СБУ припинили другий етап кібератаки Petya. Зловмисники використовували програмне забезпечення “M.E.Doc”

Міністр внутрішніх справ Арсен Аваков написав на сторінці у Facebook великий пост про вірус Petya і його функціонал, використання ним ПЗ “M.E.Doc”, обшуки у компанії-розробника ТОВ "Інтелект-Сервіс", а також вилучення у них комп’ютерів і серверів. А ще департамент кіберполіції рекомендує усім користувачам змінити свої паролі та ЕЦП.


 

Спеціальні агенти департаменту кіберполіції, разом з фахівцями СБУ та міської прокуратури - припинили другий етап кібератаки Petya.

Пік атаки планувався на 16.00. Стартувала атака о 13.40. До 15.00 Кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Є. Doc.

Атака була зупинена. Сервера вилучено, разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російськой Федерації.

Дякую спецагентам за службу !

* * * *

Тепер трохи докладніше про останні дні і сьогоднішніх обставинах.

Вірус Diskcoder.C - він же ГОГА, він же Гоша.. не..
– вiн же - ExPetr, PetrWrap, Petya, NotPetya - прикриття наймасштабнішої кібератакі в історії України

27.06.2017 в 10 годин 30 хвилин українські державні структури і приватні компанії через вразливості ПЗ "M.E.doc." (програмне забезпечення для звітності та документообігу) масово потрапили під удар вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

Для локалізації масштабної кіберзагрози, Національною поліцією України та Службою безпеки України було створено оперативно-технічний штаб до якого увійшли представники найвідоміших українських та іноземних компаній з кібербезпеки. За вказаними фактами Національною поліцією України розпочато досудове розслідування. 

Експертами було встановлено, що ураження інформаційних систем українських компаній відбулось, через оновлення програмного забезпечення призначеного для звітності та документообігу – “M.E.Doc”.

За отриманими даними (підтверджено правоохоронними органами іноземних держав та міжнародними компаніями, що здійснюють діяльність у сфері інформаційної безпеки), зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення - ТОВ "Інтелект-Сервіс".

Отримавши доступ до вихідних кодів, вони в одне із оновлень програми вбудували бекдор (backdoor) - програму, яка встановлювала на комп'ютерах користувачів “M.E.Doc” несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно відбулося ще 15.05.2017 року.

Представники компанії-розробника “M.E.Doc” були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але це було проігноровано. Компанія-виробник заперечила проблеми з безпекою і назвала це «збігом».

Разом з тим з’ясовано, що виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній, та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів.

Також, на даний момент відомо, що після спрацювання бекдору, атакери компрометували облікові записи користувачів, з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM здійснювали завантаження власної операційної системи на базі TINY Linux.

Зловмисники, з метою приховування вдалої кібероперації щодо масового ураження комп’ютерів та несанкціонованого збору з них інформації, тим же самим способом, через останні оновлення ПЗ “M.E.Doc” розповсюдили модифікований ransomware Petya.

Видалення та шифрування файлів операційних систем, було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору), та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих.

Слідством опрацьовується версія, що справжніми цілями були стратегічно-важливі для держави компанії, атаки на які, могли дестабілізувати ситуацію в країні.

Комплексний аналіз обставин зараження дозволяє припустити, що особи які організували напади з використанням WannaCry можуть бути причетні до вірусної атаки на українські державні структури і приватні компанії 27 червня, оскільки способи розповсюдження та загальна дія подібні вірусу-шифрувальнику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

З метою негайного припинення безконтрольного розповсюдження Diskcoder.C (нову активність було зафіксовано сьогодні в 13.40), а також враховуючи бездіяльність посадових осіб ТОВ "Інтелект-Сервіс", які, незважаючи на неодноразові попередження антивірусних компаній та Департаменту кіберполіції, вводили в оману свої користувачів, запевнюючи їх у безпеці ПЗ “M.E.Doc” - прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії, за допомогою якого розповсюджувалось ШПЗ.
Обшуки проведено представниками Департаменту кіберполіції, слідчими та за участю Служби безпеки України. Об’єктами огляду є робочі комп’ютери персоналу та серверне обладнання через яке поширювалося програмне забезпечення.

Департамент кіберполіції наполегливо рекомендує усім користувачам змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані.

Також Департамент кіберполіції на своєму сайті наполегливо рекомендує усім користувачам, на час проведення слідчих дій, припинити використовувати програмне забезпечення “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі. Також необхідно змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані.

Найближчим часом на сайті Департаменту кіберполіції будуть опубліковані інструкції для перевірки на наявність бекдор (backdoor) на Вашому комп’ютері.

