Спеціальні агенти департаменту кіберполіції разом із фахівцями СБУ та міської прокуратури 4 липня припинили розсилку та активацію вірусу з серверів інформаційної системи М.Е. Doc.

Про це на своїй сторінці у Facebook повідомив міністр внутрішніх справ Арсен Аваков.

«Пік атаки планувався на 16.00. Стартувала атака о 13.40. До 15.00 Кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Е. Doc. Атака була зупинена. Сервери вилучено разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російської Федерації», – написав пан Аваков.

Вірус Diskcoder.C - він же ГОГА, він же Гоша, ExPetr, PetrWrap, Petya, NotPetya – це прикриття наймасштабнішої кібератаки в історії України, розповів очільник МВС. 27.06.2017 о 10 годин 30 хвилин українські державні структури і приватні компанії через вразливість ПЗ M.E.doc. масово потрапили під удар вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Для локалізації масштабної кіберзагрози Нацполіцією та СБУ було створено оперативно-технічний штаб, до якого увійшли представники найвідоміших українських та іноземних компаній з кібербезпеки. За вказаними фактами Національна поліція України розпочала досудове розслідування.

Експертами було встановлено, що ураження інформаційних систем українських компаній відбулось через оновлення програмного забезпечення, призначеного для звітності та документообігу – M.E.Doc. За отриманими даними, зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення - ТОВ «Інтелект-Сервіс». «Отримавши доступ до вихідних кодів, вони в одне із оновлень програми вбудували бекдор (backdoor) - програму, яка встановлювала на комп'ютерах користувачів M.E.Doc несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно відбулося ще 15.05.2017 року.  Представники компанії-розробника M.E.Doc були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але проігнорували це попередження».

З’ясовано, за словами пана Авакова, що виявлений бекдор має можливість збирати коди ЄДРПОУ уражених компаній та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів. Після спрацювання бекдору атакери компрометували облікові записи користувачів з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM здійснювали завантаження власної операційної системи на базі TINY Linux. З метою приховування вдалої кібероперації щодо масового ураження комп’ютерів та несанкціонованого збору з них інформації зловмисники через останні оновлення ПЗ M.E.Doc розповсюдили модифікований ransomware Petya. Видалення та шифрування файлів операційних систем було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору) та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих.

«Слідством опрацьовується версія, що справжніми цілями були стратегічно-важливі для держави компанії, атаки на які могли дестабілізувати ситуацію в країні», – також написав глава МВС.

«З метою негайного припинення безконтрольного розповсюдження Diskcoder.C… прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення ТОВ «Інтелект-Сервіс», за допомогою якого розповсюджувалось ШПЗ. Обшуки проведено представниками Департаменту кіберполіції, слідчими та за участю Служби безпеки України. Об’єктами огляду є робочі комп’ютери персоналу та серверне обладнання, через яке поширювалося програмне забезпечення. Департамент кіберполіції наполегливо рекомендує усім користувачам змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані», – підсумував Арсен Аваков.

Нагадаємо, напередодні начальник Кіберполіції Сергій Демидюк заявив, що українській компанії M.E. Doc, яка випускає бухгалтерське програмне забезпечення, можуть пред’явити звинувачення у зв’язку з потужною кібератакою 27 червня, що спричинила значні пошкодження комп’ютерних систем по всьому світу.