Важливість: 
2

Спецтема:

Кібератаки зупинені, але чи можна і далі довіряти розробникам «M.E.Doc»…

Сьогодні компанія-розробник програмного забезпечення «M.E.Doc» опублікувала термінове звернення до клієнтів, в якому повідомила, що «...програма M.E.Doc працює, Ви можете користуватися версією 10.01.188…»
Але чи можна тепер довіряти цій компанії!?



Тільки факти!

Бекдор

Принаймні починаючи з 14 квітня 2017 року система оновлення програми M.E.Doc була скомпрометована. На комп'ютери жертв стали потрапляти оновлення програми з встановленим бекдором. Виявлена остання версія бекдору за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній та відправляти їх на віддалений сервер. Крім того, завантажувати файли і збирати інформацію про операційну систему та ідентифікаційні дані користувачів [1].

Зловмисники мали можливість в залежності від кодів ЄДРПОУ віддавати бекдору різні команди, в тому числі – завантажувати й запускати додаткові модулі [2].

Також, на даний момент відомо, що після спрацювання бекдору, зловмисники компрометували облікові записи користувачів, з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM (KVM-перемикач з можливістю роботи через комп'ютерні мережі) здійснювали завантаження власної операційної системи на базіTiny Core Linux [3].

XData

18 травня 2017 року був виявлений вірус-здирник XData, який став другим за швидкістю поширення та шкідливістю після WannaCry в Україні [4].

Вірус шифрував дані на комп'ютері та вимагав від 0,1 до 1 BTC (станом на травень 2017, один біткойн коштував понад 1,9 тисяч доларів США [5].

Переважною більшістю жертв вірусу стали бухгалтерські комп'ютери українських підприємств, які використовували систему M.E.Doc на 64-бітних операційних системах Windows XP, Windows 7, Windows Server 2008 та Windows Server 2012. Багато постраждалих стверджували, що шифрування їхніх даних відбулося після оновлення програми M.E.Doc [6].

Однак компанія-виробник ПЗ заперечила проблеми з безпекою і назвала це збігом [7]. Засіб для дешифрування даних, уражених XData, був опублікований 30 травня [8].

Перша кібератака Petya.А...

27 червня 2017 року відбулося масове ураження комп'ютерів українських підприємств та установ вірусом-шкідником Petya.2017 [9].

Кіберполіція припустила [10], а фахівці з комп'ютерної безпеки компанії Microsoft підтвердили, що атака розпочалась з системи автоматичного оновлення програми «M.E.Doc» близько 10:30 GMT (13:30 за київським часом, кіберполіція стверджує, що атака розпочалась о 10:30 за київським часом) [11].

Розробник програми M.E.Doc, компанія «IT Експерт» розмістила на своєму сайті повідомлення, яким визнала джерело атаки, але невдовзі його прибрала. Згодом було розміщене нове повідомлення, в якому компанія спростовувала будь-яку інформацію про причетність до поширення вірусу або про злам своїх інформаційних систем [12].

Ймовірним джерелом ураження було те, що домен upd.me-doc.com.ua, який використовувався для оновлень програми M.E.Doc, вказував на єдиний хост, який належав провайдеру WNet [13].

На початку червня СБУ звинуватила цього провайдера в передачі технічних засобів фіктивній структурі, яку контролювала ФСБ [14].

У потрібний момент провайдер-зловмисник міг перенаправити трафік на підставний хост із вірусом замість оновлення M.E.Doc [15].

Згідно з даними компанії ESET більшість випадків зараження комп'ютерних систем вірусом Petya.A припало на Україну!

Згідно з даними інфографіки, на Україну припало 75,24% заражень від загальної кількості у світі, на Німеччину – 9,06%, на Польщу – 5,81%, на Сербію – 2,87%.

Найменш постраждали Греція – 1,39%, Румунія – 1,02% і Росія – лише 0,8%. Частка решти країн світу становила 2,94%.



Друга кібератака Petya.А…


4 липня 2917 року спеціальні агенти департаменту кіберполіції, разом з фахівцями СБУ та міської прокуратури – припинили другий етап кібератаки Petya. Про це на своїй сторінці у Facebook повідомив міністр внутрішніх справ Арсен Аваков.

«Пік атаки планувався на 16.00. Стартувала атака о 13.40. До 15.00 Кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Е.Doc. Атака була зупинена. Сервера вилучено, разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російськой Федерації», – написав Аваков.

За його словами, вірус Diskcoder.C – він же ГОГА, він же Гоша, ExPetr, PetrWrap, Petya, NotPetya – це прикриття наймасштабнішої кібератаки в історії України!

27.06.2017 в 10 годин 30 хвилин українські державні структури і приватні компанії через вразливості ПЗ "M.E.doc." (програмне забезпечення для звітності та документообігу) масово потрапили під удар вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Для локалізації масштабної кіберзагрози, Національною поліцією України та Службою безпеки України було створено оперативно-технічний штаб до якого увійшли представники найвідоміших українських та іноземних компаній з кібербезпеки. За вказаними фактами Національною поліцією України розпочато досудове розслідування.

