Что известно об украинской компании, которая причастна к рассылке вируса Petya.A Статьи редакции
Это частичный аналог «1С», и его считают лишь рычагом в политической игре.
27 июня 2017 года вирус-вымогатель Petya.A (другие названия — NotPetya и WannaCry-2) поразил компьютеры Украины, России, Польши, Франции, Германии и Испании. Программа заблокировала информацию на компьютерах и потребовала выкуп в биткоинах, эквивалентный 300 долларам (около 17 700 рублей по нынешнему курсу).
Власти Украины и эксперты IT-компаний увидели потенциального виновника распространения вируса в украинской компании M.E.Doc — создательнице популярной в стране одноимённой программы по документобороту.
5 июля руководство компании призналось, что программу действительно взломал вирус Petya.A, который затем через неё распространился дальше. Специалисты IT-индустрии увидели в этой ситуации не просто работу хакеров, попытавшихся разжиться на кибератаке, а возможное политическое столкновение, в котором M.E.Doc стала инструментом.
Обновлено. «Лаборатория Касперского» прокомментировала ситуацию с вирусом Petya.A.
Что говорят украинские власти
По данным киберполиции Украины, вирусная атака началась из-за уязвимости в новой версии программы M.E.Doc, которую скачали многие коммерческие и государственные структуры.
Представитель киберполиции заявил, что ведомство получило 1500 жалоб на вирус от украинских компаний, после чего власти завели 23 уголовных дела против неустановленных лиц. Специалисты Microsoft подтвердили причастность M.E.Doc к распространению вируса.
1 июля 2017 года Служба безопасности Украины (СБУ) обвинила российские спецслужбы в причастности к кибератаке. После консультации с международными антивирусными компаниями спецслужбы решили, что за атакой стоит группировка, которая в 2015-2016 годах атаковала финансовую систему, объекты транспорта и энергетики Украины троянами TeleBots и Blackenergy.
По мнению СБУ, кибератака происходила в несколько этапов накануне Дня конституции Украины (28 июня), чтобы дополнительно дестабилизировать политическую ситуацию в стране.
4 июля глава украинской киберполиции Сергей Демидюк пригрозил компании-разработчику M.E.Doc уголовным делом за возможное распространение вируса Petya.A. По мнению руководителя спецслужбы, компания знала об угрозе заражения своих систем вирусом, но не предприняла никаких действий.
5 июля министр внутренних дел Украины Арсен Аваков рассказал об ещё одной хакерской атаке на сервера страны. Она началась днём 4 июля и длилась около трёх часов, затем спецслужбам удалось отбить нападение. По словам чиновника, атака исходила с серверов M.E.Doc. Позже представитель СБУ заявил, что руководство НАТО предоставило спецслужбам оборудование для борьбы с будущими кибератаками.
Судя по всему, после новой атаки Демидюк решил пригрозить компании уголовным делом. Кроме того, в день повторного нападения у компании-автора M.E.Doc изъяли серверы. Сейчас сайт M.E.Doc недоступен.
Что думают IT-компании и сторонние специалисты
Официально ни одна страна не взяла на себя ответственность за распространение вируса. Специалисты NATO считают, что в теории за атакой могут стоять власти. Аналитики компании DrWeb подтвердили, что именно программа M.E.Doc стала причиной массового заражения вирусом Petya.A.
В этот же день разработчик антивирусного оборудования ESET выпустил отчёт о том, как шифровальщик распространился через автоматическое обновление M.E.Doc. В документе говорится, что программа распространяла версии с уязвимостью, которой воспользовался вирус, с апреля 2017 года. С того момента эксперты зафиксировали ещё два обновления с дырой в защите, в том числе и в версии 22 июня — всего за пять дней до хакерской атаки.
Американский специалист по безопасности Джонатан Николс считает, что вирусная атака необязательно была санкционирована тем или иным государством.
Эксперты «Лаборатории Касперского», в отличие от специалистов других IT-компаний, не связали Petya.A с украинской программой. В компании заявили, что, исходя из предварительного расследования, техника хакеров напоминает методику злоумышленников из группировки BlackEnergy.
Обновлено. Представитель «Лаборатории Касперского» прокомментировал TJ ситуацию вокруг вируса и компании M.E Doc.
Мы называем эту атаку ExPetr. При распространении вредоносного ПО киберпреступники добавили вредоносный код в очередное обновление M.E.Doc. Но это не значит, что разработчики программы встроили вредоносный код в свою программу – скорее всего, киберпреступники сумели подменить обновление без ведома разработчиков, что позволило им использовать легальную программу для проникновения в инфраструктуру организаций.
Авторы M.E.Doc стали своего рода жертвой в этой атаке. Еще, например, кроме зараженного обновления M.E.Doc при атаке ExPetr использовались эксплойты Eternal Blue и EternalRomance, эксплуатирующий уязвимость в системе Windows (первый также использовался в майской атаке шифровальщика WannaCry).
