнокорейских интернет-провайдеров. Чересчур трудоёмкая работа для ковбоя-одиночки или даже группы взломщиков, действующих ради славы или из любопытства.

По поводу того, как долго готовилась акция и сколько времени потребуется на устранение последствий, мнения сильно разошлись. За день до атаки специалисты Trend Micro отловили в почте одного из своих южнокорейских клиентов (тоже крупного банка) письмо с трояном, пытавшимся скачать как раз те программы, что позже будут обнаружены на поражённых компьютерах. Однако есть и версия, что подготовка к цифровому удару велась неспешно: размер зоны поражения заставляет предположить, что «логические бомбы» закладывались на протяжении нескольких месяцев. Оперативно же восстановить работу повреждённых ИТ-систем в полном объёме удалось только на части объектов. Внутренние сети некоторых жертв (в частности, государственной телерадиовещательной компании KBS) и сейчас ещё «лежат», на ремонт может потребоваться до недели.