Министр внутренних дел Украины Арсен Аваков заявил в своем фейсбуке, что силами сотрудников Службы безопасности Украины (СБУ) была остановлена новая атака вирусом Petya.
«Пик атаки планировался на 16.00. Стартовала атака в 13.40. До 15.00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc», — пишет Аваков.
Он поблагодарил спецслужбы за работу и добавил, что серверы компании M.E.Doc, в которых якобы были обнаружены следы «российского воздействия», были изъяты накануне.
Petya всего лишь прикрытие
Кроме того, украинский министр поделился некоторыми подробностями первой волны кибератаки вирусом Petya, который в разных источниках также называют ExPetr, PetrWrap или NotPetya.
Аваков рассказал, что экспертами было доподлинно установлено, что заражение систем украинских компаний произошло через программное обеспечение для бухгалтерской программы M.E.Doc.
Он отметил, что злоумышленники получили доступ к исходному коду программы и встроили в очередное обновление бэкдор — программу, которая позволяет получить удаленный доступ к компьютерам пользователей системы.
После этого хакеры запустили вирус Petya с целью скрыть последствия «кибероперации по массовому поражению компьютеров и несанкционированного сбора с них информации». Таким образом, по словам Авакова, преступники отвлекали внимание путем имитации требования денежного выкупа.
«Следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране», — заявил министр.
В связи с этой информацией рабочие компьютеры сотрудников компании M.E.Doc вместе с серверным оборудованием были изъяты украинским департаментом киберполиции. Сообщается, что разработчик M.E.Doc проигнорировал предупреждения антивирусных компаний и всячески отрицает проблемы с безопасностью.
Что характерно, информация о том, что заражение вирусом Petya началось именно с программы M.E.Doc, появилась еще в день кибератаки, но была сразу опровергнута разработчиком. В своей публикации в Facebook компания назвала существующие выводы ошибочными, так как она «как ответственный поставщик программного продукта следит за безопасностью и чистотой собственного кода».
Пациент Зеро
Информацию о том, что именно пользователи M.E.Doc стали «нулевым пациентом» в ходе кибератаки вирусом-шифратором Petya, подтвердила антивирусная компания ESET.
В своем релизе она подтверждает, что хакеры получили доступ к серверу обновлений M.E.Doc, с помощью которого направляли зараженные обновления, устанавливаемые автоматически. Вредоносное обновление увидело свет 22 июня — за пять дней до начала эпидемии Petya.
Эксперты ESET обнаружили скрытый бэкдор и отметили, что атакующие не могли выполнить такую операцию без доступа к исходному коду программы.
Антивирусная компания заявила, что пока невозможно определить, кто стоит за деятельностью этой группировки, распространившей вирус. Тем не менее уже стало известно, что злоумышленники вывели деньги, полученные от владельцев зараженных систем. Как сообщает Motherboard, хакеры получили около $10 тыс.
Руководитель отдела технического маркетинга ESET Russia Алексей Оськин в беседе с «Газетой.Ru» пояснил, что следствию предстоит выяснить, как исходный код попал в руки злоумышленников и кто был к этому причастен. Тем не менее он не отрицает, что в операции мог участвовать инсайдер, так как у хакеров было время, чтобы изучить код и встроить в него скрытый сложный бэкдор.
Эксперт пока не готов утверждать, что пользоваться M.E.Doc в настоящее время безопасно, так как
в программе все еще могут оставаться и другие бэкдоры, которые пока не обнаружены.
Petya, как и вирус WannaCry, заразивший 300 тыс. компьютеров по всему миру в мае этого года, использовал эксплойт EternalBlue — специальный «хакерский» инструмент Агентства национальной безопасности США.
Патч, который «залатал» эту уязвимость, был выпущен Microsoft в марте, так что последствия вируса ощутили на себе те, кто игнорирует обновления операционной системы. В связи с событиями последних двух месяцев в сети начали появляться утилиты, определяющие, подвержена ли система пользователя подобным атакам с помощью EternalBlue.