Як повідомив А.Аваков, за отриманими даними, зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення — ТОВ “Інтелект-Сервіс”.
За інформацією оприлюдненою А.Аваковим, отримавши доступ до вихідних кодів, зловмисники “в одне із оновлень програми вбудували бекдор (backdoor) — програму, яка встановлювала на комп’ютерах користувачів „M.E.Doc“ несанкціонований віддалений доступ”.
“Таке оновлення програмного забезпечення ймовірно відбулося ще 15.05.2017 року. Представники компанії-розробника „M.E.Doc“ були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але це було проігноровано. Компанія-виробник заперечила проблеми з безпекою і назвала це „збігом“”, — повідомив міністр.
За його інформацією з’ясовано, що виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній, та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів.
ЧИТАЙТЕ ТАКОЖ: КМУ схвалив законопроект про скасування відповідальності бізнесу за невчасну звітність через хакерську атаку
Також, за повідомленням Арсена Авакова, на даний момент відомо, що після спрацювання бекдору, атакери компрометували облікові записи користувачів, з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM здійснювали завантаження власної операційної системи на базі TINY Linux.
Аби приховати сліди втручання, через оновлення “M.E.Doc” зловмисники розповсюдили модифікований ransomware Petya.
За словами Авакова, слідством опрацьовується версія, що справжніми цілями були стратегічно-важливі для держави компанії, атаки на які, могли дестабілізувати ситуацію в країні.
Міністр повідомив, що з метою негайного припинення безконтрольного розповсюдження Diskcoder.C (нову активність було зафіксовано 4 липня в 13.40), а також враховуючи бездіяльність посадових осіб ТОВ “Інтелект-Сервіс”, які, незважаючи на неодноразові попередження антивірусних компаній та Департаменту кіберполіції, вводили в оману своїх користувачів, запевнюючи їх у безпеці ПЗ “M.E.Doc” — прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії, за допомогою якого розповсюджувалось ШПЗ.
“Обшуки проведено представниками Департаменту кіберполіції, слідчими та за участю Служби безпеки України. Об’єктами огляду є робочі комп’ютери персоналу та серверне обладнання, через яке поширювалося програмне забезпечення”, — повідомив міністр.
ЧИТАЙТЕ ТАКОЖ: На Україну припало 75% атак вірусу Petya
Департамент кіберполіції наполегливо рекомендує усім користувачам змінити свої паролі та електронні цифрові підписи, у зв’язку з тим, що ці дані могли бути скомпрометовані.
Нагадаємо, міністр внутрішніх справ повідомив, що за висновками експертів атаку на українські підприємства було здійснено через ПЗ “M.E.Doc”.