Целью вируса Petya была именно Украина — расследование

Об этом говорится в расследовании на портале Welivesecurity, поддерживаемом сообществом кибербезопасности ESET.

Согласно расследованию, вредоносное ПО только маскировалось под типичный вирус-вымогатель, требующий 300 долларов в биткоинах за расшифровку данных с компьютера.

«В сфере информационной безопасности существует термин «бэкдор» – дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом»,  - пишет bigmir.net.

Кроме того, специалисты, занимавшиеся расследованием атаки вируса, обнаружили глубоко скрытый бэкдор, который злоумышленники внедрили в один из легитимных модулей бухгалтерской программы M.E.Doc.

Читайте также: M.E.Doc. vs Petya: кто виноват и что делать

«Кажется маловероятным, чтобы злоумышленники могли это сделать без доступа к исходному коду M.E.Doc», – подчеркивают авторы расследования.

«Модуль с бэкдором называется ZvitPublishedObjects.dll и содержит много легитимного кода, который может быть вызван другими компонентами, включая основной исполняемый файл программы M.E.Doc ezvit.exe. Среди обновлений программы M.E.Doc за 2017 год обнаружили, по крайней мере, три, содержащих модуль с бэкдором, первое – еще в апреле:

01.175-10.01.176, 14 апреля 2017 года

01.180-10.01.181, 15 мая 2017 года

01.188-10.01.189, 22 июня 2017 года

Эксперты изучили зараженный модуль и обнаружили там несколько дополнительных классов, основной – под названием MeCom. И в нем – переменную, которая доказывает, что вирус писали именно для Украины, – она называется EDRPOU, и записывается туда код ЕДРПОУ (Код Єдиного державного реєстру підприємств та організацій України), который существует только в Украине.

Имея к нему доступ, преступники могут точно идентифицировать организацию, которая теперь использует зараженную версию M.E.Doc, и использовать против ее компьютерной сети самые разные тактики.

Наряду с кодами ЕДРПОУ бэкдор собирает параметры прокси и электронной почты, включая имена пользователей и пароли от приложения M.E.Doc.

Зараженный модуль не использует никакие внешние серверы: он использует регулярные запросы проверки программного обеспечения M.E.Doc на официальный сервер M.E.Doc.

«Как показывает наш анализ, это тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что злоумышленники имели доступ к исходному коду приложения M.E.Doc. У них было время изучить код и включить очень скрытый и хитрый бэкдор. Размер полного пакета установки M.E.Doc составляет около 1,5 ГБ, и мы пока не можем проверить, нет ли там других бэкдоров», – подчеркивают авторы расследования.

Напомним, ранее «Минфин» сообщал, что специальные агенты департамента киберполиции вместе со специалистами СБУ и городской прокуратуры остановили второй этап кибератакивируса «Petya».

По словам министра МВД Арсена Авакова, пик атаки планировался на 16:00. Стартовала она в 13:40. До 15:00 киберполиция успела заблокировать рассылку и активацию вируса с серверов информационной системы «М.Е.Doc».

Также, «Минфин» уже сообщал о том, что в отношении украинской компании M.E. Doc, выпускающей бухгалтерское программное обеспечение, ведут расследование в связи с серьезной кибератакой, совершенной 27 июня.