Вірус-шифрувальник Petya.A, який атакував найбільші компанії України, ставив перед собою куди більш складні цілі, ніж просто вимагання грошей, вирішили в СБУ і побічно підтвердили експерти ESET після аналізу коду.

Як довго готувалася атака?

Фахівці з інформаційної безпеки проаналізували всі оновлення софта від компанії MEDoc (вважається, що з неї почалося поширення вірусу) за 2017 рік і з’ясували, що шкідливий код вживили в стандартні модулі програми MEDoc. Зловмисники навряд чи могли б це зробити без доступу до вихідного коду софта, уклали експерти.

Бекдор був присутній як мінімум в трьох оновленнях софта: від 14 квітня, 15 травня і 22 червня 2017 року, при цьому в версіях програми з 17 травня по 21 червня його не виявлено, що побічно вказує на вільний доступ до ПЗ.

Як працював вірус?

Шкідник збирав ряд відомості (проксі, налаштування пошти, в тому числі логіни і паролі) з M.E.Doc, але найважливіше — підхоплював код ЄДРПОУ, унікальний ідентифікаційний номер кожного підприємства.

Код, що збирав ЄДРПОУ:

Оскільки M.E.Doc рекомендували українські відомства, йдеться про доступ до більшої частини всіх підприємств країни. Ідентифікатор, в силу своєї унікальності, однозначно говорив зловмисникам, в мережу якої компанії їм вдалося проникнути.

Ми рекомендуємо змінити паролі на проксі і пошту всіх користувачів ПЗ M.E.Doc

— ESET

Всі вкрадені дані ховалися в куки і відправлялися на легітимний сервер оновлень компанії, тобто внутрішні системи захисту підприємств не могли безпосередньо виявити, що їх дані йдуть в чужі руки, а бачили, як програма просто перевіряє, чи вийшло оновлення ПЗ.

Оскільки ESET не перевіряла сервери M.E.Doc, однозначно стверджувати про злом вона не може, але раніше говорила, що певні маркери показали — сервер скомпрометований. Компанія припускає, що атакуючі змогли фільтрувати дані, які приходили на сервер, і відрізняти заражені запити від не заражених.

Що було потрібно зловмисникам?

Тривалість підготовки та реалізація вказують на детально сплановану атаку, прийшли до висновку експерти. Інші компанії також вказували, що реалізація занадто складна для звичайних рішень, які використовуються для вимагання грошей, тим більше, що розшифрувати файли все одно не можна. За версією СБУ, вірус використовувався для дестабілізації:

Основним призначенням вірусу було знищення важливих даних і порушення роботи державних і приватних установ України для поширення панічних настроїв серед населення

— СБУ

Кіберполіція України рекомендує всім користувачам тимчасово відмовитися від використання софта M.E.Doc. Сервери компанії вже вилучені для перевірки, розповів голова департаменту виданню Reuters.

Petya.A почав поширюватися 27 червня, в найкоротші терміни виявилися зараженими тисячі комп’ютерів, постраждали найбільші компанії України. У перші години спалаху епідемії експерти заявили, що джерелом поширення стали фішингові повідомлення на пошту і поновлення бухгалтерської програми M.E.Doc. остання нібито знала про діри в безпеці, але не діяла, за що їй загрожують кримінальною справою.