Кіберполіція зупинила другий етап поширення вірусу Petya

Правоохоронці вилучили комп'ютери компанії-розробника програмного забезпечення M.E.Doc

07:44, 5 липня 2017

Працівники департаменту кіберполіції разом з фахівцями СБУ та прокуратури припинили другий етап кібератаки вірусу Petya, повідомив міністр внутрішніх справ Арсен Аваков на своїй сторінці у Facebook.

За словами Авакова, пік атаки вірусу планувався на 16:00 вівторка, 4 липня. «Стартувала атака о 13:40. До 15:00 кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Е. Doc. Атака була зупинена. Сервера вилучено, разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російськой Федерації», – написав міністр внутрішніх справ.

Аваков назвав вірус Petya наймасштабнішою кібератакою в історії України. Міністр також детально описав схему поширення вірусу, який вразив комп’ютери десятків найбільших українських державних та приватних підприємств.

«27 червня в 10:30 українські державні структури і приватні компанії через вразливості ПЗ M.E.Doc. (програмне забезпечення для звітності та документообігу) масово потрапили під удар вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Для локалізації масштабної кіберзагрози, Національною поліцією України та СБУ було створено оперативно-технічний штаб, до якого увійшли представники найвідоміших українських та іноземних компаній з кібербезпеки. Експертами було встановлено, що ураження інформаційних систем українських компаній відбулось, через оновлення програмного забезпечення призначеного для звітності та документообігу – M.E.Doc», – зазначив міністр.

За даними правоохоронців, зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника програмного забезпечення – ТОВ «Інтелект-Сервіс».

«Отримавши доступ до вихідних кодів, вони в одне із оновлень програми вбудували бекдор (backdoor) – програму, яка встановлювала на комп'ютерах користувачів M.E.Doc несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно відбулося ще 15 травня», – написав Аваков і зазначив, що розробники програмного забезпечення знали про вразливість, але вчасно не відреагували на цю загрозу.

Правоохоронці з’ясували, що виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів.

Також стало відомо, що після спрацювання бекдору, атакери компрометували облікові записи користувачів, з метою отримання повного доступу до мережі та отримували доступ до мережевого обладнання з метою виведення його з ладу.

«Зловмисники з метою приховування вдалої кібероперації щодо масового ураження комп’ютерів та несанкціонованого збору з них інформації тим же самим способом, через останні оновлення ПЗ M.E.Doc розповсюдили модифікований вірус Petya. Видалення та шифрування файлів операційних систем, було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору), та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих», – зазначив Аваков.

За версією слідства, справжніми цілями кібератаки були стратегічно-важливі для держави компанії, атаки на які могли дестабілізувати ситуацію в країні.

4 липня фахівці з кібербезпеки зафіксували нову активність вірусу. У зв’язку з цим прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії-розробника M.E.Doc, за допомогою якого розповсюджувався вірус.

Департамент кіберполіції рекомендує усім користувачам змінити свої паролі та електронні цифрові підписи у зв’язку з тим, що ці дані могли бути викрадені.