Вирус-вымогатель Petya был только прикрытием: в Киберполиции не рекомендуют пользоваться M.E.Doc
Украинские правоохранители, а именно Департамент Киберполиции и СБУ, не верят в то, что целью самой масштабной хакерской атаки на украинские государственные и частные компании было вымогательство. Проанализировав инциденты, они обнаружили, что Petya был лишь прикрытием, на самом же деле злоумышленники собирали коды ЕГРПОУ компаний жертв, получали удаленный доступ к их данным и оборудованию. Об этом говорится в последнем релизе Департамента Киберполиции Украины. Также правоохравнители настоятельно рекомендуют на время проведения следствия не пользоваться софтом M.E.Doc.
Напомним, 27 июня украинские госструктуры и частные компании из-за уязвимости в программе электронного документооборота M.E.doc попали под массовый удар вируса-шифровальщика Diskcoder.C, который также называют ExPetr, PetrWrap, Petya и даже NotPetya. По указанным фактам Национальной полицией Украине начато досудебное расследование.
Вчера была зафиксирована вторая волна распространения Diskcoder.C, однако ее удалось пресечь. В связи с эти правоохранители провели обыски и изъятия ПО и оборудования ООО «Интеллект-Сервис». «Изъятое оборудование будет направлено для проведения детального анализа с целью исследования и разработки инструментов, которые позволят выявить зараженных пользователей и нейтрализовать вредоносный код», — говорится в релизе.
Как это случилось
Как сообщается в релизе Киберполиции, злоумышленники осуществили несанкционированное вмешательство в работу одного из компьютеров компании-разработчика M.E.Doc — ООО «Интеллект-Сервис». Получив доступ к исходным кодам, в одно из обновлений программы они встроили бэкдор — программу, которая устанавливала на компьютерах пользователей M.E.Doc несанкционированный удаленный доступ.
В киберполиции предполагают, что такое обновление ПО произошло еще 15 мая 2017 года. Тогда антивирусные компании проинформировали представителей M.E.Doc о наличии уязвимостей, но разработчик их проигнорировал. В компании отрицают проблемы с безопасностью и назвали факт проникновения вируса через их ПО совпадением.
Примечательно, что обнаруженный бэкдор имеет функционал, который позволяет собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.
Также известно, что после срабатывания бэкдора, атакеры получали полный доступ к сети, а затем к сетевому оборудованию, чтобы вывести его из строя. С помощью IP KVM хакеры осуществляли загрузки собственной операционной системы на базе TINY Linux.
Какие цели преследовали хакеры
По мнению Киберполиции, модифицированный вирус-вымогатель Petya злоумышленники распространили не ради заработка, а чтобы скрыть удачную кибероперацию по массовому поражению компьютеров и несанкционированному сбору с них информации.
«Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предварительной преступной деятельности (бэкдора) и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших. Следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране», — говорится в релизе.
Украинские правоохранители предполагают, что к последней кибератаке причастны те же хакеры, которые ранее организовали нападения с использованием WannaCry, поскольку схожи «способы распространения и общее действие вируса-шифровальщик (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya) схожи».
Ранее аналогичные предположения высказали в СБУ. «Заражение было спланировано и осуществлено заранее. Оно происходило в несколько этапов и началось накануне национального государственного праздника (Дня Конституции Украины — ред.)», — говорится в релизе. О том, что вымогатели преследовали не меркантильные, а дестабилизационные цели, по мнению СБУ, говорит еще и «отсутствие реального механизма завладение средствами» и его примитивность.
«Основным назначением вируса было уничтожение важных данных и нарушение работы государственных и частных учреждений Украины для распространения панических настроений среди населения», — заявили в СБУ.
В ведомстве также связали последнюю атаку с нападениями на финансовую систему, объекты транспорта и энергетики Украины — когда в декабре 2016 года многие госучреждения пали жертвами вирусов TeleBots и Blackenergy. «Это свидетельствует о причастности к этой атаке спецслужб РФ», — говорится в сообщении СБУ.
Что делать пользователям M.E.Doc
Департамент Киберполиции рекомендует всем пользователям временно прекратить использовать M.E.Doc и отключить компьютеры, на которых он установлен, от сети. А также изменить свои пароли и электронные цифровые подписи, поскольку они могли быть скомпрометированы. В ближайшее время сотрудники киберполици обещают опубликовать инструкции для проверки компьютеров на наличие бэкдора.
Вместе с тем пользователей M.E.Doc в связи со сложившейся ситуацией могут временно освободить от ответственности за несвоевременную сдачу налоговой отчетности. Об этом говорится в сообщении Кабмина. Данное решение депутаты оформили в специальный законопроект, принятие которого позволит защитить предприятия.
«Будем вносить короткий закон, который позволит избежать этой ответственности всех тех, кто в результате хакерской атаки, которая пошла по Украине и всему миру, не смог вовремя подать отчетность. Должны защищать бизнес и помогать ему», — заявил премьер-министр Украины Владимир Гройсман на заседании Кабмина 4 июля.
Напомним, ранее версию о том, что целью атаки от 27 июня был не заработок, а возможность парализовать украинскую инфраструктуру, высказали и западные эксперты. Об этом свидетельствует и тот факт, что 75% случаев заражения вирусом приходится именно на Украину.
Комментарии | 8
В релизе, на который вы даете ссылку в начале статьи нет ни слова про коды ЕГРПОУ. Это вроде как открытая информация и добывать ее с помощью вируса — безсмысленно. Более того, релиз не имеет отношения к киберполиции. Вроде серьезное издание, а такую херню пишите…
прошу прощения, по запаре поставила не ту ссілку. Про егрпоу здесь https://www.facebook.com/cyberpoliceua/posts/540958002695034
уже исправила
Походу у кого-то решили отжать бизнес по высосаной из пальца схеме. Никто из моих зараженных знакомых, например, не использовал MEDoc на своих компах. По их версии 75% всех компов на Украине используют MEDoc?
Достаточно было заразить один компьютер в локальной сети. Так падали даже компьютеры не подключенные к интернету.
Перлы, один другого краше. VANGAIN, пора уже.
Вы же проф издание! Что вы пишите? Есть пресс релиз микрософт в котором ясно видно как передовался зловред. В пакет обновления был вставлен еще один файл. Данный участок кода скорее всего собирает данные у кого 1с а кто сдает отчет не через 1с.
с чего вдруг ain.ua это проф издание, вы шутите что ли? обычные писаки, незаурядный контент, новости, не больше…
Альтернатива Медку есть! Это сервисы E-DOC https://goo.gl/Pbosvc и ReportEx https://goo.gl/BsV6No. Эти услуги предоставляет компания E-COM — надёжный, а главное, безопасный провайдер е-документооборота. Регистрация НН, РКНН, здача отчетности в контролирующие органы, обмен юридически значимыми документами с ЭЦП со своим контрагентом без угроз и вирусов!