Через M.E.Doc хакеры собирали коды ЕГРПОУ пораженных предприятий - министр
Киев • УНН
КИЕВ. 5 июля. УНН. Экспертами было установлено, что поражение информационных систем украинских компаний произошло из-за обновления программного обеспечения, предназначенного для отчетности и документооборота - «M.E.Doc». Вероятно, благодаря этому собирались коды ЕГРПОУ пораженных вирусом предприятий. Об этом сообщил министр внутренних дел Украины Арсен Аваков, передает УНН.
Как сообщил А.Аваков, по полученным данным, злоумышленники несанкционированно вмешались в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения - ООО "Интеллект-Сервис".
По информации, обнародованной Аваковым, получив доступ к исходным кодам, злоумышленники "в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютерах пользователей" M.E.Doc "несанкционированный удаленный доступ".
"Такое обновление программного обеспечения, вероятно, произошло еще 15.05.2017 года.
Представители компании-разработчика "M.E.Doc" были проинформированы об уязвимости их систем антивирусными компаниями, но это было проигнорировано. Компания-производитель отрицает проблемы с безопасностью и назвала это "совпадением" ", - сообщил министр.
По его информации установлено, что у обнаруженного бэкдора по функционалу есть возможность собирать коды ЕГРПОУ пораженных компаний, и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.
ЧИТАЙТЕ ТАКЖЕ: КМУ одобрил законопроект об отмене ответственности бизнеса за несвоевременную отчетность за хакерской атаки
Также, по сообщению А.Авакова, на данный момент известно, что после срабатывания бэкдора, атакеры компрометировали учетные записи пользователей, с целью получения полного доступа к сети. Далее получали доступ к сетевому оборудованию, с целью выведения его из строя. С помощью IP KVM осуществляли загрузки собственной операционной системы на базе TINY Linux.
Чтобы скрыть следы вмешательства, через обновление "M.E.Doc" злоумышленники распространили модифицированный ransomware Petya.
По словам Авакова, следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране.
Министр сообщил, что с целью немедленного прекращения бесконтрольного распространения Diskcoder.C (новая активность была зафиксирована 4 июля в 13.40), а также, учитывая бездействие должностных лиц ООО "Интеллект-Сервис", которые, несмотря на неоднократные предупреждения антивирусных компаний и Департамента киберполиции, вводили в заблуждение своих пользователей, уверяя их в безопасности ПО "M.E.Doc" - принято решение о проведении обысков и изъятия программного и аппаратного обеспечения компании, с помощью которого распространялось ШПЗ.
"Обыски проведены представителями Департамента киберполиции, следователями и при участии Службы безопасности Украины. Объектами осмотра являются рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение ", - сообщил министр.
ЧИТАЙТЕ ТАКЖЕ: На Украине пришлось 75% атак вируса Petya
Департамент киберполиции настоятельно рекомендует всем пользователям сменить пароли и электронные цифровые подписи, в связи с тем, что эти данные могли быть скомпрометированы.
Напомним, министр внутренних дел сообщил, что по выводам экспертов атаку на украинские предприятия было осуществлено через ПО "M.E.Doc".