Компанії «M.E.Doc» загрожує кримінальна справа. Зупинено другий етап кібератаки

Українські правоохоронні органи порушать кримінальну справу щодо компанії «M.E.Doc». За повідомленнями кіберполіції, сервери компанії розповсюдили вірус-вимагач Petya.A.

Оновлено. 4 липня спецагенти департаменту кіберполіції разом з фахівцями СБУ та міської прокуратури зупинили другий етап кібератаки вірусу Petya. Поліція вилучила сервери M.E.Doc.

Про другий виток кібератаки повідомив міністр внутрішніх справ Арсен Аваков:

«Пік атаки планувався на 16.00. Стартувала о 13.40. До 15.00 Кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Е. Doc. Атака була зупинена. Сервери вилучено, разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російськой Федерації», – написав Аваков у себе на сторінці у Фейсбуці.

За його словами, “вірус Diskcoder.C – він же ГОГА, він же Гоша, ExPetr, PetrWrap, Petya, NotPetya – це прикриття наймасштабнішої кібератаки в історії України”.

Також міністр розповів, як саме сталося зараження.

Експертами було встановлено, що ураження інформаційних систем українських компаній відбулось через оновлення програмного забезпечення призначеного для звітності та документообігу – “M.E.Doc”.

За отриманими даними, зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення – ТОВ “Інтелект-Сервіс”.

Отримавши доступ до вихідних кодів, вони в одне із оновлень програми вбудували бекдор – програму, яка встановлювала на комп’ютерах користувачів “M.E.Doc” несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно відбулося ще 15.05.2017 року.

27.06.2017 в 10 годин 30 хвилин українські державні структури і приватні компанії через вразливості ПЗ “M.E.doc.” (програмне забезпечення для звітності та документообігу) масово потрапили під удар вірусу-шифрувальника Diskcoder.C.

Представники компанії-розробника “M.E.Doc” були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але це було проігноровано. Компанія-виробник заперечила проблеми з безпекою і назвала це «збігом».

“Разом з тим з’ясовано, що виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній, та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів. Відомо, що після спрацювання бекдору, атакери компрометували облікові записи користувачів з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM здійснювали завантаження власної операційної системи на базі TINY Linux”, – додав міністр.

Нацполіція вилучила сервери компанії M.E.Doc в рамках розслідування кібератаки вірусу Petya.A минулого тижня.

Раніше глава кіберполіції України Сергій Демидюк повідомив виданню The Associated Press, що компанії «M.E.Doc» загрожує кримінальна справа.

«Компанію ще до зараження вірусом різні антивірусні фірми неодноразово попереджали про уразливість їх мереж. Вони про це знали. За нехтування [загрозами] ці люди постануть перед кримінальною відповідальністю”, – заявив Демидюк.

«M.E.Doc» — українське програмне забезпечення для електронного документообігу. Широко використовується для подачі бухгалтерської звітності в Україні.

Глава кіберполіції Демидюк та інші чиновники стверджують, що руйнівна атака минулого тижня в основному поширювалася через шкідливе оновлення до програми M.E. Doc, яку широко використовують українські бухгалтери та фірми.

Експерт в області комп’ютерної безпеки Джонатан Ніколс розповів, що «M.E.Doc» використовувала файлові сервери з застарілим незахищеним програмним забезпеченням.

У самій M.E. Doc не дали коментаря AP, хоча спершу заявляли про злам, а потім взагалі заперечували свою причетність до спалаху комп’ютерного вірусу, який завдав шкоди держустановам і компаніям в Україні, а також за її кордонами.

У прес-релізі компанії міститься повідомлення:

«У статті на ресурсі Microsoft TechNet з’явилася інформації про причетність нашого ПЗ до вірусної атаки. Однак вихідний код програми «M.E.Doc» не містить команди запуску додатка Windows rundll32.exe, на який, як на причину атаки, посилається Microsoft TechNet. Таким чином, у даній статті відсутнє звинувачення програми «M.E.Doc» як джерела зараження. Єдине, про що говорить стаття – це ілюстрація того, що програма «M.E.Doc» запущена на раніше зараженому комп’ютері і, відповідно, сама зазнала зараження».

За словами СЕО компанії-розробника M.E.Doc Олесі Білоусової, сервер компанії був атакований, внаслідок чого постраждали деякі сервіси, в тому числі веб-сервіс «СОТА» і сервер документообігу. Також вона зазначила, що сама програма “M.E.Doc” та її оновлення не постраждали. «Сервери, на яких знаходяться оновлення й програма для завантаження «M.E.Doc», не постраждали», – сказала Білоусова.

У прес-релізі зазначається, що компанія працює цілодобово для відновлення стабільної роботи програми.

Нагадаємо, експерти з цифрової безпеки стверджують, що кібератака на державні та приватні компанії по всій Україні була націлена не на отримання грошей. Хакери поширили вірус, аби атакувати критичну інфраструктуру країни. Petya A – це “wiper”, мета якого – знищити дані та завдати шкоди. 

 

 

Коментарі

data-url="https://netfreedom.org.ua/na-kompaniyu-m-e-doc-chekaje-kryminalna-sprava/" data-title="Компанії «M.E.Doc» загрожує кримінальна справа. Зупинено другий етап кібератаки">

Напишіть коментар

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

This site uses Akismet to reduce spam. Learn how your comment data is processed.