Некоторым компьютерам NHS не помогло бы и обновление. На каждом пятом устройстве использовалась операционная система Windows XP, поэтому, чтобы обеспечить защиту от вируса, нужно было поставить более новую версию системы, что опять же требует времени и денег. К тому же часть профильного больничного оборудования после обновления системы могла и вовсе стать непригодной к использованию[133].
В дополнение к этому центральное правительство почти не контролировало компьютеры, работающие в сфере здравоохранения. Больницам рекомендовали устанавливать выходящие обновления, но никто не проверял, выполняют ли они рекомендации, а сами больницы очень часто не включали информационную безопасность в список своих приоритетов. Почему? Большинство людей, включая и многих сотрудников NHS, полагало, что организация, работающая в сфере здравоохранения, не станет жертвой хакеров. Патрик Уорд не зря спросил: зачем кому-то взламывать больницу?
Но дело в том, что вирус вроде Wanna Cry, который распространяется и активируется автоматически, не выбирает, кого именно заражать. Чем крупнее организация, тем выше риск заражения, и NHS, как один из крупнейших в мире работодателей, стала одной из самых пострадавших жертв[134]. Обидно, что больницы NHS должны были понимать риски, поскольку они подвергались атаке ранее. Я узнал об этом, когда за год до распространения Wanna Cry сослался на закон о свободном доступе к информации и спросил у NHS, сталкивалась ли организация с программами-вымогателями. Я опросил сто пятьдесят две больницы NHS, четверть из которых сообщили, что подвергались атакам. Одни в связи с этим отменяли операции, другие – тратили десятки тысяч фунтов на лечение цифровой инфекции. Это были предварительные толчки надвигающегося землетрясения, однако в отсутствие центрального контроля над IT-системами никто не смотрел на сейсмографы.
Был и еще один фактор, который поспособствовал распространению Wanna Cry, и этим NHS отличалась от большинства других организаций: специализированная высокоскоростная компьютерная сеть (называемая N3), связывающая все больницы и многие местные институты. В настоящее время происходит ее замена, но в тот период она была одной из крупнейших в Европе виртуальных частных сетей (virtual private net work, VPN), имеющей более сорока тысяч соединений[135]. Система, которая позволяла быстро отправлять в нужное место результаты обследований и диагнозы пациентов, также позволила вирусу без труда переходить с одного устройство на другое.
В совокупности это привело к тому, что Wanna Cry стал распространяться, подобно лесному пожару. Но рано или поздно он должен был дойти до предела – не только в NHS, но и вообще в любой организации, куда смог бы проникнуть, – поскольку число компьютеров в организационной сети всегда ограничено. Чтобы вирус Wanna Cry стал поистине гнусным, необходимо было найти способ передавать его в другие компании, тем самым увеличивая число его потенциальных жертв.
Создатели вируса нашли изящное решение этой проблемы. Периодически код связывался со случайным компьютером в интернете. Если на этом компьютере была установлена уязвимая версия Windows, вирус переходил на него и заражал компьютерную сеть его организации. В конце концов, по данным Европола, заражению подверглось около двухсот тридцати тысяч компьютеров в ста пятидесяти странах[136].
Создатели Wanna Cry запустили вирус, который вышел из-под их контроля. Это всерьез насторожило некоторых специалистов по технологической безопасности. Непредумышленная атака на больницы возвестила о новом и тревожном нарушении нерегламентированной этической системы, сложившейся в мире высокоуровневых компьютерных хакеров. «Это приведет к стихийному, то есть нецеленаправленному эффекту бабочки, – говорит Кевин Мандиа, директор американской компании Fire Eye, работающей в сфере компьютерной безопасности. – Создатели Wanna Cry… понятия не имели, заразит он пять тысяч машин или триста миллионов».
Предварительный анализ показал, что у вируса Wanna Cry не было «кнопки отключения». На самом деле она была. Глубоко внутри кода был спрятан способ остановить атаку. И его обнаружили не высокооплачиваемые исследователи кибербезопасности, а молодой человек из курортного городка на западе Англии.
12 мая, в день атаки Wanna Cry, исследователь кибербезопасности, известный под псевдонимом Malware Tech, планировал взять выходной. Он вышел пообедать в кафе, а вернувшись, проверил форум, на котором следил за новостями о распространении вирусов. Он специализировался на так называемых ботнетах – группах компьютеров, зараженных вирусом, который передавал их под контроль преступникам. Он изучал ботнеты, используемые для взлома банков, но затем увидел множество сообщений об атаке на NHS, и это привлекло его внимание. Каким образом, задумался он, вирус распространяется так быстро? «Вопреки расхожему мнению большинство сотрудников NHS не открывает фишинговые электронные письма, и это подсказало мне, что такое масштабное заражение было вызвано чем-то иным», – написал он позже[137].
