Масштабная кибератака, которая поразила множество важных компьютерных сетей в Украине, а позже распространилась на другие страны, была ориентирована именно на украинский бизнес.
Целью вируса Petya была именно Украина — расследование
Об этом говорится в расследовании на портале Welivesecurity, поддерживаемом сообществом кибербезопасности ESET.
Согласно расследованию, вредоносное ПО только маскировалось под типичный вирус-вымогатель, требующий 300 долларов в биткоинах за расшифровку данных с компьютера.
«В сфере информационной безопасности существует термин «бэкдор» – дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом», - пишет bigmir.net.
Кроме того, специалисты, занимавшиеся расследованием атаки вируса, обнаружили глубоко скрытый бэкдор, который злоумышленники внедрили в один из легитимных модулей бухгалтерской программы M.E.Doc.
Читайте также: M.E.Doc. vs Petya: кто виноват и что делать
«Кажется маловероятным, чтобы злоумышленники могли это сделать без доступа к исходному коду M.E.Doc», – подчеркивают авторы расследования.
«Модуль с бэкдором называется ZvitPublishedObjects.dll и содержит много легитимного кода, который может быть вызван другими компонентами, включая основной исполняемый файл программы M.E.Doc ezvit.exe. Среди обновлений программы M.E.Doc за 2017 год обнаружили, по крайней мере, три, содержащих модуль с бэкдором, первое – еще в апреле:
01.175-10.01.176, 14 апреля 2017 года
01.180-10.01.181, 15 мая 2017 года
01.188-10.01.189, 22 июня 2017 года
Эксперты изучили зараженный модуль и обнаружили там несколько дополнительных классов, основной – под названием MeCom. И в нем – переменную, которая доказывает, что вирус писали именно для Украины, – она называется EDRPOU, и записывается туда код ЕДРПОУ (Код Єдиного державного реєстру підприємств та організацій України), который существует только в Украине.
Имея к нему доступ, преступники могут точно идентифицировать организацию, которая теперь использует зараженную версию M.E.Doc, и использовать против ее компьютерной сети самые разные тактики.
Наряду с кодами ЕДРПОУ бэкдор собирает параметры прокси и электронной почты, включая имена пользователей и пароли от приложения M.E.Doc.
Зараженный модуль не использует никакие внешние серверы: он использует регулярные запросы проверки программного обеспечения M.E.Doc на официальный сервер M.E.Doc.
«Как показывает наш анализ, это тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что злоумышленники имели доступ к исходному коду приложения M.E.Doc. У них было время изучить код и включить очень скрытый и хитрый бэкдор. Размер полного пакета установки M.E.Doc составляет около 1,5 ГБ, и мы пока не можем проверить, нет ли там других бэкдоров», – подчеркивают авторы расследования.
Напомним, ранее «Минфин» сообщал, что специальные агенты департамента киберполиции вместе со специалистами СБУ и городской прокуратуры остановили второй этап кибератакивируса «Petya».
По словам министра МВД Арсена Авакова, пик атаки планировался на 16:00. Стартовала она в 13:40. До 15:00 киберполиция успела заблокировать рассылку и активацию вируса с серверов информационной системы «М.Е.Doc».
Также, «Минфин» уже сообщал о том, что в отношении украинской компании M.E. Doc, выпускающей бухгалтерское программное обеспечение, ведут расследование в связи с серьезной кибератакой, совершенной 27 июня.
Коментарі - 24
І далі слід очікувати на «праведні» відповіді від яндексу та мейлру?
Ну-ну…
:)
А если бы хотели «положить» Украину или с перспективой обнулить ВР умников, то атака была бы массовой на связанные лица операторов связи и платежные системы. Как дальше уронить — это уже и ботаник знает как RTGS и их разновидности функционирует. А с перспективой обнулить счета как за рубежём, так в Украине — мобильный телефон, как раз самое оно.
