Киберполиция сообщает, что поражение информационных систем украинских компаний произошло из-за обновления программного обеспечения, предназначенного для подачи отчетности и документооборота, - «M.E.Doc».
По полученным данным (подтверждено правоохранительными органами иностранных государств и международными компаниями, которые осуществляют деятельность в сфере информационной безопасности), злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения - ООО «Інтелект-Сервіс».
Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютерах пользователей «M.E.Doc» несанкционированный удаленный доступ. Данное обновление программного обеспечения, скорее всего, произошло еще 15.05.2017 г.
Обнаруженный бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.
Также по состоянию на данный момент известно, что после срабатывания бэкдора атакеры компрометировали учетные записи пользователей с целью получения полного доступа к сети. Далее получали доступ к сетевому оборудованию с целью выведения его из строя. С помощью IP KVM осуществляли загрузку собственной операционной системы на базе TINY Linux.
Злоумышленники, с целью скрытия удачной кибероперации касательно массового поражения компьютеров и несанкционированного сбора с них информации, тем же способом, через последние обновления ПО «M.E.Doc» распространили модифицированный ransomware Petya.
Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предварительной преступной деятельности (бэкдора), и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших.
Следствие прорабатывает версию, что реальными целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране.
Комплексный анализ обстоятельств заражения дает возможность предположить, что лица, которые организовали нападения с использованием WannaCry, могут быть причастны к вирусной атаке на украинские государственные структуры и частные компании 27 июня, поскольку способы распространения и общее действие подобны вирусу-шифровальщику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).
С целью немедленного прекращения бесконтрольного распространения Diskcoder.C и установления преступников принято решение о проведении обысков и изъятии программного и аппаратного обеспечения компании ООО «Інтелект-Сервіс», с помощью которого распространялось вредоносное программное обеспечение. Изъятое оборудование будет направлено для проведения детального анализа, с целью исследования и разработки инструментов, которые позволят выявить зараженных пользователей и нейтрализовать вредоносный код. Во время обыска руководство и сотрудники компании полностью способствуют в проведении следственных действий.
Департамент киберполиции настоятельно рекомендует всем пользователям на время проведения следственных действий прекратить использовать ПО «M.E.Doc» и отключить компьютеры, на которых оно установлено от сети. Также необходимо изменить свои пароли и электронные цифровые подписи в связи с тем, что эти данные могли быть скомпрометированы.
