Масштабная кибератака, которая поразила множество важных компьютерных сетей в Украине, а позже распространилась на другие страны, была ориентирована именно на украинский бизнес.
Фото: real-vin.com

Целью вируса Petya была именно Украина — расследование

Масштабная кибератака, которая поразила множество важных компьютерных сетей в Украине, а позже распространилась на другие страны, была ориентирована именно на украинский бизнес.

Об этом говорится в расследовании на портале Welivesecurity, поддерживаемом сообществом кибербезопасности ESET.

Согласно расследованию, вредоносное ПО только маскировалось под типичный вирус-вымогатель, требующий 300 долларов в биткоинах за расшифровку данных с компьютера.

«В сфере информационной безопасности существует термин «бэкдор» – дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом»,  - пишет bigmir.net.

Кроме того, специалисты, занимавшиеся расследованием атаки вируса, обнаружили глубоко скрытый бэкдор, который злоумышленники внедрили в один из легитимных модулей бухгалтерской программы M.E.Doc.

Читайте также: M.E.Doc. vs Petya: кто виноват и что делать

«Кажется маловероятным, чтобы злоумышленники могли это сделать без доступа к исходному коду M.E.Doc», – подчеркивают авторы расследования.

«Модуль с бэкдором называется ZvitPublishedObjects.dll и содержит много легитимного кода, который может быть вызван другими компонентами, включая основной исполняемый файл программы M.E.Doc ezvit.exe. Среди обновлений программы M.E.Doc за 2017 год обнаружили, по крайней мере, три, содержащих модуль с бэкдором, первое – еще в апреле:

01.175-10.01.176, 14 апреля 2017 года

01.180-10.01.181, 15 мая 2017 года

01.188-10.01.189, 22 июня 2017 года

Эксперты изучили зараженный модуль и обнаружили там несколько дополнительных классов, основной – под названием MeCom. И в нем – переменную, которая доказывает, что вирус писали именно для Украины, – она называется EDRPOU, и записывается туда код ЕДРПОУ (Код Єдиного державного реєстру підприємств та організацій України), который существует только в Украине.

Имея к нему доступ, преступники могут точно идентифицировать организацию, которая теперь использует зараженную версию M.E.Doc, и использовать против ее компьютерной сети самые разные тактики.

Наряду с кодами ЕДРПОУ бэкдор собирает параметры прокси и электронной почты, включая имена пользователей и пароли от приложения M.E.Doc.

Зараженный модуль не использует никакие внешние серверы: он использует регулярные запросы проверки программного обеспечения M.E.Doc на официальный сервер M.E.Doc.

«Как показывает наш анализ, это тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что злоумышленники имели доступ к исходному коду приложения M.E.Doc. У них было время изучить код и включить очень скрытый и хитрый бэкдор. Размер полного пакета установки M.E.Doc составляет около 1,5 ГБ, и мы пока не можем проверить, нет ли там других бэкдоров», – подчеркивают авторы расследования.

Напомним, ранее «Минфин» сообщал, что специальные агенты департамента киберполиции вместе со специалистами СБУ и городской прокуратуры остановили второй этап кибератакивируса «Petya».

По словам министра МВД Арсена Авакова, пик атаки планировался на 16:00. Стартовала она в 13:40. До 15:00 киберполиция успела заблокировать рассылку и активацию вируса с серверов информационной системы «М.Е.Doc».

Также, «Минфин» уже сообщал о том, что в отношении украинской компании M.E. Doc, выпускающей бухгалтерское программное обеспечение, ведут расследование в связи с серьезной кибератакой, совершенной 27 июня.

Опубликовано на minfin.com.ua 6 июля 2017, 9:50 Источник: Минфин
Следить за новыми комментариями

Комментарии (24)

