Наша взаимовыгодная связь https://banwar.org/
Україна постраждала від однієї з найбільших вірусних атак / Екран зараженого комп'ютера
Масштабна кібератака, яка вразила безліч важливих комп'ютерних мереж в Україні, а пізніше поширилася на інші країни, була орієнтована саме на український бізнес. Шкідливе ПО тільки маскувався під типовий вірус-вимагач, який вимагає 300 доларів в біткоіни за розшифровку даних з комп'ютера. Про це йдеться в розслідуванні на порталі Welivesecurity , Підтримуваному спільнотою кібербезпеки ESET.
Читайте також Аваков повідомив про зупинку 2-го етапу кібератаки Petya.А "з очевидними джерелами з РФ"
У сфері інформаційної безпеки існує термін "бекдор", (від англ. Back door - дефект алгоритму, який навмисно вбудовується в нього розробником і дозволяє отримати несанкціонований доступ до даних або віддаленого управління операційною системою і комп'ютером в цілому).
Фахівці, які займалися розслідуванням атаки "Петром", виявили глибоко прихований бекдор, який зловмисники впровадили в один з легітимних модулів бухгалтерської програми MEDoc.
"Здається малоймовірним, щоб зловмисники могли це зробити без доступу до вихідного коду MEDoc", - підкреслюють автори розслідування.
Модуль з Бекдор називається ZvitPublishedObjects.dll і містить багато легітимного коду, який може бути викликаний іншими компонентами, включаючи основний виконуваний файл програми MEDoc ezvit.exe.
Серед оновлень програми MEDoc за 2017 рік виявили, принаймні, три, що містять модуль з Бекдор, перше - ще в квітні:
01.175-10.01.176, 14 квітня 2017 року
01.180-10.01.181, 15 травня 2017 року
01.188-10.01.189, 22 червня 2017 року
Чому мета атаки - саме український бізнес
Експерти вивчили заражений модуль і виявили там кілька додаткових класів, основний - під назвою MeCom. І в ньому - змінну, яка доводить, що вірус писали саме для України, - вона називається EDRPOU, і записується туди код ЄДРПОУ (Код Єдиного державного реєстру підприємств та ОРГАНІЗАЦІЙ України), який існує тільки в Україні.
Версія модуля з Бекдор (зліва) і без (праворуч) / welivesecurity.com
Клас з шкідливим кодом, змінна для записи ЄДРПОУ / скріншот welivesecurity.com
Маючи до нього доступ, злочинці можуть точно ідентифікувати організацію, яка тепер використовує заражену версію MEDoc, і використовувати проти її комп'ютерної мережі найрізноманітніші тактики.
Поряд з кодаміЕГРПОУ бекдор збирає параметри проксі і електронної пошти, включаючи імена користувачів і паролі від програми MEDoc.
Заражений модуль не використовує ніякі зовнішні сервери: він використовує регулярні запити перевірки програмного забезпечення MEDoc на офіційний сервер MEDoc upd.me-doc.com [.] Ua.
"Як показує наш аналіз, це ретельно спланована і добре виконана операція. Ми припускаємо, що зловмисники мали доступ до вихідного коду додатка MEDoc. У них був час вивчити код і включити дуже прихований і хитрий бекдор. Розмір повного пакета установки MEDoc становить близько 1, 5 ГБ, і ми поки не можемо перевірити, чи немає там інших бекдор ", - підкреслюють автори розслідування.
Вони рекомендують змінити паролі для проксі-серверів і облікових записів електронної пошти для всіх користувачів програмного забезпечення MEDoc.
Як повідомляв УНІАН, 4 липня поліція конфіскувала сервери компанії по розробці бухгалтерського програмного забезпечення MEDoc за підозрою в поширенні шкідливого вірусу, який минулого тижня вразив комп'ютерні системи великих компаній по всьому світу.
Нагадаємо, кібератака відбулася 27 червня на державні установи, об'єкти, фінансового, енергетичного транспортного сектора, а також приватні підприємства за допомогою шкідливого програмного продукту Petya.A, який блокує роботу комп'ютерних систем. Вірус-блокувальник шифрує дані на комп'ютері та вимагає викуп.
Якщо ви знайшли помилку, видiлiть її мишкою та натисніть Ctrl + Enter
