Эксперты считают, что целью вируса Petya.A была именно Украина

05.07.2017, 13:22

Масштабная кибератака, которая поразила множество важных компьютерных сетей в Украине, а позже распространилась на другие страны, была ориентирована именно на украинский бизнес.

Вредоносное ПО только маскировалось под типичный вирус-вымогатель, требующий 300 долларов в биткоинах за расшифровку данных с компьютера. Об этом говорится в расследовании на портале Welivesecurity, поддерживаемом сообществом кибербезопасности ESET.

В сфере информационной безопасности существует термин "бэкдор", (от англ. back door - дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом).

Специалисты, занимавшиеся расследованием атаки "Петей", обнаружили глубоко скрытый бэкдор, который злоумышленники внедрили в один из легитимных модулей бухгалтерской программы M.E.Doc.

Среди обновлений программы M.E.Doc за 2017 год обнаружили, по крайней мере, три, содержащих модуль с бэкдором, первое - еще в апреле:

Эксперты изучили зараженный модуль и обнаружили там несколько дополнительных классов, основной - под названием MeCom. И в нем - переменную, которая доказывает, что вирус писали именно для Украины, - она называется EDRPOU, и записывается туда код ЕДРПОУ (Код Єдиного державного реєстру підприємств та організацій України), который существует только в Украине.

Имея к нему доступ, преступники могут точно идентифицировать организацию, которая теперь использует зараженную версию M.E.Doc, и использовать против ее компьютерной сети самые разные тактики.

"Как показывает наш анализ, это тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что злоумышленники имели доступ к исходному коду приложения M.E.Doc. У них было время изучить код и включить очень скрытый и хитрый бэкдор. Размер полного пакета установки M.E.Doc составляет около 1,5 ГБ, и мы пока не можем проверить, нет ли там других бэкдоров", - подчеркивают авторы расследования.

Они рекомендуют изменить пароли для прокси-серверов и учетных записей электронной почты для всех пользователей программного обеспечения M.E.Doc.

4 июля полиция конфисковала серверы компании по разработке бухгалтерского программного обеспечения M.E.Doc по подозрению в распространении вредоносного вируса, который на прошлой неделе поразил компьютерные системы крупных компаний по всему миру.

Кибератака состоялась 27 июня на государственные учреждения, объекты, финансового, энергетического транспортного сектора, а также частные предприятия с помощью вредоносного программного продукта Petya.A, который блокирует работу компьютерных систем. Вирус-блокировщик шифрует данные на компьютере и требует выкуп. Об этом сообщает УНИАН.

Читайте также