+
+31
bampi
bampi
6 июля 2017, 10:04
#
Что за бредовые отмазки со стороны властей: мы боремся, мы предотвратили,… Может лучше не создавать проблем?! СНБО приняло еще в мае запрет на 1С, что повлекло за собой такой всплеск, а если быть точным, то 100-150 компаний увеличение спроса на данный продукт. Поэтому Украина выглядит не жертвой, а первоисточником такой проблемы. Тем более, уже никто не делает одиночные атаки — перенимают 2ой взрыв. Всех можно было просто добить дос атаками. Так что если кого и винить, то в-первую очередь амбиции монополистов, которые проталкивают такие решения на самом верху.
+
+15
ballistic
ballistic
6 июля 2017, 11:02
#
Тобто по-Вашому Україна сама винна, бо ця атака — це була відповідь 1С на санкції.
І далі слід очікувати на «праведні» відповіді від яндексу та мейлру?
+
+15
bampi
bampi
6 июля 2017, 13:24
#
Здесь вопрос экономического характера и не более. Решение по СНБО было экономически мотивированным изначально — искусственно подавили конкуренцию. Как результат, то предприятия начали «класть яйца в одну корзину». Что произошло — это вопрос времени был бы. Это бизнес и очень большой. Практика показывает, что ни информационно от задуривания людям мозгов, ни от кибер атак, ни социально украинцы не защищены.
+
0
ballistic
ballistic
6 июля 2017, 14:20
#
Ага, тобто по Вашому хакерська атака — це суто економічне питання?!
Ну-ну…
:)
+
+15
bampi
bampi
6 июля 2017, 14:51
#
Вы ищете конспирологию там, где ее нет — http://informat.com.ua/xakery-ukrali-v-proshlom-godu-okolo-158-mlrd-pochti-u-600-mln-chelovek-vo-vsem-mire/
А если бы хотели «положить» Украину или с перспективой обнулить ВР умников, то атака была бы массовой на связанные лица операторов связи и платежные системы. Как дальше уронить — это уже и ботаник знает как RTGS и их разновидности функционирует. А с перспективой обнулить счета как за рубежём, так в Украине — мобильный телефон, как раз самое оно.
Если не могут справиться с обычным «вымогателем», то что осталось бы от инфраструктуры, если бы за Украину взялись анонимусы и другие?! Потери бы были колоссальными.
+
+15
ballistic
ballistic
6 июля 2017, 15:41
#
Хочете сказати, що це банальне здирництво?
Але ж очевидно, що спосіб отримання викупу не дозволить здирникам збагатитися. І як Ви собі пояснюєте, навіщо здирникам ЕДРПОУ? І це при тому, що влаштувати прихований бекдор в легальному модулі — це аж ніяк не дитячий рівень.
+
0
bampi
bampi
6 июля 2017, 16:25
#
Проблема в том, что это информационная политика СМИ, что данный вирус что-то воровал. Petya, как и teslacrypt, torrentlocker и другие — это шифровальщики с целью выманить деньги. Если какой-то гос орган говорит, что были украдены данные, то оно их и украло, или, что еще хуже, то продали базу за деньги. Базу налоговой можно за 1500-2000 у.е. купить не прибегая к таким изощренностям. К сожалению, предприятия, гос органы, люди,… мало уделяют вниманию обычным нормам безопасности в сети.
+
+15
ballistic
ballistic
6 июля 2017, 16:40
#
Спочатку Ви натякаєте, що це банальне здирництво. А на моє пряме питання-уточнення розтікаєтесь про «информационная политика СМИ».
Мабуть продовжувати нема сенсу…
+
+6
vitaliy17
vitaliy17
6 июля 2017, 10:51
#
«И в нем – переменную, которая доказывает, что вирус писали именно для Украины, – она называется EDRPOU, и записывается туда код ЕДРПОУ (Код Єдиного державного реєстру підприємств та організацій України), который существует только в Украине.»

Wondows имеет украинский язык — это доказывает что Wondows писалась именно для Украины. Логика железная. Можно верить.

Может всетаки распространение вируса планировалось И в Украине в том числе?
+
+15
ballistic
ballistic
6 июля 2017, 11:05
#
Назва параметру EDRPOU — це реальне «палєво» розробників.
І тут тільки упоротий чи упереджений буде щось розказувати, що EDRPOU — можна використовувати не обов'язково для України.
+
0
vitaliy17
vitaliy17
6 июля 2017, 13:55
#
Простите а что других переменных кроме EDRPOU не было? Или экпЭрты увидели только это и давай раасказывать о том что ТОЛЬКО для Украины. Речь не идёт об использование EDRPOU переменной для других стран, я думаю вирус имеет универсальный код который выбирает что именно использовать.

Я подчеркиваю — Украина была одной ИЗ стран для атаки а не одной единтсвенной. Как по мне просто из-за бардака в ИТ предприятий пострадала сильнее всего.
+
0
ballistic
ballistic
6 июля 2017, 14:18
#
Судя по коменту, Ви спочатку не розуміли що таке EDRPOU, а тепер намагаєтесь викрутитися.

«Я подчеркиваю»
— Ваші підкреслення голослівні. Де Ваші аргументи?

