Об этом он написал на своей странице в Facebook.
«Вирус Diskcoder.C - он же Гога, он же Гоша… он же - ExPetr, PetrWrap, Petya, NotPetya - прикрытие масштабной кибератаки в истории Украины», - написал Аваков.
Министр напомнил, что 27 июня в 10:30 украинские госструктуры и частные компании из-за уязвимости ПО «M.E.Doc.» (программное обеспечение для отчетности и документооборота) массово попали под удар вируса-шифровальщика (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).
По его словам, для локализации масштабной киберугрозы, Нацполицией и СБУ был создан оперативно-технический штаб в который вошли представители самых известных украинских и иностранных компаний по кибербезопасности.
«Экспертами было установлено, что поражение информационных систем украинских компаний произошло, через обновление программного обеспечения «M.E.Doc»», - написал Аваков.
Он уточнил, что по полученным данным, злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика «M.E.Doc» - ООО «Интеллект-Сервис».
«Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютерах пользователей «M.E.Doc» несанкционированный удаленный доступ. Такое обновление программного обеспечения вероятно произошло еще 15 мая 2017 года», - объяснил министр.
Аваков рассказал, что представители компании-разработчика «M.E.Doc» были проинформированы о наличии уязвимостей в их системах антивирусными компаниями, но это было проигнорировано.
В свою очередь, по словам министра, компания-производитель отрицает проблемы с безопасностью и назвала это «совпадением».
Вместе с тем установлено, что обнаруженный бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний, и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационных данных пользователей, пишет министр.
Также, Авков отметил, что на данный момент известно, что после срабатывания бэкдора, атакер компрометировал учетные записи пользователей, с целью получения полного доступа к сети. Далее получал доступ к сетевому оборудованию с целью выведения его из строя. С помощью IP KVM осуществляли загрузки собственной операционной системы на базе TINY Linux.
«Злоумышленники, с целью сокрытия удачной кибероперации по массовому поражению компьютеров и несанкционированного сбора с них информации, тем же самым способом, через последние обновления ПО «M.E.Doc» распространили модифицированный ransomware Petya», - написал Аваков.
Читайте также: M.E.Doc. vs Petya: кто виноват и что делать
Министр отметил, что удаление и шифрование файлов операционных систем, было совершено с целью удаления следов предварительной преступной деятельности (бэкдора), и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших.
По его словам, следствием прорабатывается версия, что главной целью были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране.
«С целью немедленного прекращения бесконтрольного распространения Diskcoder.C (новая активность была зафиксирована 4 июля в 13:40), а также учитывая бездействие должностных лиц ООО «Интеллект-Сервис», которые, несмотря на неоднократные предупреждения антивирусных компаний и Департамента киберполиции, вводили в заблуждение свои пользователей, уверяя их в безопасности ПО «M.E.Doc» - принято решение о проведении обысков и изъятия программного и аппаратного обеспечения компании, с помощью которого распространялось ШПЗ», - написал Аваков.
Министр указал, что объектами осмотра являются рабочие компьютеры персонала и серверное оборудование через которое распространялось программное обеспечение.
«Департамент киберполиции настоятельно рекомендует всем пользователям сменить пароли и электронные цифровые подписи, в связи с тем, что эти данные могли быть скомпрометированы», - подитожил Аваков.
Ранее Минфин уже сообщал о том, что в отношении украинской компании M.E. Doc, выпускающей бухгалтерское программное обеспечение, ведут расследование в связи с серьезной кибератакой, совершенной 27 июня.