Atak wirusa WannaCry został powstrzymany przez brytyjskiego eksperta do spraw bezpieczeństwa w niemal przypadkowy sposób: dzięki rejestracji domeny zawartej w kodzie malware’u.

To najprawdopodobniej nie koniec największego ataku w historii internetu, jednak przypadkowa interwencja 22-letniego Brytyjczyka, zajmującego się bezpieczeństwem w cyberprzestrzeni, pomogła zahamować rozprzestrzenianie się wirusa WannaCry. Młody ekspert, tweetujący jako @malwaretechblog, znalazł „wyłącznik bezpieczeństwa” w kodzie ransomware’u, który umożliwił mu dezaktywację wirusa. Wyłącznikiem tym była… niezarejestrowana domena internetowa.

– Gdy przeczytałem serię artykułów o ataku hackerskim na NHS i inne brytyjskie instytucje, postanowiłem przyjrzeć się sprawie. Znalazłem próbkę oprogramowania odpowiedzialnego za infekcję i zauważyłem, że zawiera ono przekierowanie na adres internetowy, który nie został zarejestrowany. Podjąłem ten trop, nieświadomy, dokąd mnie zaprowadzi – relacjonuje Brytyjczyk w wywiadzie udzielonemu serwisowi TheGuardian.com.

„Wyłącznik” był zakodowany w malwarze na wypadek, gdyby jego twórca chciał przerwać atak. Kluczowym jego elementem była długa, bezsensowna domena internetowa, do której wirus wysyłał zapytanie – na podobnej zasadzie, jakby próbował połączyć się z dowolnym innym adresem www. Gdyby domena została zarejestrowana, a zapytanie spotkało się z odpowiedzią hosta, „wyłącznik” zostałby aktywowany, a wirus zatrzymany. Ekspert, który trafił na właściwy trop, zarejestrował nazwę, zupełnie nieświadomy konsekwencji swojego działania. W ten sposób za niespełna 11 dolarów, zdołał uratować spory „kawałek” cyberprzestrzeni przed dalszymi atakami malware’u.

Mimowolny „bohater” ostrzegł jednak, że to nie koniec inwazji. – Hakerzy mogą zmienić kod, a następnie wypuścić malware w nowej wersji – stwierdził. Przypomniał też, że w celu ochrony przed atakiem użytkownicy powinni zaktualizować system Windows i zrestartować komputery.

Ransomware WannaCry zainfekował około ćwierć miliona urządzeń, w tym serwery dużych firm i instytucji, takich jak NHS (brytyjska służba zdrowia), Deutsche Bahn, FedEx czy Telefonica. Przez atak na serwery i urządzenia medyczne NHS wirus stworzył realne zagrożenie dla ludzkiego życia. Wiele operacji zaplanowanych w brytyjskich szpitalach zostało przełożonych na późniejszy termin, ponieważ lekarze stracili dostęp do dokumentacji medycznej.

Malware oparty jest na kodzie stworzonym przez „niesławną” amerykańską agencję bezpieczeństwa NSA, który wyciekł do internetu w zeszłym miesiącu. Z wypowiedzi Edwarda Snowdena wynika, że NSA od dawna rozwijała wirusy zdolne zaatakować zachodnią infrastrukturę cybernetyczną. Na razie nie wiadomo, kto stoi za atakiem. Natomiast dość łatwe do przewidzenia są jego „polityczne” następstwa. Prawdopodobnie „zainspiruje” on rządy do dalszego zaostrzenia nadzoru nad internetem i aktywnością poszczególnych internautów. Motywem, jak zwykle, będą względy bezpieczeństwa.

Tagi: atak hakerski, malware, ransomware, WannaCry