leh_a (leh_a) wrote,
leh_a
leh_a

Наберут, блин, по объявлению.



История про Petya с прологом и эпилогом, которая разворачивается вот прямо сейчас.

Вирус Petya в дикой природе обнаружен был в марте 2016 года. Занимался он тогда тем же что и сейчас - шифровал пользовательские данные и хотел денег за расшифровку. Для собственного распростанения использовал почтовые рассылки и отсутствие мозгов у некоторых пользователей. Рукастые люди тогда покопались в коде вируса, нашли косяк и написали процедуру расшифровки данных. Однако для Petya образца 2017 года оно не помогло.

Часть первая.

27 июня 2017 года началось массовое распространение новой модификации программы. За восстановление доступа к данным требует отправить 300 долларов в биткоинах. Однако специалисты не рекомендуют пользователям идти на поводу у вымогателей, поскольку это всё равно не поможет им восстановить доступ к данным: электронный адрес, на который зло­умыш­лен­ни­ки просят отправить данные после осуществления платежа, уже заблокирован провайдером. В компании «ESET» заявили, что распространение вредоносной программы началось на Украине. Атаке подверглись энергетические компании, украинские банки, аэропорт Харькова, Чернобыльская АЭС, правительственные сайты, киевский метрополитен. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней.

Оставим за скобками, что полтора месяца назад WannaCry положил кучу сетей, механизм распространения его известен и все нужные хотфиксы производители ПО написали и пользователей проинформировали. При этом Petya использует для распростанения те же "дырки" что WannaCry.

Часть вторая.

Производитель программного обеспечения «M.e.doc», украинская IT-компания «Интеллект-сервис», заявила о своей непричастности к атакам с использованием вредоносного ПО NotPetya (Petya.A). Программа малоизвестна за пределами Украины, однако очень популярна в стране, где ею пользуются 80% предприятий.

По мнению украинских властей и экспертов компаний Microsoft, Cisco Talos и Symantec, распространение инфекции началось с пришедших с серверов производителя вредоносных обновлений для «M.e.doc». Тем не менее, владельцы «Интеллект-Сервиса» дочь и отец Олеся и Сергей Линник отрицают причастность своего ПО к атакам NotPetya. Согласно их заявлению журналистам Reuters, доказательства того, что вредонос попал на компьютеры жертв через обновления «M.e.doc», отсутствуют.

«Что удалось выяснить за эти дни, когда все только работали и никто не спал? Мы изучили и проанализировали наш продукт на предмет следов взлома – он не заражен вирусом, все хорошо, он безопасен. Мы сто раз перепроверили обновления, которые были присланные задолго до распространения вируса. С ними все в порядке. […] M.e.doc – это продукт для передачи данных. Он передает документы. Виновна ли почтовая программа в распространении вируса? Вряд ли», - отметила Олеся Линник.

Согласно заявлению представителей правоохранительных органов, сделанному в понедельник, 3 июля, Линникам грозит уголовное наказание, если выяснится, что они знали об инфекции, но ничего не сделали. «У нас возникли проблемы с руководством компании, потому что они знали о наличии вируса в своем ПО, но не предприняли никаких действий. Если это подтвердится, им будут предъявлены уголовные обвинения», - сообщил глава Департамента киберполиции национальной полиции Украины Сергей Демедюк журналистам Reuters.


Часть истории третья.

Киберполиция заблокировала рассылку и активацию вируса с сервера информационной системы М.Е. Doc.

Сотрудники департамента Киберполиции совместно с сотрудниками Службы безопасности Украины (СБУ) пресекли второй этап кибератаки NotPetya (известен как ExPetr, PetrWrap, Petya.А, Diskcoder.C).

«Пик атаки планировался на 16.00, а сама она началась в 13.40. До 15.00 Киберполиция заблокировала рассылку и активацию вируса с сервера информационной системы М.Е. Doc. Атака была остановлена. Серверы изъяты, вместе со следами киберпреступников с очевидными источниками из Российской Федерации», - написал Аваков.

