Вредоносная программа NSA DoublePulsar заразила 36 000 компьютеров

В отчете Каталин Чимпану из BleepingComputer, основанном на исследованиях фирмы по кибербезопасности Below0Day, было выявлено большое количество заражений, связанных с загрузчиком вредоносных программ, разработанным АНБ. Вредоносная программа, получившая название DoublePulsar, была впервые обнаружена в последнем дампе «имплантатов» Shadow Brokers. DoublePulsar функционирует как загрузчик вредоносных программ и эксплойтов. После заражения системы DoublePulsar начинает загружать и устанавливать различные мощные штаммы вредоносных программ с помощью эксплойтов. Такие эксплойты, созданные АНБ и обнаруженные в DoublePulsar, включают EternalBlue, EternalChampion, EternalSynergy, EternalRomance, EmeraldThread или EducatedScholar.

Эти эксплойты нацелены, как указал Чимпану, на SMB-подключения к порту 445, связанные с Microsoft Windows. Microsoft, к ее чести, действительно выпустила исправления, чтобы заблокировать вредоносное ПО АНБ от использования эксплойтов. Проблема, однако, в том, что исследователи безопасности из Below0Day обнаружили множество компьютеров, уже зараженных DoublePulsar.

Чтобы обнаружить заражение DoublePulsar, исследователи Below0Day просканировали около 5,5 миллионов портов SMB, открытых извне, которые, если их операционная система Windows не будет исправлена, могут быть уязвимы для вредоносного ПО. Затем команда взяла те IP-адреса, которые использовались при первоначальном сканировании, и применила инструмент, созданный Люком Дженнингсом из Countercept. Как объяснил Дженнингс, этот инструмент представляет собой «набор скриптов python2 для проверки списка IP-адресов на наличие SMB- и RDP-версий импланта DoublePulsar».

Используя этот инструмент, Below0Day обнаружил более 36 000 компьютеров, зараженных DoublePulsar. Из этих 36 000 с лишним случаев заражения большинство из них произошло в Соединенных Штатах. На приведенных ниже изображениях от Below0Day можно найти как пример результатов сканирования, так и подробный график, показывающий страны, наиболее затронутые DoublePulsar.

Некоторые упрекали меня в моей частой критике правительственных хакерских операций. Как журналист я привык к обвинениям в измене или, как это недавно случилось, к моей большой забаве, обвинению в том, что я работаю российским оперативником. В конце концов, однако, моя резкая критика исходит из точки зрения информационной безопасности.

Как видно из эмпирических данных, различные хакерские инструменты АНБ (в данном случае DoublePulsar) попали в руки многих, в том числе и хакеров-черных шляп. Своим безрассудным развертыванием вредоносного ПО, которое никому не должно принадлежать, АНБ подвергло весь мир риску серии мощных кибератак. Основная миссия АНБ - разведка всех видов, особенно секретных данных (которые добываются любой ценой, к черту гражданские свободы).

Имея это в виду, представьте, насколько глубокой может стать скомпрометированная система, если эти инструменты попадут не в те руки. Хотя АНБ клянется, что просто пытается защитить Соединенные Штаты, самая большая ирония заключается в том, что большинство из 36 000 заражений DoublePulsar были зарегистрированы в Америке. Я сомневаюсь, что это было сделано АНБ на основе используемых IP-адресов, а скорее черных шляп, которые незаконно получили вредоносное ПО.

АНБ и все другие организации глобального разведывательного сообщества должны переосмыслить способы получения информации в эпоху цифровых технологий.