 

За матеріалами Сторінка Аресена Авакова у Facebook

 


Помітили помилку? Виділіть її та натисніть Ctrl+Enter, щоб повідомити нас про це
Коментарі (25)
Лілія
05.07.2017
Приїхали! Міняйте паролі, цифрові підписи і не користуйтесь програмою. Вельмишановні "кіберзахисники" і СБУ, де ж ви раніше були?
мдя...
05.07.2017
а Департамент кіберполіції разом з Аваковим дасть пораду, що робити, якщо ключі на 2 роки? і минув лише рік... і час дії ключів спливає аж через рік...
Наташа
05.07.2017
Такое впечатление, что конкуренты МЕДок заплатили киберполиции за такие выводы.
просто бух
05.07.2017
Не удивлюсь, что просто кто-то хочет медок с рынка вытеснить. В нашем государстве передел интересов более вероятен, чем реальная кибератака.
Павел просто бух
05.07.2017
В украинских конкурентов мозгов не хватило бы создать такой вирус и впихнуть его в Медок. Этот вирус - или экзамен недавно созданной "кибер-армии" РФ или работа независимых хакеров, проплаченная заинтересованной стороной - той же РФ в лице компаний 1С и правительства. Название вируса - такой себе стёб с нашего правительства и удар поддых всем нам в лице юр. фирм. А медок просто попал под раздачу - убили одним выстреом двух зайцев - навредили всей инфраструктуре и скомпроментировали одну из ведущих украинских фирм по бух. обеспечению Интелект-сервис.Если бы это были украинские конкуренты - их продукт уже был бы нам известен, внедрён, но не настолько распространён.
eMelya Павел
06.07.2017
Некоторые антивирусные компании писали, и эту мысль озвучили вчера на онлайн-трансляции Лига:Закон, что без доступа к исходному коду не могли внедрить в модуль Медка сложный скрытый бэкдор. Возможно в компании или кого-то обидели из разрабов, или работает кто-то под прикрытием. Бэкдор может работать по расписанию или даже запускаться удалённо. Поэтому, даже те, у кого вирус пока не сработал, возможен его неконтролируемый запуск в любое время.
таки да
05.07.2017
1С и Парус запретят, МЕДок "уложили" - раздать всем бухгалтерам счеты и добро пожаловать в каменный век(
Богдан таки да
05.07.2017
Мій бух по зарплаті весь у сльозах зараз - хоче підти у відпустку, а не не може бо потрібно здати звіт. Дзвонили фіскалам місцевим, а потім і вище - а там як горохом об стінку! Одні не в курсі, а інші порекомендували (увага!) "розірвати договір про електронну звітність із ДПІ!". Не знаємо що й робити далі...думаємо!
таки да Богдан
05.07.2017
Заспокойте свого бухгалтера, дайте йому цукерку і нехай здає звіти на https://cabinet.sfs.gov.ua/cabinet/faces/index.jspx
Люда таки да
06.07.2017
Підскажіть, будь-ласка, як там працювати( https://cabinet.sfs.gov.ua/cabinet/faces/index.jspx),

що для цього потрібно?
таки да Люда
06.07.2017
Потрібні ключі на перший, другий підписи та печатку від АЦСК ІДД ДФС: http://acskidd.gov.ua/r_kor якщо ви є користувачем Приват24 - у них також є можливість подання звітів до ДФС ;)
Люда таки да
06.07.2017
Можно отправлять отчеты?Это реально безплатно? В чем подвох, почему тогда все платят за программы? Не понимаю
таки да Люда
06.07.2017
Можно. Реально. Кроме того видно предыдущие принятые отчеты независимо от того через какой сервис Вы их отравляли. Попробуйте)
Люда таки да
06.07.2017
скажите, а если мы госслужба, мы можем пользоваться этим сервисом? Весь день сегодня пыталась сформировать отчет по ЕСВ, не получается. Что делать?
Ольга Люда
11.07.2017
Вот в этом и подвох. Бесплатно, но так мозг вынесет, что и дороже бы заплатил
Володимир Люда
06.07.2017
Сервіс ПриватБанку для своїх клієнтів, тих хто підключений до приват24 для бізнесу (всі хто мають зарплатний проект а ПриватБанку підключені). Цей сервіс є безкоштовним тому що він входить в пакет обслуговування клієнта (плата ж за користування рахунком знімається).
Тетяна Люда
11.07.2017
В тому що імпортувати не можливо, а лише створювати там. А якщо на підприємстві 200-300 чоловік, або є ПДВ то ручний ввод не велике щастя
Люда Тетяна
12.07.2017
я в электронном кабинете импортировала отчеты из фризвита, вроде нормально
,,, Богдан
06.07.2017
а хіба тільки один звіт? зараз купу квартальних звітів тре здавати, ніхто у липні числа до 20 в бухгалтерії у відпустку не ходить , кріс вас
Люда
05.07.2017
подскажите, пожалуйста, а Сота онлайн тоже от МЕД ка, ею теперь тоже нельзя будет пользоваться, потому что сегодня весь день не могу войти на их сайт?
Ната Люда
05.07.2017
Так, Сота, це також сервіс "Інтелект-Сервісу", розробника МЕДка.
Марина
06.07.2017
І що тепер чекати? Чого чекати, коли?Легко сказати не користуйтеся, а як звіти здати?
Люда Марина
06.07.2017
в бумажном виде нести. Моя налоговая как всегда к чету-то придерется. Мне нужно в этом месяце продлевать лицензию на Соту. Что делать, есть смысл или искать другую программу?
Маша
06.07.2017
А якщо спробувати iFin?
Юлія
06.07.2017
Мені сьогодні в ДПІ сказали з приводу подачі земельної декларації: " Заспокойтесь через пару днів розгребуться і відправите через M.E.Doc."
Залишити коментарі:
Ваше ім`я
Коментарі