Нацполиция Украины установила реальную цель мощнейшей в Украине кибератаки. Об этом сообщили в департаменте киберполиции Нацполиции Украины
27.06.2017 в 10:30 украинские государственные структуры и частные компании из-за уязвимости программного обеспечения M.E.doc массово попали под удар вируса-шифровальщика Diskcoder.C, он же ExPetr, PetrWrap, Petya, NotPetya. Для локализации масштабной киберугрозы, Нацполиция и СБУ создали оперативно-технический штаб, в который вошли представители самых известных украинских и иностранных компаний по кибербезопасности. По указанным фактам Нацполиция начала досудебное расследование.
Эксперты установили, что поражение информационных систем украинских компаний произошло через обновление программного обеспечения, предназначенного для отчетности и документооборота – M.E.Doc. По полученным данным (подтверждено правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности), злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения – ООО «Интеллект-Сервис». Получив доступ к исходным кодам, злоумышленники встроили в одно из обновлений программы бэкдор (backdoor) – программу, которая устанавливала на компьютерах пользователей M.E.Doc несанкционированный удаленный доступ.
Такое обновление программного обеспечения, вероятно, произошло еще 15 мая 2017 года. Представители компании-разработчика M.E.Doc были проинформированы о наличии уязвимостей в их системах антивирусными компаниями, но проигнорировали их. Компания-производитель отрицает проблемы с безопасностью и назвала это «совпадением».
Вместе с тем установлено: обнаруженный бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер. Кроме того, он может загружать файлы и собирать информацию об операционной системе и идентификационные данные пользователей.
На данный момент известно, что после срабатывания бэкдора компрометировались учетные записи пользователей с целью получения полного доступа к сети. Далее хакеры получали доступ к сетевому оборудованию с целью выведения его из строя. С помощью IP KVM они осуществляли загрузки собственной операционной системы на базе TINY Linux.
Злоумышленники с целью сокрытия удачной кибероперации по массовому поражению компьютеров и несанкционированному сбору с них информации тем же самым способом, через последние обновления программного обеспечения M.E.Doc, распространили модифицированный ransomware Petya. Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предварительной преступной деятельности (бэкдора) и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших.
Следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране. Анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с использованием WannaCry, могут быть причастны к вирусной атаке на украинские государственные структуры и частные компании 27 июня, поскольку способы распространения и общее действие подобны вирусу-шифровальщику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).
С целью немедленного прекращения распространения Diskcoder.C (новая активность была зафиксирована сегодня) принято решение о проведении обысков и изъятии программного и аппаратного обеспечения компании, с помощью которого распространялось вредоносное программное обеспечение. Обыски проведены представителями департамента киберполиции, следователями и при участии СБУ. Изъяты рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение.
Департамент киберполиции настоятельно рекомендует всем пользователям на время проведения следственных действий прекратить использовать программное обеспечение M.E.Doc и отключить компьютеры, на которых оно установлено от сети. Также необходимо изменить свои пароли и электронные цифровые подписи в связи с тем, что эти данные могли быть скомпрометированы. В ближайшее время на сайте департамента киберполиции будут опубликованы инструкции для проверки на наличие бэкдора (backdoor) на компьютере.