Хакер #305. Многошаговые SQL-инъекции
Вчера, 29 марта 2018 года, издание The Seattle Times сообщило, что американская корпорация Boeing была атакована шифровальщиком WannaCry. Журналисты ссылались на слова главного инженера департамента коммерческих самолетов Boeing Майка Вандервела (Mike VanderWel), который сообщил, что поразившая компьютеры корпорации малварь быстро «метастазирует», и выразил опасение, что заражение может затронуть даже производственные системы Boeing.
Многие СМИ подхватили новость и сообщили о возвращении WannaCry, но, похоже, журналисты поторопились с выводами. Дело в том, что вскоре представители Boeing опубликовали в официальном Twitter компании заявление, согласно которому пресса серьезно преувеличила масштабы инцидента. В компании заявили, что неназванная малварь поразила лишь несколько систем, после чего атака была обнаружена и остановлена, и инцидент никак не коснулся производства Boeing.
Statement: A number of articles on a malware disruption are overstated and inaccurate. Our cybersecurity operations center detected a limited intrusion of malware that affected a small number of systems. Remediations were applied and this is not a production or delivery issue.
— Boeing Airplanes (@BoeingAirplanes) March 28, 2018
Стоит отметить, что беседуя с журналистами таких авторитетных изданий, как The New York Times, представители Boeing более не упоминали WannaCry и отказались подтвердить или опровергнуть информацию о том, что корпорация пострадала от атаки именно этого шифровальщика.
Вероятнее всего, произошла ошибка, и шифровальщик (если атака действительно имела место) был лишь схож с WannaCry. Дело в том, что WannaCry, от эпидемии которого летом 2017 года пострадали тысячи компаний и сотни тысяч пользователей, был успешно нейтрализован британским ИБ-специалистом Маркусом Хатчинсом (Marcus Hutchins).
Тогда в коде вредоноса был обнаружен аварийный «стоп-кран»: оказалось, что перед началом работы малварь обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения. В итоге Хатчинс зарегистрировал указанный домен, активировав тем самым механизм «аварийного отключения», после чего количество успешных заражений WannaCry резко снизилось, и вскоре практически сошло на нет.
В настоящее время, когда давно выпущены всевозможные патчи для эксплоитов, при помощи которых распространялся WannaCry, саму малварь «обезвредили», и шифровальщика обнаруживает любое антивирусное решение, крайне сложно поверить в то, что сотрудники Boeing действительно были атакованы WannaCry.