Если не могут справиться с обычным «вымогателем», то что осталось бы от инфраструктуры, если бы за Украину взялись анонимусы и другие?! Потери бы были колоссальными.
Але ж очевидно, що спосіб отримання викупу не дозволить здирникам збагатитися. І як Ви собі пояснюєте, навіщо здирникам ЕДРПОУ? І це при тому, що влаштувати прихований бекдор в легальному модулі — це аж ніяк не дитячий рівень.
Мабуть продовжувати нема сенсу…
Wondows имеет украинский язык — это доказывает что Wondows писалась именно для Украины. Логика железная. Можно верить.
Может всетаки распространение вируса планировалось И в Украине в том числе?
І тут тільки упоротий чи упереджений буде щось розказувати, що EDRPOU — можна використовувати не обов'язково для України.
Я подчеркиваю — Украина была одной ИЗ стран для атаки а не одной единтсвенной. Как по мне просто из-за бардака в ИТ предприятий пострадала сильнее всего.
«Я подчеркиваю»
— Ваші підкреслення голослівні. Де Ваші аргументи?
Мої аргументи:
— основний канал атаки був зроблений через зламаний український софт
— цей софт встановлено виключно в українських користувачів
— зловмисний бекдор має параметр, назва якого має відношення тільки до України
— переважна більшість жертв атаки знаходиться в Україні
Крім того факти про атаку (я писав раніше):
— почалася з України
— назва вірусу натякає на зв'язок з Україною
— одночасна масова активація вірусу в ~11:30 вказує, що атака була спланована в часі
— почалася перед українським державним святом
— ненадійний механізм отримання викупу вказує що зловмисники не мали наміру збагатитися
— стратегічність об'єктів ураження (переважно державні та банківські установи України) вказує, що атака була спрямована проти України-держави
— за декілька годин до початку атаки було вбито керівника спецназу ГРУ, який завдав багато шкоди російським агресорам
Тепер Ви наведіть хоть щось в захист Вашої думки, що Україна не була основною метою атаки
Вы шикарно всё описали, с фактами соглашусь, хотя половина аргументов (стратегічність об'єктів, вбито керівника спецназу ГРУ, який завдав багато шкоди російським агресорам) это то что тиражирую наши СМИ, с вектором в строго определенную сторону.
Ви так наполегливо підкреслювали, що атака не була націлена на Україну.
Пострадали и другие страны, не втаких массаштабах конечно.
https://ukranews.com/news/505629-poyavylas-karta-khakerskoy-ehpydemyy-kakye-strany-postradaly-ot-kyberataky-vyrusa-petya
Вполне возможно наша дырка в безопастности предприятий оказалась больше чем в других странах. Остальное больше похоже на конспиралогию.
І після цього Ви розповідаєте, що Україна — «одна із»? :)
В купі з вищенаведеними фактами, для мене очевидно, що мета атаки — саме Україна, а «решту країн» просто випадково зачепило.
І ймовірно неефективні поштові розсилки з вірусом в інші країни якраз і мали на меті створити ілюзію, що атака не тільки на Україну.
Але якщо 75% з усіх жертв в Україні і параметр EDRPOU для Вас не аргумент, то я не знаю, що Вас зможе переконати.
Чи Ви може як той Хвома Нєвєрящій? В такому разі відключайтесь від інтернету, тут усе можна поставити під сумнів.
Ми знайшли ЄДРПОУ в медку це як сказати, що ми знайшли букви в Word, що свідчить, що Майкрософт придумала алфавіт.
З точки зору програмування, поясніть мені, навіщо вірусу знати ЄДРПОУ підприємства, якщо атака йде через медок і під прицілом ЛИШЕ українські підприємства, бо інші не користуються медком? АБСУРД. Нам вішають лапшу на вуха.
Якщо є два підприємства з однаковою назвою ТОВ «Рога і копита», то саме по ЄДРПОУ вони і відрізняються. Це є ідентифікаційний код для підприємства. Програми типу Медок і аналоги просто усіяні ЄДРПОУ…