Мої аргументи:
— основний канал атаки був зроблений через зламаний український софт
— цей софт встановлено виключно в українських користувачів
— зловмисний бекдор має параметр, назва якого має відношення тільки до України
— переважна більшість жертв атаки знаходиться в Україні

Крім того факти про атаку (я писав раніше):
— почалася з України
— назва вірусу натякає на зв'язок з Україною
— одночасна масова активація вірусу в ~11:30 вказує, що атака була спланована в часі
— почалася перед українським державним святом
— ненадійний механізм отримання викупу вказує що зловмисники не мали наміру збагатитися
— стратегічність об'єктів ураження (переважно державні та банківські установи України) вказує, що атака була спрямована проти України-держави
— за декілька годин до початку атаки було вбито керівника спецназу ГРУ, який завдав багато шкоди російським агресорам

Тепер Ви наведіть хоть щось в захист Вашої думки, що Україна не була основною метою атаки
+
+7
vitaliy17
vitaliy17
6 июля 2017, 15:09
#
Что такое Код ЄДРПОУ я знаю лет 15-ть уважаемый, тут Вы ошиблись, я возможно упоротый но не тупой :)

Вы шикарно всё описали, с фактами соглашусь, хотя половина аргументов (стратегічність об'єктів, вбито керівника спецназу ГРУ, який завдав багато шкоди російським агресорам) это то что тиражирую наши СМИ, с вектором в строго определенную сторону.
+
0
ballistic
ballistic
6 июля 2017, 15:30
#
Так а де ж Ваші аргументи?
Ви так наполегливо підкреслювали, що атака не була націлена на Україну.
+
0
vitaliy17
vitaliy17
6 июля 2017, 15:33
#
Не передёргивайте уважаемый, вот мои слова: «Украина была одной ИЗ стран для атаки а не одной единтсвенной»

Пострадали и другие страны, не втаких массаштабах конечно.
https://ukranews.com/news/505629-poyavylas-karta-khakerskoy-ehpydemyy-kakye-strany-postradaly-ot-kyberataky-vyrusa-petya

Вполне возможно наша дырка в безопастности предприятий оказалась больше чем в других странах. Остальное больше похоже на конспиралогию.
+
+15
ballistic
ballistic
6 июля 2017, 15:47
#
По вашому посиланню — 75% жертв в Україні.
І після цього Ви розповідаєте, що Україна — «одна із»? :)

В купі з вищенаведеними фактами, для мене очевидно, що мета атаки — саме Україна, а «решту країн» просто випадково зачепило.
+
0
vitaliy17
vitaliy17
6 июля 2017, 15:52
#
Случайно скачали МИДОК в Германии? :)
+
0
ballistic
ballistic
6 июля 2017, 16:23
#
M.E.Doc був основним каналом, але були і інші канали.
І ймовірно неефективні поштові розсилки з вірусом в інші країни якраз і мали на меті створити ілюзію, що атака не тільки на Україну.

Але якщо 75% з усіх жертв в Україні і параметр EDRPOU для Вас не аргумент, то я не знаю, що Вас зможе переконати.
+
0
Qwerty71
Qwerty71
6 июля 2017, 19:47
#
Я балдею, как народ свято верит в те факты, которые предоставляют СМИ и мусора!!! У вас ещё осталось доверие этим структурам? Вы рьяно обсуждаете параметр ЕДРПОУ, которого там может и не было вовсе и все это СМИ и вонючие разжигатели? Их факты не стоят и ломанного гроша, не говоря уже о том, чтобы их так горячо обсуждать. Неужели не научились фильтровать за более, чем 3 года?
+
0
ballistic
ballistic
6 июля 2017, 21:06
#
Якщо Вам не вірите аналітикам від розробника відомого антивірусу — то розкажіть, кому Ви взагалі довіряєте?

Чи Ви може як той Хвома Нєвєрящій? В такому разі відключайтесь від інтернету, тут усе можна поставити під сумнів.
+
0
virusw
virusw
6 июля 2017, 20:14
#
Програма призначена для обміну документів між підприємствами і податковою. Як по вашому вона буде працювати? ЄДРПОУ просто необхідно для цього. Тому версія теж не дуже надійна.
Ми знайшли ЄДРПОУ в медку це як сказати, що ми знайшли букви в Word, що свідчить, що Майкрософт придумала алфавіт.
З точки зору програмування, поясніть мені, навіщо вірусу знати ЄДРПОУ підприємства, якщо атака йде через медок і під прицілом ЛИШЕ українські підприємства, бо інші не користуються медком? АБСУРД. Нам вішають лапшу на вуха.
+
0
gastgeber
gastgeber
6 июля 2017, 16:41
#
Мысли одолевают. А у Roshen как дела? А?
+
0
virusw
virusw
6 июля 2017, 20:08
#
В програмі, призначеній для обміну документами (підприємство — податкова — контрагенти) знайшли змінну EDRPOU. Це чудо.
Якщо є два підприємства з однаковою назвою ТОВ «Рога і копита», то саме по ЄДРПОУ вони і відрізняються. Це є ідентифікаційний код для підприємства. Програми типу Медок і аналоги просто усіяні ЄДРПОУ…
+
0
vit555z
vit555z
7 июля 2017, 14:41
Виталий
#
Нема житья от этих Petya, и название такое неприятное для современной Украины выбрали.

Написать комментарий

Чтобы оставить комментарий, нужно войти или зарегистрироваться