Читати українською

Повторная атака вируса «Petya»: подробности от властей

Министр внутренних дел Украины Арсен Аваков подробно рассказал, кто стоит за кибератакой на Украину, которая была 27 июня и 4 июля.

Министерство внутренних дел Украины приняло решение о проведении обысков и изъятии программного и аппаратного обеспечения компании ООО «Интеллект-Сервис», с помощью которого распространялся вирус.
Фото: iamir.info

Об этом он написал на своей странице в Facebook.

«Вирус Diskcoder.C - он же Гога, он же Гоша… он же - ExPetr, PetrWrap, Petya, NotPetya - прикрытие масштабной кибератаки в истории Украины», - написал Аваков.

Министр напомнил, что 27 июня в 10:30 украинские госструктуры и частные компании из-за уязвимости ПО «M.E.Doc.» (программное обеспечение для отчетности и документооборота) массово попали под удар вируса-шифровальщика (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

По его словам, для локализации масштабной киберугрозы, Нацполицией и СБУ был создан оперативно-технический штаб в который вошли представители самых известных украинских и иностранных компаний по кибербезопасности.

«Экспертами было установлено, что поражение информационных систем украинских компаний произошло, через обновление программного обеспечения «M.E.Doc»», - написал Аваков.

Он уточнил, что по полученным данным, злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика «M.E.Doc» - ООО «Интеллект-Сервис».

«Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютерах пользователей «M.E.Doc» несанкционированный удаленный доступ. Такое обновление программного обеспечения вероятно произошло еще 15 мая 2017 года», - объяснил министр.

Аваков рассказал, что представители компании-разработчика «M.E.Doc» были проинформированы о наличии уязвимостей в их системах антивирусными компаниями, но это было проигнорировано.

В свою очередь, по словам министра, компания-производитель отрицает проблемы с безопасностью и назвала это «совпадением».

Вместе с тем установлено, что обнаруженный бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний, и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационных данных пользователей, пишет министр.

Также, Авков отметил, что на данный момент известно, что после срабатывания бэкдора, атакер компрометировал учетные записи пользователей, с целью получения полного доступа к сети. Далее получал доступ к сетевому оборудованию с целью выведения его из строя. С помощью IP KVM осуществляли загрузки собственной операционной системы на базе TINY Linux.

«Злоумышленники, с целью сокрытия удачной кибероперации по массовому поражению компьютеров и несанкционированного сбора с них информации, тем же самым способом, через последние обновления ПО «M.E.Doc» распространили модифицированный ransomware Petya», - написал Аваков.

Читайте также: M.E.Doc. vs Petya: кто виноват и что делать

Министр отметил, что удаление и шифрование файлов операционных систем, было совершено с целью удаления следов предварительной преступной деятельности (бэкдора), и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших.

По его словам, следствием прорабатывается версия, что главной целью были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране.

«С целью немедленного прекращения бесконтрольного распространения Diskcoder.C (новая активность была зафиксирована 4 июля в 13:40), а также учитывая бездействие должностных лиц ООО «Интеллект-Сервис», которые, несмотря на неоднократные предупреждения антивирусных компаний и Департамента киберполиции, вводили в заблуждение свои пользователей, уверяя их в безопасности ПО «M.E.Doc» - принято решение о проведении обысков и изъятия программного и аппаратного обеспечения компании, с помощью которого распространялось ШПЗ», - написал Аваков.

Министр указал, что объектами осмотра являются рабочие компьютеры персонала и серверное оборудование через которое распространялось программное обеспечение.

«Департамент киберполиции настоятельно рекомендует всем пользователям сменить пароли и электронные цифровые подписи, в связи с тем, что эти данные могли быть скомпрометированы», - подитожил Аваков.

Ранее Минфин уже сообщал о том, что в отношении украинской компании M.E. Doc, выпускающей бухгалтерское программное обеспечение, ведут расследование в связи с серьезной кибератакой, совершенной 27 июня.

Комментарии - 11

+
0
Andrey DNK
Andrey DNK
5 июля 2017, 9:25
Странно однако, тут (http://minfin.com.ua/2017/07/05/28742886/) есть очевидные источники, а в статье их нет, непорядок:)
+
+13
ballistic
ballistic
6 июля 2017, 2:44
M.E.Doc вже зробили заяву, що їх таки зламали.
Знімайте вже кастрюлю з голови, бо від свого «самобалдєжа» дійсно розум втратите.
+
+15
Qwerty71
Qwerty71
6 июля 2017, 19:50
Вы реально верите в эти «заяви»? Вы так и не поняли где живёте и кто и как всем заправляет? Желаю успехов!
+
+18
ballistic
ballistic
6 июля 2017, 21:11
Розкажіть аргументовано, які є підстави не довіряти офіційній заяві розробника ПО, яке було зламане?

Відсутність конкретної аргументації буде означати, що Ви балабол.
+
+15
Qwerty71
Qwerty71
17 июля 2017, 17:55
А вы расскажите аргументированно на каком основании я должен в это верить? Сейчас идет дичайшая пропаганда и верить любым источникам, и тем более, официальным, нет ни одного основания. Всё покрыто глубочайшим слоем лжи и не видит это только *** , не имеющий мозгов, чтобы анализировать ситуацию.
+
+11
ballistic
ballistic
17 июля 2017, 21:20
«на каком основании я должен в это верить?»
— тобто Ви не здатні оцінити ймовірність брехні, бо «не имеющий мозгов, чтобы анализировать ситуацию».

Але Ваша тотальна невпевненість не є логічною підставою для заяви, що навкруги сама суцільна брехня.
+
0
Qwerty71
Qwerty71
3 августа 2017, 15:54
У меня нет тотальной неуверенности, а наоборот тотальная уверенность в пропаганде, лжи и разжигании ненависти среди наших людей и всё это делают официальные власти и СМИ. Так назовите мне хоть одну причину им верить. И если вы продолжаете лелеять нынешнюю власть, тогда не о чем больше разговаривать. И не надо уходить от ответа, забивая моими же цитатами строки. Не имеете своего мнения? Если есть, что ответить по существу, будьте добры убедить меня в обратном, а разводить демагогию не стоит, я вам не школьник.
+
+11
ballistic
ballistic
3 августа 2017, 16:52
В питаннях віри «пєрєубєдіть» неможливо.
Ваша тотальна впевненість в суцільній брехні — це те саме, що і тотальна невпевненість ні в чому. Крайнощі — вони не від великого розуму.

Моя думка — у мене нема підстав не довіряти цій конкретній офіційній заяві. Допускаю можливість брехні, але аргументованих підстав поки не бачу.
+
+15
mary27
mary27
4 августа 2017, 22:14
Это называется «конспирология»)
Очень забавное явление.
+
+11
ballistic
ballistic
4 августа 2017, 22:20
Або ще інакше — теорія змови :)
+
+15
mary27
mary27
4 августа 2017, 22:33
А главное, как удобно:
«А вы расскажите аргументированно на каком основании я должен в это верить?»
Чтобы оставить комментарий, нужно войти или зарегистрироваться