Кіберполіція повідомляє, що ураження інформаційних систем українських компаній відбулося через оновлення програмного забезпечення, призначеного для звітності й документообігу, — «M.E.Doc».

За отриманими даними (підтверджено правоохоронними органами іноземних держав і міжнародними компаніями, що провадять діяльність у сфері інформаційної безпеки), зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення — ТОВ «Інтелект-Сервіс».

Отримавши доступ до вихідних кодів, вони в одне з оновлень програми вбудували бекдор (backdoor) — програму, яка встановлювала на комп’ютерах користувачів «M.E.Doc» несанкціонований віддалений доступ. Таке оновлення програмного забезпечення, імовірно, відбулося ще 15.05.2017 р.

Виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему й ідентифікаційні дані користувачів.

Також станом натепер відомо, що після спрацювання бекдору атакери компрометували облікові записи користувачів із метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM здійснювали завантаження власної операційної системи на базі TINY Linux.

Зловмисники, з метою приховування вдалої кібероперації щодо масового ураження комп’ютерів та несанкціонованого збору з них інформації, у той же спосіб, через останні оновлення ПЗ «M.E.Doc» розповсюдили модифікований ransomware Petya.

Видалення та шифрування файлів операційних систем було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору), та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих.

Слідство опрацьовує версію, що справжніми цілями були стратегічно важливі для держави компанії, атаки на які могли дестабілізувати ситуацію в країні.

Комплексний аналіз обставин зараження дозволяє припустити, що особи, які організували напади з використанням WannaCry, можуть бути причетні до вірусної атаки на українські державні структури та приватні компанії 27 червня, оскільки способи розповсюдження та загальна дія подібні вірусу-шифрувальнику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

З метою негайного припинення безконтрольного розповсюдження Diskcoder.C і встановлення злочинців прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії ТОВ «Інтелект-Сервіс», за допомогою якого розповсюджувалося шкідливе програмне забезпечення. Вилучене обладнання буде направлено для проведення детального аналізу, з метою дослідження та розробки інструментів, що дозволять виявити заражених користувачів і нейтралізувати шкідливий код. Під час обшуку керівництво та працівники компанії повністю сприяють у проведенні слідчих дій.

Департамент кіберполіції наполегливо рекомендує всім користувачам на час проведення слідчих дій припинити використовувати ПЗ «M.E.Doc» та відключити комп’ютери, на яких воно встановлено від мережі. Також необхідно змінити свої паролі й електронні цифрові підписи у зв’язку з тим, що ці дані могли бути скомпрометовані.

Бухгалтерський сервіс «Iнтерактивна бухгалтерія»