Согласно сообщению министра, злоумышленники взломали один из компьютеров разработчика М.Е. Doc компании «Интеллект-Сервис». Получив доступ к системе, атакующие внедрили бэкдор в одно из обновлений программы. По данным экспертов, бэкдор собирает и отправляет на удаленный сервер различную информацию, включая коды ЕГРПОУ (Единый государственный реестр предприятий и организаций Украины) компаний, данные о системе и идентификационные данные пользователей.

Представители «Интеллект-Сервис» были проинформированы об уязвимостях, однако руководство компании проигнорировало эти сообщения. По словам Авакова, было принято решение о проведении обысков и изъятии программного обеспечения и оборудования, с помощью которого распространялось вымогательское ПО. Ранее производитель ПО М.Е. Doc заявил о своей непричастности к атакам NotPetya.


Эксперты проанализировали изначальный вектор атаки NotPetya.

Исследователь безопасности Антон Черепанов из ESET представил подробности об изначальном векторе атаки NotPetya (Petya.A, ExPetr), накрывшей Украину 27 июня текущего года. Согласно заявлениям правоохранительных органов Украины и экспертов ESET, вредонос попал на системы жертв с зараженными бэкдором обновлениями бухгалтерского ПО «M.e.doc». Поначалу разработчик программы, «Интеллект-сервис», отрицал причастность к атакам, однако затем признал наличие бэкдора в своем продукте.

Во время исследования специалисты ESET обнаружили в одном из легитимных модулей «M.e.doc» весьма незаметный хитроумный бэкдор. По мнению Черепанова, маловероятно, что внедрить его мог кто-то без доступа к исходному коду программы. Речь идет о модуле с именем файла ZvitPublishedObjects.dll, написанном с помощью .NET Framework. Файл размером 5 МБ содержит большой объем легитимного кода, вызываемого различными компонентами, в том числе исполняемым файлом ezvit.exe.

Исследователи проанализировали обновления для «M.e.doc» за 2017 год и обнаружили по крайней мере три, содержащие бэкдор (за 14 апреля, 15 мая и 22 июня). Спустя три дня после выхода майского обновления были зафиксированы атаки с использованием вымогательского ПО XData, а через пять дней после релиза июньского обновления Украину атаковал NotPetya.

Обновление за 15 мая содержало бэкдор, однако 17 мая был выпущен еще один апдейт, уже без бэкдора. Дело в том, что второе обновление стало неожиданностью для хакеров. Они запустили вымогательское ПО 18 мая, однако большинство пользователей уже установили патч за 17 мая, поэтому XData заразил лишь малое число систем.

Все украинские предприятия и организации имеют уникальный идентификационный код юридического лица. С его помощью хакеры могли определить каждую компанию, использующую версию «M.e.doc» с бэкдором. Имея доступ к их сетям, злоумышленники могут предпринимать различные действия в зависимости от поставленных целей.

Помимо идентификационного номера, через «M.e.doc» бэкдор собирает с зараженной системы такие данные, как настройки прокси-серверов и электронной почты, в том числе имена пользователей и пароли. Вредонос записывает их в реестр Windows как HKEY_CURRENT_USER\SOFTWARE\WC со значениями имени Cred и Prx.

Примечательно, бэкдор не подключается ни к каким внешним C&C-серверам. Вредонос использует регулярные запросы «M.e.doc» к официальному серверу производителя на наличие доступных обновлений. Похищенные данные передаются на сервер в виде файлов cookie. Исследователи ESET не проводили экспертизу серверов, однако, по их мнению, они были взломаны. Эту информацию также подтвердило руководство «Интеллект-сервиса».

Tags: tech support
Subscribe

Posts from This Journal “tech support” Tag

  • Опыт эксплуатации sip-телефонов Fanvil.

    Через руки прошло не один десяток телефонов. Есть что сказать. Первое, самое главное, после распаковки телефона. Идем на сайт к производителю…

  • Большая дырка у Intel.

    На прошлой неделе новость от Intel пробегала. Корпорация Intel исправила серию уязвимостей в различных версиях прошивки для подсистемы…

  • Про блокировки в рунете.

    Наступило первое ноября. И тут у меня, внезапно, перестали открываться некоторые сайты. Frigate установлен и фунционирует, судя по состоянию…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments