Парекс

Интернет-газета
ЭКОНОМИКА
Ежедневно вся экономика страны

Пятница, 18.08.2017, 02:33:54  •  Сделать "Экономику" стартовой страницей

Телекоммуникации / В раздел

АВТОР

Економічна правда
Економічна правда

Loading...

21 июля 2017 09:29

Share

Як заражалася Україна: хронологія найбільшої в історії кібератаки

Як заражалася Україна: хронологія найбільшої в історії кібератаки

Вірус Nyetya, він же Petya, зачепив чимало компаній. Cisco виявила, як він отримав доступ до даних і що вкрав з комп'ютерів. Компанія встановила: вірус лише маскувався під здирника грошей, насправді він був руйнівником.

День 27 червня 2017 року почався для команди Talos, підрозділу Cisco, що аналізує загрози інформаційній безпеці, з повідомлення від співробітників в Україні. Вони просили про допомогу: відбулася масована атака з використанням програм для вимагання викупу — ransomware.

Зловмисники поширили свій код серед комп'ютерних систем користувачів найпопулярнішого в Україні програмного забезпечення для бухгалтерської звітності. Вони вирішили використати цю вразливість для шифрування критичних файлів та жорстких дисків без можливості дешифрування.

З моменту атак Black Energy наприкінці 2015 року Talos співпрацює з публічними та приватними організаціями в Україні в рамках протидії кібернетичним нападам.

Раніше Talos уже доводилося допомагати організаціям, проти яких були вжиті деструктивні заходи. Тоді до системи внесли шкідливий код для знищення даних, схожий на Black Energy. Однак після його блокування зловмисники повернулися до варіанту ransomware, намагаючись перешкодити діяльності організацій.

Пам'ятаючи про останній випадок, фахівці майже одразу зрозуміли: події, які відбуваються цього разу, є чимось більшим, ніж звичайна ransomware-атака.

 

Із самого початку стало зрозуміло: хоча більшість попередніх випадків були в Україні, під вплив шкідливого ПЗ потрапили організації, які не мали прямого зв'язку з цією країною. Через вочевидь великий масштаб події дослідники й інженери Talos з усього світу об'єдналися для боротьби з новою загрозою.

Атака

Було з'ясовано, що центром активності стало українське бухгалтерське програмне забезпечення M.E.Doc. Як і у випадку з WannaCry, були повідомлення про поштовий вектор атаки. Talos зробив висновок, що при поширенні шкідливого коду Nyetya всі інсталяції були отримані через систему апдейтів M.E.Doc.

M.E.Doc — популярне програмне забезпечення, створене українською компанією "Інтелект-сервіс". Програма використовується для взаємодії з українськими податковими системами. На момент виявлення джерела загрози фахівці мали змогу зв'язатися з розробниками M.E.Doc та запропонувати їм допомогу.

У M.E.Doc пристали на цю пропозицію. В рамках глобальної реакції Cisco на подію ввечері 29 червня до України прибули два фахівці Cisco з реагування на інциденти. Ще один фахівець підтримував розслідування з Великої Британії.

Співробітники M.E.Doc надали доступ до своїх інженерів та адміністраторів, які ознайомили команду з системою та надали доступ до лог-файлів і коду. Вони також погодилися поділитися результатами дослідження.

У кожному дослідженні Cisco в будь-якій точці світу команді реагування надається спеціальний ресурс Talos для координування аналізу даних, залучення реверсивної інженерії та аналізу телеметрії. При цьому дві команди працюють одночасно. Такий досвід був повною мірою використаний і в цьому випадку.

На ранньому етапі дослідження було виявлено шкідливий скрипт за адресою http://www.me-doc[.]com[.]ua/TESTUpdate/medoc_online.php. Часова позначка файлу — 31 травня 2017 року, 14:45. Як тільки команда з реагування отримала доступ до логів і додаткових даних, їх завантажили до Talos.

Це відкрило 24-годинний цикл, і коли в Україні настав вечір, команда реагування Cisco розповіла Talos про результати. Коли українці збиралися на роботу, Talos уже брифував команду реагування Cisco, звітуючи про свої нічні знахідки.

Майже одразу були визначені індикатори проблеми. Під час брифінгу о третій ранку 1 липня команда Talos проаналізувала ключові докази, знайдених у логах.

Фахівці виявили, що невідомі зловмисники викрали облікові дані адміністратора M.E.Doc. Вони увійшли на сервер, отримали root-привілеї та переконфігурували сервер NGINX так, що будь-який трафік до upd.me-doc.com.ua перенаправлявся у режимі проксі через апдейт-сервер до хоста з IP-адресою 176.31.182.167.

Подальше дослідження виявило, що цей сервер був стертий того ж дня о 19:46 UTC (всесвітній координований час). Також спеціалісти побачили маркери періоду активної фази інфікування: з 9:11:59 UTC до 12:31:12 UTC. Поза межами цього часового проміжку нові випадки інфікування організацій не були помічені.

27 червня о 12:33 UTC зловмисники повернули конфігурацію NGINX до її оригінального стану. Крім цього, залишився лише один вартий уваги індикатор — латвійська IP-адреса, яка від'єдналася від системи о 2:11:07 UTC.

У M.E.Doc підтверджують, що ні використаний зловмисниками сервер, ні ця IP-адреса не мають жодного стосунку до їхньої компанії.

На цьому етапі фахівці зрозуміли, що зловмисники отримали доступ до більшої частини мережі та систем M.E.Doc за допомогою компрометованих облікових даних. Нез'ясованими залишалися питання, що вони робили під час контролю сервера оновлень і як було надіслано шкідливе програмне забезпечення.

 

"Діра" для витоку даних

Зараз фахівці Cisco уже можуть підтвердити висновок розробника антивірусів ESET: до програмного забезпечення M.E.Doc було внесено бекдор — дефект алгоритму, який дозволяє отримати несанкціонований доступ до даних. Він дозволив зловмисникам збирати дані, завантажувати і виконувати довільний код.

Завдяки бекдору код "витягує" з інфікованих комп'ютерів назву та ЄДРПОУ кожної організації, а також пароль проксі-сервера, SMTP-хост, ім'я користувача, паролі та email-адреси. Для надсилання цієї інформації він кожні дві хвилини зв'язується з адресою http://upd.me-doc.com.ua/last.ver?rnd=<GUID>.

Що далі

Для початку слід зібрати всю інформацію. Раніше Talos спостерігав зловмисників, які націлювалися на українські установи, намагаючись використати вайпер Black Energy для знищення даних, а у випадку невдалої спроби переходили на варіант з вірусом-здирником.

Фахівці також з високою імовірністю встановили, що наміри зловмисників, які стоять за Nyetya, руйнівні, а не економічно вмотивовані. Тобто напад був виконаний не заради вимагання грошей, а з руйнівними цілями.

Коли спеціалісти підтвердили, що вектором інсталяції був M.E.Doc, стало зрозуміло, що цілями атаки були Україна й організації, які ведуть тут бізнес. Напад був великим: кіберполіція підтверджує понад 2 тис компаній, що постраждали.

Команда Cisco з дослідження та ліквідації загроз занепокоєна тим, що зловмисники під час атаки "спалили" значний ресурс. Вони скомпрометували як свій бекдор у програмному забезпеченні M.E.Doc, так і здатність маніпулювати конфігурацією сервера оновлень.

Це означає, що вони відмовилися від можливості доставляти довільний код у 80% українських компаній, які використовують M.E.Doc як бухгалтерське ПЗ. Це істотна втрата оперативного потенціалу. З цього можна зробити висновок: скоріш за все, зловмисники мають або можуть легко отримати аналогічні можливості.

Виходячи з цього, Talos радить обережно ставитися до програмного забезпечення, подібного до M.E.Doc, та інших систем в Україні, оскільки вони є пріоритетними цілями для осіб, які реалізують загрози високого рівня виконання.

Для захисту фахівці рекомендують надавати таким системам окрему мережеву архітектуру, постійно моніторити ці системи на предмет загроз, надавати їм такий рівень доступу, який абсолютно необхідний для ведення бізнесу.

Патчі та оновлення повинні бути пріоритетними для цих систем. Клієнтам рекомендовано перейти на Windows 10 відповідно до інструкцій від Microsoft. Додаткові вказівки щодо базової лінії безпеки мережі також доступні на сайті Cisco.

Источник: Економічна правда

Переслать ссылку на эту страницу Переслать ссылку на эту страницу
Вызвать окно печати / Распечатать Вызвать окно печати / Распечатать


В раздел Телекоммуникации

Предыдущие материалы
• 16 августа 2017 11:44
Новый глава lifecell о конкурентах, 4G и планах развития компании
• 14 августа 2017 11:33
Четвертое поколение. Что даст украинцам 4G-связь
• 08 августа 2017 10:51
Топ-10 корисних Telegram-ботів для українських користувачів
• 04 августа 2017 11:50
Капіталізм у стилі Google проти капіталізму в стилі Apple
• 04 августа 2017 10:14
VPN — техника, которую боятся властители
• 03 августа 2017 12:42
Грані 5G: невдовзі люди не відрізнятимуть віртуальний світ від фізичного
• 01 августа 2017 16:07
Як Рада хоче врегулювати діяльність інтернет-магазинів
• 01 августа 2017 14:02
15 кроків, без яких Україні не вижити в кібервійні
• 27 июля 2017 19:09
Facebook сообщил о резком скачке прибыли
• 25 июля 2017 13:24
Новий мобільний оператор в Україні: чого чекати від LycaMobile

Все статьи »



Поиск по сайту

Расширенный поиск


НОВОСТИ / Телекоммуникации

15 августа 2017 14:05 Александр Кузик, Electrolux: «Люди начали более сознательно подходить к вопросам сбережения ресурсов»


15 августа 2017 13:39 Юрий Прудиус, WOXAPP: «Если хотите грамотно оптимизировать логистический бизнес, начните с минимума»


03 августа 2017 23:25 Алексей Гарусов, Sigma mobile: «Готовим анонс телефона-поплавка»!


03 августа 2017 23:17 Защищенный и мощный X-treme PQ28 — новый смартфон от Sigma mobile


02 августа 2017 12:40 Онлайн сервис E-DOC, как мультитул для любого бизнеса


28 июля 2017 13:27 Компания EDG GROUP — дистрибутор COUGAR в Украине


25 июля 2017 00:14 Romsat 48FSMG4860T — новый 48-дюймовый SMART-TV


25 июля 2017 00:11 Новинки BERG — усилители и вызывная станция


15 июля 2017 07:50 Romsat начал продажи модулей CWDM


14 июля 2017 06:24 Новинки BERG — регуляторы громкости PR-06/36/50N и усилитель RAMLU-30M

Все новости »



ИНТЕРЕСНЫЕ ФАКТЫ
Загрузка ...

Информер, RSS-ленты, прием пресс-релизов, перепечатка материалов   |   Купить рекламное место   |   Редакция, контакты, вакансии

© 2005 www.economica.com.ua

"Экономика" приветствует републикации своих материалов с обязательной ссылкой на источник в виде текстовой строки вида “Источник www.economiсa.com.ua” и ссылки на данный портал.

Перепечатка, копирование или воспроизведение информации, содержащей ссылку на агентство "Українські Новини", в каком-либо виде строго запрещено

Rambler's Top100


строительная бригада бесплатные объявления