Вірус — вимагач Petya був тільки прикриттям

Українські правоохоронці, а саме Департамент кіберполіції та СБУ, не вірять в те, що метою наймасштабнішої хакерської атаки на українські державні і приватні компанії було вимагання

Проаналізувавши інциденти, вони виявили, що Petya був лише прикриттям, а насправді зловмисники збирали коди ЄДРПОУ компаній жертв, отримували віддалений доступ до їх даних і обладнання. Як пише ain.ua, про це йдеться в останньому релізі Департаменту кіберполіції України.

Про це йдеться в останньому релізі Департаменту кіберполіції України.Також правоохоронці настійно рекомендують на час проведення слідства не користуватися софтом M.E.Doc.

Нагадаємо, 27 червня українські держструктури і приватні компанії через уразливість в програмі електронного документообігу M.E.doc потрапили під масовий удар вірусу-шифрувальника Diskcoder.C, який також називають ExPetr, PetrWrap, Petya і навіть NotPetya. За вказаними фактами Національною поліцією Україні розпочато досудове розслідування.

Вчора була зафіксована друга хвиля поширення Diskcoder.C, проте її вдалося присікти. У зв'язку з цим правоохоронці провели обшуки і вилучення ПО і устаткування ТОВ «Інтелект-Сервіс».

"Вилучене обладнання буде направлено для проведення детального аналізу з метою дослідження і розробки інструментів, які дозволять виявити заражених користувачів і нейтралізувати шкідливий код", - йдеться в релізі.

Як повідомляється в релізі кіберполіції, зловмисники здійснили несанкціоноване втручання в роботу одного з комп'ютерів компанії-розробника M.E.Doc - ТОВ «Інтелект-Сервіс». Отримавши доступ до вихідного коду, в одне з оновлень програми вони вбудували бекдор - програму, яка встановлювала на комп'ютерах користувачів M.E.Doc несанкціонований віддалений доступ.

У кіберполіції припускають, що таке оновлення ПО відбулося ще 15 травня 2017 року. Тоді антивірусні компанії поінформували представників M.E.Doc про наявність вразливостей, але розробник їх проігнорував. У компанії заперечують проблеми з безпекою і назвали факт проникнення вірусу через їх ПО збігом.

Примітно, що виявлений бекдор має функціонал, який дозволяє збирати коди ЄДРПОУ уражених компаній і відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів.

Також відомо, що після спрацьовування бекдора, хакериотримували повний доступ до мережі, а потім до мережного обладнання, щоб вивести його з ладу. За допомогою IP KVM хакери здійснювали завантаження власної операційної системи на базі TINY Linux.

Які цілі переслідували хакери

На думку кіберполіції, модифікований вірус-вимагач Petya зловмисники поширили не заради заробітку, а щоб приховатимасовое ураження комп'ютерів і несанкціонований збір з них інформації.

Видалення і шифрування файлів операційних систем було скоєно з метою видалення слідів попередньої злочинної діяльності (бекдора) і відволікання уваги шляхом імітації вимагання грошових коштів від потерпілих. Слідством опрацьовується версія, що справжніми цілями були стратегічно важливі для держави підприємства, атаки на які могли дестабілізувати ситуацію в країні.

Українські правоохоронці припускають, що до останньої кібератаки причетні ті ж хакери, які раніше організували напади з використанням WannaCry, оскільки схожі «способи поширення і загальна дія вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya) схожі.

Раніше аналогічні припущення висловили в СБУ.

"Зараження було сплановано і здійснено заздалегідь. Воно відбувалося в кілька етапів і почалося напередодні національного державного свята (Дня Конституції України - ред.)", - йдеться в релізі.

Про те, що вимагачі переслідували немеркантильні, а дестабілізаційні цілі, на думку СБУ, говорить ще й «відсутність реального механізму заволодіння коштами» і його примітивність.

"Основним призначенням вірусу було знищення важливих даних і порушення роботи державних і приватних установ України для поширення панічних настроїв серед населення", - заявили в СБУ.

У відомстві також зв'язали останню атаку з нападами на фінансову систему, об'єкти транспорту і енергетики України - коли в грудні 2016 року багато держустанов стали жертвами вірусів TeleBots і Blackenergy.

"Це свідчить про причетність до цієї атаки спецслужб РФ", - йдеться в повідомленні СБУ.

Департамент кіберполіції рекомендує всім користувачам тимчасово припинити використовувати M.E.Doc і відключити комп'ютери, на яких він встановлений, від мережі. А також змінити свої паролі і електронні цифрові підписи, оскільки вони могли бути скомпрометовані