Он сумел достать образец вируса Wanna Cry и, заглянув в его программный код, понял, как автоматизированы его распространение и активация. Вместе с тем он заметил кое-что необычное, что, очевидно, больше никому не бросилось в глаза. Прежде чем заразить жертву, вирус пытался посетить один сайт с длинным адресом из случайной на первый взгляд последовательности символов. Если сайт открывался, вирус прекращал работу, не притрагиваясь к файлам жертвы. Если же сайт не отвечал, вирус шифровал файлы, требовал выкуп и пытался заразить другие устройства в сети.
В голову Malware Tech пришла гениальная идея проверить, кто владеет сайтом, на который заходит вирус. Оказалось, что адрес сайта не зарегистрирован. Он зарегистрировал его, и отныне всякий раз, попадая на компьютер новой жертвы, вирус заходил на сайт, обнаруживал, что он зарегистрирован, и переставал работать. Так Malware Tech в одиночку положил конец распространению Wanna Cry.
Это был великолепный исход, а для телевизионных репортеров он и вовсе стал настоящим кладом: у них появилась не только история о кибербезопасности, которую можно снять, но и неожиданный герой. Вскоре было названо и настоящее имя Malware Tech – за псевдонимом скрывался Маркус Хатчинс, жизнерадостный и уверенный в себе молодой человек двадцати двух лет, который жил в тихом курортном городке Илфракомб на севере Девона. На опубликованных в газетах фотографиях он улыбался в объектив, сидя возле своего впечатляющего арсенала компьютерных мониторов. С большинства снимков, однако, была вырезана кровать, стоящая чуть поодаль. Похоже, человек, который одолел грозный вирус, наделавший шума по всему миру, справился с делом, не выходя из собственной спальни.
Но огласка в прессе создала для Хатчинса проблемы. Он сам не называл своего имени, его разоблачили. Теперь, когда всем стало известно, как его зовут и где он живет, сотрудники Национального агентства по борьбе с преступностью начали опасаться, что создатели Wanna Cry, возможно, решат ему отомстить.
«С точки зрения реального риска мы смотрели на это и думали: „Ты испортил кому-то праздник, и неизвестно, кому ты насолил“, – говорит Майк Халетт, операционный директор отдела по борьбе с киберпреступностью, работающего в рамках агентства. – Может, это просто еще один паренек, который целыми днями сидит за компьютером в своей комнате, а может, какая-нибудь гнусная организованная преступная группировка или целое государство». Кроме того, у Хатчинса стали скапливаться конфиденциальные данные. Каждый раз, когда Wanna Cry заражал очередной компьютер, он связывался с сайтом, которым теперь владел Хатчинс, и раскрывал IP-адрес жертвы. Один источник, близкий к расследованию, сообщил, что ежедневно Хатчинс получал около полумиллиона таких адресов. По сути, в распоряжении у Хатчинса оказалась гигантская международная база данных уязвимых компьютеров, и полиция опасалась, что в результате он может стать мишенью и для других хакеров.
Как утверждают в NCA, сотрудники агентства стали прилагать усилия для защиты Хатчинса. Но вместе с тем никто из них не хотел подбираться к нему слишком близко. Они знали о его работе до инцидента с Wanna Cry и считали его одаренным исследователем. Однако, как сообщает один источник в агентстве, они сомневались, все ли его методы законны, и потому не хотели вступать с ним в «официальные договоренности».
Впоследствии Хатчинс сотрудничал с британским Национальным центром кибербезопасности (NCSC), который также участвовал в расследовании инцидента с Wanna Cry. Когда он обнаружил в коде вируса «кнопку отключения», NCSC даже опубликовал его пост об этом на своем сайте, хоть и подписал публикацию его псевдонимом Malware Tech (на тот момент его личность еще не была раскрыта)[138].
В итоге связи с Хатчинсом поставили недавно основанный NCSC в щекотливое положение, поскольку оказалось, что у героя, остановившего Wanna Cry, темное прошлое.
2 августа 2017 года Маркус Хатчинс был арестован в Лас-Вегасе, куда он, как сообщается, прилетел на Def Con, одну из крупнейших в мире конференций по технологической безопасности. Его обвинили в создании вируса Kronos, разработанного для взлома систем онлайн-банкинга. В апреле 2019 года Хатчинс заявил о своей виновности в американском суде и написал в своем блоге: «Я сожалею о своем проступке и принимаю на себя всю ответственность за свои ошибки»[139]