Один из крупнейший в мире производителей полупроводников и процессоров, тайваньская компания Taiwan Semiconductor Manufacturing Company (TSMC), сообщил о кибератаке, произошедшей 3 августа 2018 года. Инцидент затронул компьютеры, работающие под управлением Windows 7, а также производственные системы разных фабрик.

Производственные процессы в итоге пришлось приостановить, что, как ожидается, приведет к задержкам поставок и спровоцирует дополнительные расходы. Также ожидается, что TSMC потеряет порядка 3% выручки в этом квартале. Нужно отметить, что TSMC работает с такими гигантами, как AMD, Apple, Nvidia и Qualcomm, и является ключевым поставщиков SoC-компонентов для iPhone и iPad.

Согласно официальному заявлению компании, по состоянию на 14:00 5 августа 2018 года в строй удалось вернуть около 80% систем, а полное восстановление должно было завершиться вчера, 6 августа 2018 года.

Изначально представители компании сообщали, что заражение произошло из-за неких нарушений, допущенных во время установки нового инструмента: «вирус распространился сразу же, как только инструмент был подключен к сети компании». Какой именно малварью была атакована TSMC, и о каком инструменте шла речь, не сообщалось.

Как оказалось, проблемы на фабриках производителя спровоцировала вариация нашумевшего в 2017 году шифровальщика WannaCry. Причем это не было следствием тагретированной атаки на TSMC, просто неназванный «поставщик предоставил TSMC зараженный продукт без надлежащего вирусного сканирования».

Так как WannaCry обладает функциональностью червя, заражение быстро распространилось более чем на 10 000 машин, включая основные объекты в Тайнане, Синьчу и Тайчжуне, которые, в частности, работают над решениями для Apple.

«Мы были поражены и шокированы, — рассказал глава TSMC журналистам издания Bloomberg. — Ранее мы устанавливали десятки тысяч инструментов, но такое произошло в первый раз».

Напомню, что в мае 2017 года жертвами WannaCry стали сотни компаний по всему миру, а также бессчетное количество простых пользователей. Дело в том, что вымогатель распространялся, используя брешь в SMBv1, а также эксплоиты, которые хакерская группировка The Shadow Brokers ранее похитила у АНБ и опубликовала в открытом доступе: ETERNALBLUE и DOUBLEPULSAR.

Настоящим «героем дня» тогда стал ИБ-специалист Маркс Хатчинс, известный под псевдонимом MalwareTech. Тогда именно он обнаружил в коде вредоноса аварийный «стоп-кран»: оказалось, что перед началом работы малварь бращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения. Тогда MalwareTech зарегистрировал указанный домен, активировав тем самым механизм «аварийного отключения», после чего количество успешных заражений WannaCry резко снизилось. Фактически «стоп-кран» Хатчинса помог значительно остановить эпидемию.

Очевидно, многие системы TSMC попросту не имели выхода в сеть, то есть они не могли возможности узнать, что «стоп-кран» давно активирован, что и привело к весьма печальным последствиям.

Теги: CSS, TSMC WannaCry августа также домен