Четверг,
21 сентября 2017
Наши сообщества

Аваков сообщил об остановке 2-го этапа кибератаки Petya.А "с очевидными источниками из РФ"

Пик атаки планировался на 16.00 4 июля, стартовала атака в 13.40, а в 15.00 Киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc.

По словам министра, атака имеет следы воздействия киберпреступников с очевидными источниками с РФ / фото УНИАН
По словам министра, атака имеет следы воздействия киберпреступников с очевидными источниками из РФ / фото УНИАН

4 июля специальные агенты департамента киберполиции, вместе со специалистами СБУ и городской прокуратуры пресекли второй этап кибератаки Petya.

Об этом на своей странице в Facebook сообщил министр внутренних дел Арсен Аваков.

«Пик атаки планировался на 16.00. Стартовала атака в 13.40. К 15.00 Киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc. Атака была остановлена. Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками из Российской Федерации», – написал Аваков.

По его словам, вирус Diskcoder.C - он же ГОГА, он же Гоша, ExPetr, PetrWrap, Petya, NotPetya – это прикрытие самой масштабной кибератаки в истории Украины.

27.06.2017 в 10 часов 30 минут украинские государственные структуры и частные компании из-за уязвимости ПО "M.E.doc." (программное обеспечение для отчетности и документооборота) массово попали под удар вируса-шифровальщика (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Для локализации масштабной киберугрозы, Национальной полицией Украины и Службой безопасности Украины был создан оперативно-технический штаб в который вошли представители известных украинских и иностранных компаний по кибербезопасности. По указанным фактам Национальной полиции Украины начато досудебное расследование.

Экспертами было установлено, что поражения информационных систем украинских компаний состоялось через обновление программного обеспечения, предназначенного для отчетности и документооборота – “M.E.Doc”.

По полученным данным (подтверждено правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности), злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения - ООО "Интеллект-Сервис".

«Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютеры пользователей “M.E.Doc” несанкционированный удаленный доступ. Такое обновление программного обеспечения вероятно произошло еще 15.05.2017 года. Представители компании-разработчика “M.E.Doc” были проинформированы о наличии уязвимостей в их системах антивирусными компаниями, но это было проигнорировано. Компания-производитель опровергла проблемы с безопасностью и назвала это «совпадением». Вместе с тем выяснено, что обнаруженный бэкдор с функционалом имеет возможность собирать коды ЕГРПОУ пораженных компаний, и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей», – сообщил министр.

Он проинформировал, что на данный момент известно, что после срабатывания бекдора, атакеры компрометировали учетные записи пользователей, с целью получения полного доступа к сети. Далее получали доступ к сетевому оборудованию с целью вывода его из строя. С помощью IP KVM осуществляли загрузку собственной операционной системы на базе TINY Linux.

Злоумышленники, с целью сокрытия удачной кибероперации относительно массового поражения компьютеров и несанкционированного сбора с них информации, тем же самым способом, через последние обновление ПО “M.E.Doc” распространили модифицированный ransomware Petya.

Удаление и шифрование файлов операционных систем, было совершено с целью удаления следов предыдущей преступной деятельности (бекдора), и отвлечения внимания путем имитации вымогательства денежных средств с потерпевших.

«Следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране. Комплексный анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с использованием WannaCry могут быть причастны к вирусной атаке на украинские государственные структуры и частные компании 27 июня, поскольку способы распространения и общее действие подобны вирусу-шифровальщику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya)», – говорится в сообщении на странице Авакова.

«С целью немедленного прекращения бесконтрольного распространения Diskcoder.C (новая активность была зафиксирована 4 июля в 13.40), а также учитывая бездействие должностных лиц ООО "Интеллект-Сервис", которые, несмотря на неоднократные предупреждения антивирусных компаний и Департамента киберполиции, вводили в заблуждение своих пользователей, уверяя их в безопасности ПО “M.E.Doc” - принято решение о проведении обысков и изъятии программного и аппаратного обеспечения компании, с помощью которого распространялось ШПО. Обыски проведены представителями Департамента киберполиции, следователями и при участии Службы безопасности Украины. Объектами осмотра являются рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение. Департамент киберполиции настоятельно рекомендует всем пользователям сменить свои пароли и электронные цифровые подписи, в связи с тем, что эти данные могли быть скомпрометированы», – добавил министр.

Теги: Масштабная хакерская атака в Украине, вирус Petya.A

Читайте о самых важных и интересных событиях в УНИАН Telegram и Viber
Если вы заметили ошибку, выделите ее мышкой и нажмите Ctrl+Enter
Читайте также
Новости партнеров
loading...

Нравится ли Вам новый сайт?
Оставьте свое мнение