[:ru]
Авторы расследования на портале Welivesecurity, который поддерживается сообществом кибербезопасности ESET, пришли к выводу о том, что целью недавней хакерской атакой с использованием вируса Petya был именно украинский коммерческий сектор, передает УНИАН. Вредоносное ПО только маскировалось под типичный вирус-вымогатель, требующий 300 долларов в биткоинах за расшифровку данных с компьютера, однако, как было установлено украинскими специалистами, конечной целью атаки было разрушение файловых систем на компьютерах украинских пользователей. Украинское руководство не сомневается, что виновником кибернападения является российское руководство.
В сфере информационной безопасности существует термин «бэкдор» (back door) — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом. Специалисты, занимавшиеся расследованием атаки «Петей», обнаружили глубоко скрытый бэкдор, который злоумышленники внедрили в один из легитимных модулей бухгалтерской программы M.E.Doc.
«Кажется маловероятным, чтобы злоумышленники могли это сделать без доступа к исходному коду M.E.Doc», — подчеркивают авторы расследования.
Изучив зараженный модуль программы, эксперты пришли к выводу, что вирус писали именно для нападения на украинское государство: выяснилось, что в одном из дополнительных классов этого модуля находится переменная под названием EDRPOU, куда записывается код ЕДРПОУ — Код Єдиного державного реєстру підприємств та організацій України. Последний существует только в Украине.
Имея к нему доступ, преступники могут точно идентифицировать организацию, которая теперь использует зараженную версию M.E.Doc, и использовать против ее компьютерной сети самые разные тактики. Наряду с кодами ЕДРПОУ бэкдор собирает параметры прокси и электронной почты, включая имена пользователей и пароли от приложения M.E.Doc. Зараженный модуль не использует никакие внешние серверы: он использует регулярные запросы проверки программного обеспечения M.E.Doc на официальный сервер M.E.Doc upd.me-doc.com [.] Ua.
«Как показывает наш анализ, это тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что злоумышленники имели доступ к исходному коду приложения M.E.Doc. У них было время изучить код и включить очень скрытый и хитрый бэкдор. Размер полного пакета установки M.E.Doc составляет около 1,5 ГБ, и мы пока не можем проверить, нет ли там других бэкдоров», — заявляют авторы расследования.
Они рекомендуют изменить пароли для прокси-серверов и учетных записей электронной почты для всех пользователей программного обеспечения M.E.Doc.
В свою очередь «РИА Новости» сообщает, что эксперты антивирусной компании ESET считают виновником распространения вируса Petya группу TeleBots — ту самую, которая использовалась ранее для предыдущих атак на Украину и в которой украинские власти увидели российский след.
http://newsader.com/37277-analitiki-eset-virus-petya-byl-sozdan-special/
[:]