Что говорят в M.E.Doc
С первого дня обвинений представители компании отвергали причастность к распространению Petya.A. По их словам, в обновлении M.E.Doc от 22 июня не было уязвимостей и вирусов (это заявление противоречит расследованию ESET). В компании подчеркнули, что тоже пострадали от действий хакеров и с первого же дня расследования предоставили логи и резервные копии серверов спецслужбам.
30 июня соосновательница M.E.Doc Олеся Линник рассказала, что никто из пострадавших от вируса не предоставил компании заражённый файл, исходивший с серверов M.E Doc. Компания также привлекла к расследованию третью сторону — американскую транснациональную компанию-разработчицу сетевого оборудования Cisco. Линник раскритиковала и статью Microsoft о причастности программы к атаке.
В статье никак не показан способ первоначального заражения системы. Программа M.E.Doc, как и любая другая, в своей работе использует множество системных библиотек Windows, которые вполне могли быть заражены ранее. Таким образом, единственное, что показано в статье, – это то, что программа была запущена на ранее заражённом компьютере и, соответственно, сама подверглась заражению.
Программа M.E.Doc – это локальный продукт, которым пользуются только на Украине, а вирус охватил ещё 64 страны. В нашей стране пострадало 12 500 компаний, а пользователей у программы около миллиона. То есть, если бы причина была в нас, накрыло бы всех.
По мнению Линник, M.E.Doc могла привлечь злоумышленников как эффективный способ распространить вирус в системы компаний-пользователей. Эту версию следует расследовать, а не утверждать, что в деле виновато руководство компании, которая могла стать жертвой политических игр, считает её глава.
5 июля представители компании признали причастность программы M.E.Doc к кибератаке. Руководство подчеркнуло, что это первый за историю сервиса факт взлома, в результате которого в программный код пакета обновления попал вирус. В компании также добавили, что к недавнему инциденту могут быть причастны организаторы кибератаки с помощью вируса WannaCry в мае 2017 года.
Возможная связь России с вирусом
Впервые теорию о причастности российских хакеров к атаке Petya.A высказал генеральный директор интернет-магазина Rozetka Владислав Чечеткин. По его словам, программу M.E.Doc крупным компаниям «всучил» бывший министр доходов и сборов Украины Александр Клименко. Экс-чиновник, который сейчас критикует руководство страны и оказывает гуманитарную помощь Донбассу, отверг обвинения в навязывании M.E. Doc.
M.E.Doc — не первая технологическая компания, которая, если верить Линник, оказалась участницей политических столкновений. 1 июня СБУ рассказали о незаконной маршрутизации трафика крымским провайдером «Wnet Украина», услугами которого пользовался сервис M.E.Doc. По словам спецслужб, руководство провайдера переправляло сегмент сети в фиктивную компанию, за которой стояла ФСБ.
Сотрудники российского ведомства якобы незаконно пытались завладеть данными клиентов «Wnet Украина» через оборудование провайдеров. Сейчас по делу идёт следствие. Если его передадут в суд, руководству провайдера грозит до пяти лет тюрьмы за сотрудничество с ФСБ.
Линник подтвердила, что её компания пользовалась «Wnet Украина», но не стала связывать обыски провайдера с обвинениями в распространении вируса.
Программа M.E.Doc почти неизвестна за украинской границей, но в стране она занимается документооборотом 80% компаний. 400 тысяч клиентов обсуждают и отправляют финансовую и налоговую документацию с помощью сервиса. Такую большую ответственность она получила в том числе из-за недавних санкций украинских властей против российских сервисов.
Местный юрист Валерия Дяченко в ответ на санкции заявила, что в стране нет достойного аналога российской программе «1C» — одной из самых популярных программ по документообороту на Украине. M.E.Doc стала частичной заменой «1C».
На фоне этой ситуации злоумышленникам было выгодно ударить по M.E.Doc. В разговоре с The New York Times бывший заместитель директора по разведке и компьютерным операциям Великобритании Брайан Лорд предположил, что хакеры преследовали не денежный интерес, а изучали слабые места компаний и государственных учреждений. С версией о том, что злоумышленников не интересовали деньги, согласны и эксперты «Лаборатории Касперского».
Во время майской атаки вируса WannaCry, аналога Petya.A, от воздействия шифровщика больше всего пострадала Россия. Тогда IT-компании и специалисты указывали на причастность к атаке правительства КНДР.
Во время июньской атаки Россия оказалась на втором месте по количеству жалоб на Petya.A. Первое место заняла Украина. Примечательно, что атака пришлась на день накануне украинского Дня Конституции, когда компании наиболее загружены работой. Старший технический научный сотрудник компании Cisco Крейг Уильямс считает, что это не может быть совпадением.
Хотя официальных подтверждений причастности какого-либо правительства к распространению вируса до сих пор нет, директор Института государственности и демократии Иван Лозовый подозревает страну, которая уже несколько лет находится в открытой конфронтации с Украиной. «Русские заинтересованы в том, чтобы у Украины было как можно больше проблем», — сказал Лозовый в беседе с The New York Times.
