Кіберполіція вилучила комп'ютери компанії "M.E.Doc", через їх програму зловмисники поширили вірус Petya.A
Масове зараження комп'ютерів вірусом Petya.A відбулося через несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення - ТОВ «Інтелект-Сервіс», їх комп'ютери вилучили. Про це повідомляє Департамент кіберполіції Національної поліції України.
27.06.2017 в 10 годин 30 хвилин українські державні структури і приватні компанії через вразливості ПЗ «M.E.doc.» (програмне забезпечення для звітності та документообігу) масово потрапили під удар вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).
Для локалізації масштабної кіберзагрози, Національною поліцією України та Службою безпеки України було створено оперативно-технічний штаб до якого увійшли представники найвідоміших українських та іноземних компаній з кібербезпеки. За вказаними фактами Національною поліцією України розпочато досудове розслідування.
Експертами було встановлено, що ураження інформаційних систем українських компаній відбулось, через оновлення програмного забезпечення призначеного для звітності та документообігу – “M.E.Doc”.
За отриманими даними (підтверджено правоохоронними органами іноземних держав та міжнародними компаніями, що здійснюють діяльність у сфері інформаційної безпеки), зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення - ТОВ «Інтелект-Сервіс».
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
https://eset.ua/download_files/news/Supply-Chain_attacks_ukr.pdf
https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/
Отримавши доступ до вихідних кодів, вони в одне із оновлень програми вбудували бекдор (backdoor) - програму, яка встановлювала на комп'ютерах користувачів “M.E.Doc” несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно відбулося ще 15.05.2017 року. Представники компанії-розробника “M.E.Doc” були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але це було проігноровано. Компанія-виробник заперечила проблеми з безпекою і назвала це «збігом».
Разом з тим з’ясовано, що виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній, та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів.
Також, на даний момент відомо, що після спрацювання бекдору, атакери компрометували облікові записи користувачів, з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM здійснювали завантаження власної операційної системи на базі TINY Linux.
Зловмисники, з метою приховування вдалої кібероперації щодо масового ураження комп’ютерів та несанкціонованого збору з них інформації, тим же самим способом, через останні оновлення ПЗ “M.E.Doc” розповсюдили модифікований ransomware Petya.
Видалення та шифрування файлів операційних систем, було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору), та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих.
Слідством опрацьовується версія, що справжніми цілями були стратегічно-важливі для держави компанії, атаки на які, могли дестабілізувати ситуацію в країні.
Комплексний аналіз обставин зараження дозволяє припустити, що особи які організували напади з використанням WannaCry можуть бути причетні до вірусної атаки на українські державні структури і приватні компанії 27 червня, оскільки способи розповсюдження та загальна дія подібні вірусу-шифрувальнику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).
З метою негайного припинення безконтрольного розповсюдження Diskcoder.C (нову активність було зафіксовано сьогодні) і встановлення злочинців, прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії ТОВ «Інтелект-Сервіс», за допомогою якого розповсюджувалось ШПЗ. Вилучене обладнання буде направлено для проведення детального аналізу, з метою дослідження та розробки інструментів, що дозволять виявити заражених користувачів і нейтралізувати шкідливий код. Під час обшуку керівництво та працівники компанії повністю сприяють у проведенні слідчих дій.
Департамент кіберполіції наполегливо рекомендує усім користувачам, на час проведення слідчих дій, припинити використовувати ПЗ “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі. Також необхідно змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані.
varta1.com.ua: Новини
Кабмін спростив реєстрацію волонтерських автомобілів для військовослужбовців
Військові можуть реєструвати транспорт на своє ім’я
Деяким українцям МВС радить оновити водійські права
Ті, хто отримав права до 2013
Енергетик оцінила, чи вистачить Україні запасів газу для проходження зими
Запаси можуть бути на критичному рівні
Найкоментованіше
- У львівському тролейбусі стався конфлікт (ВІДЕО)
- Ексфутболіста збірної України "бусифікував" ТЦК
- У ТЦК уточнили, хто з мобілізованих потрапляє у штурмові підрозділи
- Шмигаль зробив важливу заяву щодо заморожування війни на лінії фронту
- Відійшов у вічність воїн з Львівщини, який з перших днів великої війни пішов добровольцем на фронт
Найчитаніше
- Підтверджено загибель 24-річного Героя зі Львівщини
- "Львівобленерго" опублікувало графік відключень світла на суботу, 14 грудня
- Останній бій прийняв на Курщині: стало відомо про загибель Героя з Львівщини Володимира Таратули
- У Львові трамвай переїхав людину
- Одна з ракет на Львівщині влучила, але не здетонувала, - ОВА
Коментарі