Вирус Petya A повторил атаку. Что дальше?

27 июня на Украину напал беспощадный вирус Petya A, который «положил» работу многих коммерческих и государственных предприятий. СБУ увидела в этом след российских спецслужб, а киберэксперты обвинили бухгалтерскую программу M.E.Doc.

Первые выводы экспертов

О причастности программы к распространению вируса Киберполиция Украины заявила еще в день атаки. Позже эту информацию подтвердили и в официальном отчете компании Microsoft. Сами разработчики программы яростно отрицали возможность распространения вируса через их продукт.

В Киберполиции объяснили, что это ПО имеет встроенную функцию обновления, которая периодически обращается к серверу: upd.me-doc.com.ua (92.60.184.55) с помощью User Agent “medoc1001189“.

Утром 27 июня, в 10.30, программу M.E.doc. обновили. Обновление составляло примерно 333 Кб, и после его загрузки  вредоносное программное обеспечение распространилось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry).

Глава Киберполиции Украины Сергей Демедюк заявил, что в отношении компании будет открыто уголовное производство. Он подчеркнул, что M.E.Doc знал о дырах в безопасности, но игнорировал это.

Вторая волна атаки

Страсти улеглись, украинские предприятия почти закончили подсчитывать убытки и запасаться новыми антивирусными программами…  И вот вчера, 4 июля, глава МВД Украины Арсен Аваков вдруг заявил о второй волне распространения вируса.

«Пик атаки планировался на 16.00. Стартовала атака в 13.40. До 15.00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc. Атака была остановлена. Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками из Российской Федерации», - рассказал он.

На этот раз силовики не ограничились одними только угрозами – в компании M.E.Doc провели обыски, после чего изъяли рабочие компьютеры персонала и серверное оборудование.

Придя к выводу, что отпираться больше нет смысла, компания M.E.Doc  5 июля все-таки подтвердила факт взлома своего продукта и наличие вредоносного программного кода в пакете обновлений программы.

«По словам ведущих международных экспертов и правоохранителей, вмешательство было осуществлено высокопрофессиональными специалистами. Более того, комплексный анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с использованием WannaCry, могут быть причастны и к этой вирусной атаке, поскольку способы распространения и общее действие похожи на вирус-шифровальщик (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya , NotPetya)», - отметили разработчики бухгалтерской программы.

Также сообщается, что разработчики уже создали супербезопасное обновление, которое полностью исключает угрозы для пользователей.  Вот только выпустить его пока нет возможности из-за изъятых серверов и оборудования.

Не все так просто?

Расследование киберэкспертов Антона Черепанова, Frédéric Vachon и Thomas Dupuy показало, что в 2017 году у программы M.E.Doc было как минимум 3 обновления, содержащих зараженный модуль – в апреле, мае и июне. Однако в апреле-мае было и еще 4 обновления, не содержащих вирус. Вероятно, это и помогло избежать такого массового заражения, как то, которое произошло 27 июня.

Важно то, что опасность вируса заключалась не столько в остановке работы крупных предприятий, сколько в скрытых свойствах этого самого вируса.

Каждая зарегистрированная организация в Украине имеет уникальный код ЕДРПОУ. И это очень важно, так как используя ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

С тех пор, как M.E.Doc получил большую популярность, его можно найти на компьютере практически каждого бухгалтера. Один M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЕДРПОУ на этой машине для отправки их злоумышленникам. Кроме ЕДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

На оснований этой информации эксперты пришли к выводу, что атака вируса была тщательно спланированной и хорошо выполненной операцией. Эта информация подтвердилась и в отчете компании ESET.

Вирусная атака продемонстрировала большую зияющую дыру в кибербезопасности Украины. Как минимум, программное обеспечение, которое так широко используется компаниями по всей стране, должно проходить обязательную сертификацию как ПО государственного значения.

Кристина Лях