Комментарий удален модератором
Комментарий удален модератором
вот-вот. нихуя не понятно
Комментарий недоступен
Комментарий удален модератором
Комментарий недоступен
Комментарий недоступен
Комментарий удален модератором
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Фас
Не буду спрашивать, бывало ли такое хоть раз, а спрошу возможно ли это вообще?
Комментарий недоступен
Террорист в треде, все на бутылку!
В КНДР есть целый отряд из хакеров, которые зарабатывают денежки на взломах. Если они своих граждан как рабов в Россию отправляют, то и на взломах зарабатывать не жаль.
В России есть свои хакеры, которые могут также работать на государство и выполнять заказы на политические взломы.
В Китае свои хакеры, в Израиле и в США свои. Причём последние, емнип, смогли откатить ядерную программу Ирана с помощью вируса.
В этом мире идут скрытые кибер войны, но никто не распространяется об этом широко. Ну кроме той истерии про "русских хакеров".
Я говорил лишь о признании страной факта ответственности за вирусы и взломы.
Так-то понятное дело, что во всех странах есть свои госхакеры. Но даже севкорейцы не признались в подобном.
КНДР нет, но ИГИЛ бы взяла ответственность)
То есть, вполне возможно, что в будущем, государства будут брать ответственность и оправдываться, если будут веские доказательства, но иногда политики немного проговариваются.
Как пример, Хиллари Клинтон проговорилась о Stuxnet:
With respect to Iran, when I became secretary of state, Iran was weeks away from having enough nuclear material to form a bomb. They had mastered the nuclear fuel cycle under the Bush administration. They had built covert facilities. They had stocked them with centrifuges that were whirling away.Целью Stuxnet были иранские центрифуги и она их упомянула в споре с Трампом о кибербезопасности, если не ошибаюсь.
Оно по совсем другим принципам построено. Начнём с того, что до этого времени ни одно государство мира не было во вражде вообще со всеми организациями и государствами, и это уже даже не «кто не с нами, тот против нас», а «кто не мы, тот против нас», то есть полное отсутствие союзников. И это я уже не придираюсь к тому, стоит ли его считать вообще государством.
Так что, если описывать точно, то лучше сказать так: «Ни одно международно полностью или частично признанное государство-член ООН пока не брало на себя ответственность за хакерские атаки».
Ну безотносительно теории заговора. Бухгалтерский софт действительно неплохой способ пролезть в сети госучреждений. А там гуляй, рванина! Скорее контору просто использовали без их ведома
ЛІЛ. Зачем же так палиться? А если не палятся, то зачем показывать свою некомпетентность всем на обозрение?
https://geektimes.ru/post/290779/
Комментарий недоступен
Палево, что в Майкрософте сразу определили, что МЕДок имеет отношение к распространению этого вируса, а "специалисты" из Касперского сделали заявление, приведённое в цитате. Не по-русски написано?
Комментарий недоступен
Комментарий недоступен
Ты комментарий не смог прочитать изначальный. Версия, где они не при чём, но зачем-то высказывают полную глупость, не имеющую отношения к действительности и при этом занимаются антивирусами, ты почему-то решил игнорировать.
И никто никому не давал доступ к своим серверам, тем более, что МЕДок аж через неделю признали свою вину, а Майкрософт в тот же день или на следующий указали на причастность именно МЕДка, в отличии от флагмана российского антивирусостроения, который вообще свзяи не нашли.
ШТА? Тарас сейчас рассказал планы СБУ по выбиванию признательных показаний из программистов? Переживаю за программистов медока
Текст выше почитай.
Комментарий недоступен
Свою профнепригодность:
Эксперты «Лаборатории Касперского», в отличие от специалистов других IT-компаний, не связали Petya.A с украинской программой.Тарас хватит тупить, давно бы уже выделил этот абзац и нажал ctrl+enter
Комментарий недоступен
Так и статья не на второй день появилась, и специалистов, что рассматривали эту эпидемию, было тоже не двое-трое.
Ну, мы же не знаем, у кого какие данные были.Зато мы видим кто какие сделал выводы, а если данных было недостаточно, то зачем вообще открывать рот и
показывать свою некомпетентность всем на обозрение?Комментарий недоступен
Именно. Не увидели связи там, где её увидели остальные.
Ты наверное ещё и по ссылке не сходил, где указаны конкретные обновления МЕДка и за какие именно даты, которые были модифицированы.
Майкрософ стрелки переводит просто. Очевидно что непосредственные виновники это сам майкрософт который заложил уязвимость в винду!
Если бы власть думала головой, а не жопой, то провела бы открытый тендер на разработку аналога 1C и других заблоченных российских сервисов с привлечением как украинских, так и зарубежных компаний.
Вообще, вся эта ситуация с Petya и Medoc говорит только о том, что Украина совершенно не готова к мощным кибератакам. Если Клименко действительно пропихивал Medoc в крупные компании, то совершенно непонятно почему на это не обратила внимание та же СБУ или киберполиция.
В общем, или лапу смазали или обыкновенная халатность.
а пока разработка не закончилась, пусть переходят на бумагу и счёты.
Любишь Medoc, люби и холодок.