Днепр

Вирус Petya A повторил атаку. Что дальше?

27 июня на Украину напал беспощадный вирус Petya A, который «положил» работу многих коммерческих и государственных предприятий. СБУ увидела в этом след российских спецслужб, а киберэксперты обвинили бухгалтерскую программу M.E.Doc.

Первые выводы экспертов

О причастности программы к распространению вируса Киберполиция Украины заявила еще в день атаки. Позже эту информацию подтвердили и в официальном отчете компании Microsoft. Сами разработчики программы яростно отрицали возможность распространения вируса через их продукт.

В Киберполиции объяснили, что это ПО имеет встроенную функцию обновления, которая периодически обращается к серверу: upd.me-doc.com.ua (92.60.184.55) с помощью User Agent “medoc1001189“.

Утром 27 июня, в 10.30, программу M.E.doc. обновили. Обновление составляло примерно 333 Кб, и после его загрузки  вредоносное программное обеспечение распространилось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry).

Глава Киберполиции Украины Сергей Демедюк заявил, что в отношении компании будет открыто уголовное производство. Он подчеркнул, что M.E.Doc знал о дырах в безопасности, но игнорировал это.

Вторая волна атаки

Страсти улеглись, украинские предприятия почти закончили подсчитывать убытки и запасаться новыми антивирусными программами…  И вот вчера, 4 июля, глава МВД Украины Арсен Аваков вдруг заявил о второй волне распространения вируса.

«Пик атаки планировался на 16.00. Стартовала атака в 13.40. До 15.00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc. Атака была остановлена. Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками из Российской Федерации», — рассказал он.

На этот раз силовики не ограничились одними только угрозами – в компании M.E.Doc провели обыски, после чего изъяли рабочие компьютеры персонала и серверное оборудование.

Придя к выводу, что отпираться больше нет смысла, компания M.E.Doc  5 июля все-таки подтвердила факт взлома своего продукта и наличие вредоносного программного кода в пакете обновлений программы.

«По словам ведущих международных экспертов и правоохранителей, вмешательство было осуществлено высокопрофессиональными специалистами. Более того, комплексный анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с использованием WannaCry, могут быть причастны и к этой вирусной атаке, поскольку способы распространения и общее действие похожи на вирус-шифровальщик (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya , NotPetya)», — отметили разработчики бухгалтерской программы.

Также сообщается, что разработчики уже создали супербезопасное обновление, которое полностью исключает угрозы для пользователей.  Вот только выпустить его пока нет возможности из-за изъятых серверов и оборудования.

Не все так просто?

Расследование киберэкспертов Антона Черепанова, Frédéric Vachon и Thomas Dupuy показало, что в 2017 году у программы M.E.Doc было как минимум 3 обновления, содержащих зараженный модуль – в апреле, мае и июне. Однако в апреле-мае было и еще 4 обновления, не содержащих вирус. Вероятно, это и помогло избежать такого массового заражения, как то, которое произошло 27 июня.

Важно то, что опасность вируса заключалась не столько в остановке работы крупных предприятий, сколько в скрытых свойствах этого самого вируса.

Каждая зарегистрированная организация в Украине имеет уникальный код ЕДРПОУ. И это очень важно, так как используя ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

С тех пор, как M.E.Doc получил большую популярность, его можно найти на компьютере практически каждого бухгалтера. Один M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЕДРПОУ на этой машине для отправки их злоумышленникам. Кроме ЕДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

На оснований этой информации эксперты пришли к выводу, что атака вируса была тщательно спланированной и хорошо выполненной операцией. Эта информация подтвердилась и в отчете компании ESET.

Вирусная атака продемонстрировала большую зияющую дыру в кибербезопасности Украины. Как минимум, программное обеспечение, которое так широко используется компаниями по всей стране, должно проходить обязательную сертификацию как ПО государственного значения.

Кристина Лях

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Copyright © 2007-2018 Информатор - Региональное интернет-издание.
При полном или частичном использовании материалов сайта ссылка
на сайт интернет издания dengi.informator.ua как источник информации обязательна.

Наверх

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: