Украинские правоохранители, а именно Департамент Киберполиции и СБУ, не верят в то, что целью самой масштабной хакерской атаки на украинские государственные и частные компании было вымогательство. Проанализировав инциденты, они обнаружили, что Petya был лишь прикрытием, на самом же деле злоумышленники собирали коды ЕГРПОУ компаний жертв, получали удаленный доступ к их данным и оборудованию. Об этом говорится в последнем релизе Департамента Киберполиции Украины. Также правоохравнители настоятельно рекомендуют на время проведения следствия не пользоваться софтом M.E.Doc.

Напомним, 27 июня украинские госструктуры и частные компании из-за уязвимости в программе электронного документооборота M.E.doc попали под массовый удар вируса-шифровальщика Diskcoder.C, который также называют ExPetr, PetrWrap, Petya и даже NotPetya. По указанным фактам Национальной полицией Украине начато досудебное расследование.

Вчера была зафиксирована вторая волна распространения Diskcoder.C, однако ее удалось пресечь. В связи с эти правоохранители провели обыски и изъятия ПО и оборудования ООО “Интеллект-Сервис”. “Изъятое оборудование будет направлено для проведения детального анализа с целью исследования и разработки инструментов, которые позволят выявить зараженных пользователей и нейтрализовать вредоносный код”, – говорится в релизе.

Как это случилось

Как сообщается в релизе Киберполиции, злоумышленники осуществили несанкционированное вмешательство в работу одного из компьютеров компании-разработчика M.E.Doc – ООО “Интеллект-Сервис”. Получив доступ к исходным кодам, в одно из обновлений программы они встроили бэкдор – программу, которая устанавливала на компьютерах пользователей M.E.Doc несанкционированный удаленный доступ.

В киберполиции предполагают, что такое обновление ПО произошло еще 15 мая 2017 года. Тогда антивирусные компании проинформировали представителей M.E.Doc о наличии уязвимостей, но разработчик их проигнорировал. В компании отрицают проблемы с безопасностью и назвали факт проникновения вируса через их ПО совпадением. 

Примечательно, что обнаруженный бэкдор имеет функционал, который позволяет собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.

Также известно, что после срабатывания бэкдора, атакеры получали полный доступ к сети, а затем к сетевому оборудованию, чтобы вывести его из строя. С помощью IP KVM хакеры осуществляли загрузки собственной операционной системы на базе TINY Linux. 

Какие цели преследовали хакеры

По мнению Киберполиции, модифицированный вирус-вымогатель Petya злоумышленники распространили не ради заработка, а чтобы скрыть удачную кибероперацию по массовому поражению компьютеров и несанкционированному сбору с них информации.

“Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предварительной преступной деятельности (бэкдора) и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших. Следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране”, – говорится в релизе.

Украинские правоохранители предполагают, что к последней кибератаке причастны те же хакеры, которые ранее организовали нападения с использованием WannaCry, поскольку схожи “способы распространения и общее действие вируса-шифровальщик (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya) схожи”.

Ранее аналогичные предположения высказали в СБУ. “Заражение было спланировано и осуществлено заранее. Оно происходило в несколько этапов и началось накануне национального государственного праздника (Дня Конституции Украины – ред.)”, – говорится в релизе. О том, что вымогатели преследовали не меркантильные, а дестабилизационные цели, по мнению СБУ, говорит еще и “отсутствие реального механизма завладение средствами” и его примитивность.

“Основным назначением вируса было уничтожение важных данных и нарушение работы государственных и частных учреждений Украины для распространения панических настроений среди населения”, – заявили в СБУ.

В ведомстве также связали последнюю атаку с нападениями на финансовую систему, объекты транспорта и энергетики Украины – когда в декабре 2016 года многие госучреждения пали жертвами вирусов TeleBots и Blackenergy. “Это свидетельствует о причастности к этой атаке спецслужб РФ”, – говорится в сообщении СБУ.

Что делать пользователям M.E.Doc

Департамент Киберполиции рекомендует всем пользователям временно прекратить использовать M.E.Doc и отключить компьютеры, на которых он установлен, от сети. А также изменить свои пароли и электронные цифровые подписи, поскольку они могли быть скомпрометированы. В ближайшее время сотрудники киберполици обещают опубликовать инструкции для проверки компьютеров на наличие бэкдора.

Вместе с тем пользователей M.E.Doc в связи со сложившейся ситуацией могут временно освободить от ответственности за несвоевременную сдачу налоговой отчетности. Об этом говорится в сообщении Кабмина. Данное решение депутаты оформили в специальный законопроект, принятие которого позволит защитить предприятия.

“Будем вносить короткий закон, который позволит избежать этой ответственности всех тех, кто в результате хакерской атаки, которая пошла по Украине и всему миру, не смог вовремя подать отчетность. Должны защищать бизнес и помогать ему”, – заявил премьер-министр Украины Владимир Гройсман на заседании Кабмина 4 июля.

Напомним, ранее версию о том, что целью атаки от 27 июня был не заработок, а возможность парализовать украинскую инфраструктуру, высказали и западные эксперты. Об этом свидетельствует и тот факт, что 75% случаев заражения вирусом приходится именно на Украину.