Российский военный интернет подтвердил свою неуязвимость
В ночь на 12 мая в Интернете началось распространение нового вируса. Попадая на жесткий диск компьютера, он шифрует файлы. Вернуть информацию пользователь может лишь после того, как заплатит определенную сумму. Спустя некоторое время после начала атаки новинка получила имя WannaCry.
За считаные часы сетевой червь превратился в бедствие мирового масштаба. Под его удары попали не только архивы простых обывателей, но и базы данных крупнейших мировых компаний. Жертвами атаки WannaCry стали силовые ведомства нескольких стран. Первые сообщения поступили от Министерства внутренних дел Великобритании. Червь добрался до некоторых баз данных британских полицейских. Вскоре сообщения о вирусных атаках последовали от полицейских ведомств, прокуратур, судов из других стран. Дольше всех держались информационные системы военных ведомств. Но уже в субботу вечером стало известно, что жертвами вируса стали базы нескольких оборонных министерств европейских и латиноамериканских государств. Правда, какую именно военную информацию зашифровал новый интернет-червь, пока доподлинно неизвестно.
Незваный шифровальщик
Вечером 12 мая несколько российских СМИ сообщили, что WannaCry успешно атаковал и МВД России. Якобы вирус зашифровал почти все основные базы данных российской полиции. IT-специалисты ведомства могли только наблюдать на экранах компьютеров баннер. Он сообщал, что все данные заблокированы и для их дешифровки требуется заплатить определенную сумму.
“Распространение WannaCry можно назвать целенаправленным рейдом против информационной инфраструктуры России”
Спустя некоторое время информация стала более угрожающей. В российских СМИ появились сообщения, что WannaCry не только зашифровал базы данных российских полицейских, но и передал их на некие зарубежные серверы. 13 мая МВД России выступило с официальным заявлением, сообщив, что вирус действительно смог пройти защиту. Под удар попали несколько десятков (потом количество увеличилось до одной тысячи) компьютеров. Но ни о какой атаке на базы данных ведомства речи не идет. Вирус локализован, а специалисты по кибербезопасности занимаются ликвидацией ущерба.
Следующей жертвой атаки стал Следственный комитет России. Как и в случае с МВД, журналисты поспешили сообщить о серьезных проблемах ведомства. После СКР вирус перекинулся на Министерство здравоохранения и МЧС, а потом добрался и до Российских железных дорог. Были отмечены попытки атаки на информационные системы нашего финансового сектора.
Правда, пресс-службы подвергшихся атакам ведомств утром 14 мая поспешили сообщить, что WannaCry ничего не добился. Насколько такая информация достоверна, оценить трудно. Скорее всего вирус все же смог доставить определенные проблемы и вызвать сбои в работе систем.
Масла в огонь подлили СМИ, заявившие, что наибольшее количество атак вируса WannaCry пришлось именно на Россию. Причем направлены они были именно на силовые структуры, информационные базы финансового блока и государственного управления. Вечером 14 мая "Лаборатория Касперского", занимающаяся защитой информации, сообщила, что следы и данные о WannaCry якобы можно найти в опубликованных WikiLeaks разоблачениях.
Принцип работы вируса достаточно прост. Для проникновения он использует сетевую уязвимость операционной системы Microsoft Windows. Затем, по данным "Лаборатории Касперского", на зараженную систему устанавливался руткит, используя который, злоумышленники запускали шифровальную программу.
Эта информация наложилась на сообщения американских СМИ, что специалисты АНБ и киберкомандования Пентагона якобы внедрили в российские правительственные и военные информационные ресурсы программы-трояны. "Закладки" должны ударить в нужный момент.
Американские спецслужбы и военные уже несколько раз проводили успешные боевые кибероперации. Правда, об этих атаках почти ничего неизвестно – за исключением удачного заражения информационных систем, отвечающих за иранскую атомную программу ("Федеральный антивирус", "ВПК", №№ 3–4, 2016). "Закладка" несколько раз сбивала работу основных систем, в том числе и отвечающих за обогащение урана центрифуг.
Поэтому уже 14 мая российские источники аккуратно намекнули, что распространение WannaCry можно назвать целенаправленным рейдом против информационной инфраструктуры России.
Танки отдельно, "танчики" отдельно
О запуске российского "военного Интернета" стало известно не так давно, хотя формирование ЗСПД, "закрытого сегмента передачи данных", началось несколько лет назад. Под этот проект военное ведомство арендовало сети "Ростелекома", а также использовало свои ресурсы.
Важная особенность ЗСПД – он не имеет доступа в Интернет. К компьютерам, работающим в закрытом сегменте, нельзя подключить несертифицированные флеш-накопители информации, мобильные жесткие диски и другое оборудование. Более того, они находятся в специальных комнатах, а контроль того, какие специалисты ведут работу, осуществляет Служба защиты гостайны. При этом через ЗСПД осуществляется обмен и хранение информации, в том числе входящей в категорию "особой важности". По такому же принципу работает "система защищенной связи" (СЗС), аналог ЗСПД, но созданная для предприятий российского оборонно-промышленного комплекса. Правда, в отличие от "военного Интернета" его "оборонный" аналог еще формируется с выходом на полную мощность до конца 2017 года.
С момента появления в СМИ первых сообщений о создании ЗСПД и СЗС различные специалисты неоднократно критиковали эти системы. Главная претензия – слишком большая закрытость и большая потребность в ресурсах. Это требует создания в ЗСПД и СЗС громоздких надстроек.
Военным и "оборонщикам" логичнее, по мнению экспертов, взять пример с современных коммерческих компаний – для обмена информацией между базами данных и потребителями использовать зашифрованные каналы в сети Интернет. Через них же вести мониторинг и обеспечивать работоспособность баз данных, контролировать IT-специалистов и привлекаемые компании.
Примечательно, что по такому принципу пошли не только отечественные коммерческие предприятия, но и несколько наших силовых ведомств. Но именно интернет-каналы и стали той брешью, через которую WannaCry проник в закрытые информационные системы и начал там распространяться.
Червь не проползет
Хоть ЗСПД и СЗС и критиковали, но, как показала нынешняя атака WannaCry, эти системы спокойно пережили нападение. Доставить червя с помощью Интернета в такие системы невозможно. Они не имеют связи с глобальной сетью.
Остается вариант принести вирус на флеш-накопителе или мобильном жестком диске и загрузить его на компьютер, работающий в ЗСПД или СЗС. Но и тут на пути злоумышленника стоит защита. Несертифицированные носители к таким компьютерам не присоединить. Конечно, можно попытаться завладеть сертифицированным мобильным носителем информации и, обманув Службу ЗГТ, загрузить вирус. Но и тогда червя достаточно быстро локализуют, последствия его атаки будут минимальны.
Еще не так давно российское военное ведомство воспринималось как отставшее в области информационных технологий. Но оказалось, что наши военные прекрасно разбираются в реалиях современного мира и не стремятся следовать новомодным IT-трендам. Поэтому ЗСПД и СЗС оказались абсолютно неуязвимы для атаки WannaCry. Критически важные информационные системы военного ведомства и оборонно-промышленного комплекса даже не почувствовали дискомфорт от вирусной эпидемии.
Павел Иванов
Опубликовано в газете "Военно-промышленный курьер" в выпуске № 18 (682) за 17 мая 2017 года