Експерти виявили бекдор у M.E.Doc, а кіберполіція України вилучила сервера компанії
На минулому тижні заголовки ЗМІ всього рясніли згадками щодо нової версію шифрувальника Petya (він же NotPetya, SortaPetya, Petna, Nyetya, ExPetr та інше). На думку багатьох спеціалістів, Petya був навіть не вимагачем, а вайпером, тобто умисно пошкоджував інформацію на диску, майже не залишаючи шансів на її відновлення. Втім, з цією теорією згодні не всі. Наприклад, дослідники F-secure як і раніше допускають, що Petya міг бути саме шифрувальником, але його творці зробили ряд помилок під час розробки.
На минулому тижні ми вже розповідали про те, що багато фахівців пов'язали розповсюдження Petya з програмним забезпеченням M.E.Doc. Такі припущення висловили співробітники кіберполіції України, а також аналітики Cisco Talos, Microsoft та «Лабораторії Касперського».
Увесь минулий з початку атак тиждень сторінка M.E.Doc в Facebook поповнювалася різними спростуваннями. Розробники до останнього стверджували, що M.E.Doc не має ніякого відношення до поширення Petya, і повідомляли, що до розслідування того, що сталося було залучено правоохоронні органи і фахівці Cisco. В результаті 29 червня 2017 року компанія тимчасово відключила можливість автоматичного завантаження оновлень. Згідно з офіційною заявою, це було зроблено виключно заради того, щоб уникнути «появи нових спекуляцій», а не через те що розробники вирішили визнати факт компрометації.
Тепер фахівці компанії ESET представили власний аналітичний звіт, в якому погодилися з висновками колег і розповіли, що їм вдалося виявити бекдор, який використовували для поширення Petya і XData. Звіт зі схожими висновками також був опублікований аналітиками «Лабораторії Касперського».
«"Нульовим пацієнтом "стали українські користувачі M.E.Doc, корпоративного програмного забезпечення для звітності та документообігу. Атакуючі отримали доступ до сервера оновлень M.E.Doc і з його допомогою направляли троянизовані оновлення з автоматичною установкою », - пишуть дослідники ESET.
Бекдор був знайдений в одному з легітимних модулів M.E.Doc і «малоймовірно, що атакуючі виконали цю операцію без доступу до вихідного коду програми». Більш того, вивчивши всі оновлення M.E.Doc, випущені в поточному році, фахівці з'ясували, що модуль бекдор містили як мінімум три апдейта:
- 01.175-10.01.176 від 14 квітня 2017 роки;
- 01.180-10.01.181 від 15 травня 2017 роки;
- 01.188-10.01.189 від 22 червня 2017 року.
Нагадаю, що епідемія Petya стартував 27 червня 2017 року, а шифрувальник XData був активний переважно травні 2017 року. Цікаво, що 17 травня вийшло оновлення M.E.Doc, що не містить шкідливий модуль бекдор. Дослідники вважають, що цим і пояснюється порівняно невелике число заражень XData. Атакуючі не очікували виходу оновлення 17 травня і запустили вимагача 18 травня, коли більшість користувачів вже встигли встановити безпечне оновлення.
Виявлений бекдор дозволяє своїм операторам завантажувати і виконувати в зараженій системі інше шкідливе ПЗ, як це сталося з Petya і XData. Крім того, малвар збирає настройки проксі-серверів і email, включаючи логіни і паролі з програми M.E.Doc, а також коди компаній за ЄДРПОУ (Єдиним державним реєстром підприємств та організацій України), що дозволяє ідентифікувати жертв.
«Нам належить відповісти на ряд питань, - коментує Антон Черепанов, старший вірусний аналітик ESET. - Як довго використовується бекдор? Які команди і шкідливі програми, крім Petya і XData, були спрямовані через цей канал? Які ще інфраструктури скомпрометувала, але поки не використовувала кібергрупа, що стоїть за цією атакою? ».
За сукупністю ознак, що включають інфраструктуру, шкідливі інструменти, схеми і цілі атак, дослідники ESET припускають, що за епідемією Petya стояла хакерська група Telebots.
У грудні 2016 року ESET публікувала дослідження про атаки даної групи на українські фінансові компанії. Зловмисники виводили комп'ютери з ладу за допомогою шкідливої програми KillDisk для перезапису і видалення файлів з певними цільовими розширеннями. Атаки носили деструктивний характер, фінансова вигода ніколи не була головним пріоритетом зловмисників.
