В конце прошлой недели хорватский ИБ-специалист Мирослав Стампар (Miroslav Stampar) поймал в одном из своих ханипотов SMB-червя, который получил имя EternalRocks. Равно как и шифровальщик WannaCry, новая угроза эксплуатирует уязвимость в протоколе SMB, но использует для атак сразу семь инструментов АНБ, а не два, как нашумевший вымогатель. Так, для проникновения в уязвимые системы червь задействует ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, ETERNALSYNERGY и DOUBLEPULSAR, а также применяет эксплоиты SMBTOUCH и ARCHITOUCH, которым АНБ пользовалось во время разведывательных операций.
Изучив червя, Стампар выяснил, что пока EternalRocks не распространяет какую-либо малварь и действует более скрытно, чем WannaCry. Так, вредонос имеет две фазы заражения, отложенный старт, а также использует Tor для связи с управляющими серверами в даркнете. Более того, у EternalRocks нет никаких механизмов «аварийного отключения», нет никакого «рубильника», который можно было бы задействовать, как это произошло с WannaCry.
Благодаря стараниям Стампара, о EternalRocks не только написали многие СМИ, но угрозой также заинтересовались другие эксперты. И, похоже, что такое положение вещей пришлось не по вкусу разработчику червя, известному под псевдонимом tmc.
В минувшую среду, 24 мая 2017 года, Стампар заметил, что на главной странице управляющего сервера EternalRocks, расположенного в даркнете, появилось странное сообщение, гласившее: «Внутри есть форум! Регистрация открыта! Зачем так бояться, я только закрываю за вас SMB-порты. Это не шифровальщик».
Tmc действительно открыл регистрацию и тщательно проверял каждый новый аккаунт вручную, одобряя или не одобряя создание новых учетных записей. Те, кому удалось попасть внутрь, могли ознакомиться еще с двумя сообщениями, написанными tcm:
«Это не шифровальщик, это не опасно, [EternalRocks] просто закрывает SMB-порты и двигается дальше. Я просто хотел проиграться, учитывая, что у меня есть посетители, но новости о вооруженном пейлоадами черве судного дня eternal rocks — это слишком. Нужно о многом подумать... ps: эксплоиты АНБ были забавные, спасибо, shadowbrokers!».
«Кстати, все, что я сделал — использовал инструменты АНБ для того, для чего их создали. Я разбирался в том, как они работают, и не успел опомниться, как уже получил доступ, и что делать дальше, я такой эээ, буду закрывать порты, спасибо за игру, хорошего дня».
После появления этих сообщений Мирослав Стампар подтвердил, что поведение EternalRocks изменилось. Теперь червь загружает с удаленного сервера пустышку, вместо исполняемых файлов. Без файла shadowbrokers.zip он не может продолжать распространяться далее, заражая другие хосты. Конечно, машины, зараженные EternalRocks ранее, продолжат сканировать сеть в поисках новых жертв, но в конечном итоге распространение червя начнет снижаться и прекратится вовсе. В своем твиттере Стампар шутит, что tmc ошибся ханипотом и теперь «дело закрыто».
Dear "tmc", you came to a wrong honeypot :). Case closed #EternalRocks
— Miroslav Stampar (@stamparm) May 25, 2017
«Похоже, я поймал автора червя еще во время фазы тестирования, хотя у него огромный потенциал. Судя по реконструкции предыдущих версий, в теории информации о нем [tmc] должно хватить, чтобы кто-нибудь в правоохранительных органах сумел сложить два и два. В любом случае, я думаю, он испугался шумихи и бросил все, прежде, чем его обвинят в том, чего он даже не совершал», — говорит Стампар.
Фото: Depositphotos