Експертами було встановлено, що ураження інформаційних систем українських компаній відбулось через оновлення програмного забезпечення, призначеного для звітності та документообігу – “M.E.Doc”. За отриманими даними (підтверджено правоохоронними органами іноземних держав та міжнародними компаніями, що здійснюють діяльність у сфері інформаційної безпеки), зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення – ТОВ "Інтелект-Сервіс".

«Отримавши доступ до вихідних кодів, вони в одне із оновлень програми вбудували бекдор (backdoor) – програму, яка встановлювала на комп'ютерах користувачів “M.E.Doc” несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно відбулося ще 15.05.2017 року. Представники компанії-розробника “M.E.Doc” були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але це було проігноровано. Компанія-виробник заперечила проблеми з безпекою і назвала це «збігом». Разом з тим з’ясовано, що виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній, та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів», – повідомив міністр.

Він поінформував, що на даний момент відомо, що після спрацювання бекдору, атакери компрометували облікові записи користувачів, з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM здійснювали завантаження власної операційної системи на базі TINY Linux. Зловмисники, з метою приховування вдалої кібероперації щодо масового ураження комп’ютерів та несанкціонованого збору з них інформації, тим же самим способом, через останні оновлення ПЗ “M.E.Doc” розповсюдили модифікований ransomware Petya. Видалення та шифрування файлів операційних систем, було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору), та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих.

«Слідством опрацьовується версія, що справжніми цілями були стратегічно-важливі для держави компанії, атаки на які, могли дестабілізувати ситуацію в країні. Комплексний аналіз обставин зараження дозволяє припустити, що особи які організували напади з використанням WannaCry можуть бути причетні до вірусної атаки на українські державні структури і приватні компанії 27 червня, оскільки способи розповсюдження та загальна дія подібні вірусу-шифрувальнику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya)», – йдеться в повідомленні на сторінці Авакова.

«З метою негайного припинення безконтрольного розповсюдження Diskcoder.C (нову активність було зафіксовано 4 липня в 13.40), а також враховуючи бездіяльність посадових осіб ТОВ "Інтелект-Сервіс", які, незважаючи на неодноразові попередження антивірусних компаній та Департаменту кіберполіції, вводили в оману свої користувачів, запевнюючи їх у безпеці ПЗ “M.E.Doc” – прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії, за допомогою якого розповсюджувалось ШПЗ. Обшуки проведено представниками Департаменту кіберполіції, слідчими та за участю Служби безпеки України. Об’єктами огляду є робочі комп’ютери персоналу та серверне обладнання, через яке поширювалося програмне забезпечення. Департамент кіберполіції наполегливо рекомендує усім користувачам змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані», – додав міністр.



Посилання:

[1]. Прикриттям наймасштабнішої кібератаки в історії України став вірус Diskcoder.C – кіберполіція. Департамент кіберполіції Національної поліції України. 05.07.2017.

[2]. Anton Cherepanov (4 Jul 2017). Analysis of TeleBots’ cunning backdoor.

[3]. Прикриттям наймасштабнішої кібератаки в історії України став вірус Diskcoder.C – кіберполіція. Департамент кіберполіції Національної поліції України. 05.07.2017.

[4]. Павел Красномовец. Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать // ain, 24.05.2017. (рос.)

[5]. Олександр Мельник. 5 фактів про новий вірус, який атакує український корпоративний сектор — як запобігти // Na chasi, 20.05.2017.

[6]. Павел Красномовец. Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать // ain, 24.05.2017. (рос.)

[7]. Будьте пильні: вірусна атака на корпоративний сектор! — M.E.Doc, 22.05.2017.

[8]. Максим Давыгора. Вирус-вымогатель XData. «Карантин» для M.E.Doc? // tucha,

[9]. Matt Suiche. Petya.2017 is a wiper not a ransomware // Comae Technologies, 28.06.2017. (англ.)

[10]. Олег Дмитренко (28 Червня 2017). Кіберполіція: вірусна атака поширювалась через M.E.doc. Watcher.

[11]. New ransomware, old techniques: Petya adds worm capabilities. Microsoft Malware Protection Center blog. 27 червня 2017 року.

[12]. Dave Lee. 'Vaccine' created for huge cyber-attack. BBC News.

[13]. Sergey Prach. Серверы обновлений M.E.Doc оказались на ФСБшном хостинге WNet, — блогер // Політолог, 29.06.2017 (рос.)

[14]. Майя Яровая. В Киеве СБУ проводит вооруженный обыск у крупного телеком-провайдера // ain, 01.06.2017. (рос.)

[15]. Sergey Prach. Серверы обновлений M.E.Doc оказались на ФСБшном хостинге WNet, — блогер // Політолог, 29.06.2017 (рос.)


Наші інтереси: 

Боротися з російськими терористами на всіх фронтах до повної перемоги!

Гравець: 
Володимир Федько

Новини від RedTram - для збільшення прихильників НО

Loading...
 
Форум Підтримати сайт Довідка