Для другої хвилі атак Telebots допрацювали KillDisk, додавши функцію шифрування і повідомлення про викуп, що надавало малвар схожість зі звичайним здирником. Проте, автори просили за відновлення даних рекордну суму - 222 біткоінів (близько 250 тисяч доларів за нинішнім курсом). Очевидно, що метою злочинців залишався саботаж.
За даними ESET, з січня по березень 2017 року TeleBots скомпрометували українську компанію-розробника програмного забезпечення (НЕ M.E.Doc), щоб отримати доступ до ІТ-мереж фінансових установ. Для цієї атаки група видозмінила використовувані раніше бекдори і поповнила арсенал новими вимагачами. Крім того, атакуючі використовували модифіковану утиліту Mimikatz для вилучення облікових записів Windows з пам'яті зараженого комп'ютера і PsExec для поширення загрози всередині мережі.
18 травня ESET зафіксувала активність вимагача XData (він же Win32 / Filecoder.AESNI.C). За даними телеметрії, він з'являвся на комп'ютері після запуску програмного забезпечення для звітності та документообігу українського розробника M.E.Doc. Далі XData автоматично поширювався в мережі за допомогою Mimikatz і PsExec. Незабаром після атаки майстер-ключі шифрувальника були опубліковані у відкритому доступі.
27 червня почалася епідемія Petya. Код шкідливої програми частково запозичений у шифрувальника Petya 2016 року, але змінений таким чином, що відновити дані було неможливо. В даному випадку список цільових розширень хоча і не повністю ідентичний, але дуже схожий на використовуваний в атаках KillDisk в грудні 2016 року. Для поширення всередині корпоративних мереж Petya так само використовує знайомі методи: експлойт EternalBlue, Mimikatz в поєднанні з PsExec (як в XData), а також механізм WMI.
Так само як і XData, Petya використовував в якості початкового вектора зараження програмне забезпечення M.E.Doc. Більш того, є ознаки, що вказують на те, що Petya і XData - не єдині сімейства шкідливих програм, які використовували цей вектор зараження. Зокрема, через сервер оновлень M.E.Doc поширювався VBS-бекдор з арсеналу групи TeleBots.
4 липня 2017 року, в бесіді з журналістами Associated Press глава української кіберполіції Сергій Демидюк відкрито заявив, що розробники M.E.Doc знали про загрозу і отримували безліч застережень від антивірусних компаній. За його словами, через виявленої недбалості розробникам може загрожувати кримінальна відповідальність.
Сьогодні ситуація продовжила загострюватися. Так, Reuters повідомляє, що українська кіберполіції провела обшуки і вилучила сервери M.E.Doc, після чого розробники нарешті привселюдно визнали факт компрометації на своїй сторінці в Facebook (сайт компанії тимчасово недоступний).
Вперше за історію існування ПЗ "M.E.Doc" стався безпрецедентний факт взлому, внаслідок якого до продукту було внесено шкідливий програмний код до пакету оновлення.
За словами провідних міжнародних експертів та правоохоронців, втручання було здійснено високопрофесійними спеціалістами.
Більше того, комплексний аналіз обставин зараження дозволяє припустити, що особи які організували напади з використанням WannaCry, можуть бути причетні і до цієї вірусної атаки, оскільки способи розповсюдження та загальна дія подібні вірусу-шифрувальнику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).Розуміючи всю відповідальність, розробники "M.E.Doc" доклали максимум зусиль аби виправити ситуацію.
Нами було створено оновлення, яке гарантовано виключає загрози для користувачів.
Проте в ході проведення слідчих дій сервера компанії тимчасово вилучені для аналізу проникнення.
Таким чином, наразі ми позбавлені змоги випустити оновлення з підвищеним ступенем безпеки.
Ми відкрито пропонуємо департаменту кіберполіції МВС України спільно, під чітким контролем та за участю представників правоохоронних органів, з застосуванням додаткових методів захисту під час зборки і розповсюдження оновлення, а саме розміщення його на захищенних серверах, якомога скоріше випустити оновлення, яке зможе виправити ситуацію та запобігти повторним атакам вірусу.