05 Июля, 2017, 10:15
21183
Українські правоохоронці, а саме Департамент кіберполіції та СБУ, не вірять в те, що метою наймасштабнішою хакерської атаки на українські державні і приватні компанії було вимагання. Проаналізувавши інциденти, вони виявили, що Petya був лише прикриттям, а насправді зловмисники збирали коди ЄДРПОУ компаній жертв, отримували віддалений доступ до їх даними і обладнання. Про це йдеться в останньому релізі Департаменту кіберполіції України. Також правоохравнітелі настійно рекомендують на час проведення слідства не користуватися софтом MEDoc.
Вчора була зафіксована друга хвиля поширення Diskcoder.C, проте її вдалося присікти. У зв'язку з цим правоохоронці провели обшуки і вилучення ПО і устаткування ТОВ «Інтелект-Сервіс». «Вилучене обладнання буде направлено для проведення детального аналізу з метою дослідження і розробки інструментів, які дозволять виявити заражених користувачів і нейтралізувати шкідливий код», - йдеться в релізі.
Як це сталося
Як повідомляється в релізі кіберполіції, зловмисники здійснили несанкціоноване втручання в роботу одного з комп'ютерів компанії-розробника MEDoc - ТОВ «Інтелект-Сервіс». Отримавши доступ до вихідного коду, в одне з оновлень програми вони вбудували бекдор - програму, яка встановлювала на комп'ютерах користувачів MEDoc несанкціонований віддалений доступ.
У кіберполіції припускають, що таке оновлення ПО відбулося ще 15 травня 2017 року. Тоді антивірусні компанії поінформували представників MEDoc про наявність вразливостей, але розробник їх проігнорував. У компанії заперечують проблеми з безпекою і назвали факт проникнення вірусу через їх ПО збігом.
Примітно, що виявлений бекдор має функціонал, який дозволяє збирати коди ЄДРПОУ уражених компаній і відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів.
Також відомо, що після спрацьовування бекдора, атакерів отримували повний доступ до мережі, а потім до мережного обладнання, щоб вивести його з ладу. За допомогою IP KVM хакери здійснювали завантаження власної операційної системи на базі TINY Linux.
Які цілі переслідували хакери
На думку кіберполіції, модифікований вірус-вимагач Petya зловмисники поширили не заради заробітку, а щоб приховати вдалу кібероперацій з масового ураження комп'ютерів і несанкціонованого збору з них інформації.
«Видалення і шифрування файлів операційних систем було скоєно з метою видалення слідів попередньої злочинної діяльності (бекдора) і відволікання уваги шляхом імітації вимагання грошових коштів від потерпілих. Слідством опрацьовується версія, що справжніми цілями були стратегічно важливі для держави підприємства, атаки на які могли дестабілізувати ситуацію в країні », - йдеться в релізі.
Українські правоохоронці припускають, що до останньої кібератаці причетні ті ж хакери, які раніше організували нападу з використанням WannaCry, оскільки схожі «способи поширення і загальну дію вірусу-шифрувальник (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya) схожі».
Раніше аналогічні припущення ви сказали в СБУ. «Зараження було сплановано і здійснено заздалегідь. Воно відбувалося в кілька етапів і почалося напередодні національного державного свята (Дня Конституції України - ред.) », - йдеться в релізі. Про те, що вимагачі переслідували НЕ меркантильні, а дестабілізаційні мети, на думку СБУ, говорить ще й «відсутність реального механізму заволодіння коштами» і його примітивність.
«Основним призначенням вірусу було знищення важливих даних і порушення роботи державних і приватних установ України для поширення панічних настроїв серед населення», - заявили в СБУ.
У відомстві також зв'язали останню атаку з нападами на фінансову систему, об'єкти транспорту і енергетики України - коли в грудні 2016 року багато держустанови стали жертвами вірусів TeleBots і Blackenergy. «Це свідчить про причетність до цієї атаки спецслужб РФ», - йдеться в повідомленні СБУ.
Що робити користувачам MEDoc
Департамент кіберполіції рекомендує всім користувачам тимчасово припинити використовувати MEDoc і відключити комп'ютери, на яких він встановлений, від мережі. А також змінити свої паролі і електронні цифрові підписи, оскільки вони могли бути скомпрометовані. Найближчим часом співробітники кіберполіції обіцяють опублікувати інструкції для перевірки комп'ютерів на наявність бекдор.
Разом з тим користувачів MEDoc в зв'язку зі сформованою ситуацією можуть тимчасово звільнити від відповідальності за несвоєчасну здачу податкової звітності. Про це йдеться в повідомленні Кабміну. Дане рішення депутати оформили в спеціальний законопроект, прийняття якого дозволить захистити підприємства.
«Будемо вносити короткий закон, який дозволить уникнути цієї відповідальності всіх тих, хто в результаті хакерської атаки, яка пішла по Україні і всьому світу, не зміг вчасно подати звітність. Повинні захищати бізнес і допомагати йому », - заявив прем'єр-міністр України Володимир Гройсман на засіданні Кабміну 4 липня.
Нагадаємо, раніше версію про те, що метою атаки від 27 червня був не заробіток, а можливість паралізувати українську інфраструктуру, ви сказали і західні експерти. Про це свідчить і той факт, що 75% випадків зараження вірусом доводиться саме на Україну.
Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.
Помітили помилку?