Przejdź na

NotPetya była pobierana z serwerów M.E.Doc już w kwietniu

Dziś mija tydzień, odkąd pojawiły się pierwsze doniesienia o globalnym ataku ransomware Petya. Dziś wiemy już, że nie mieliśmy do czynienia ze znaną od marca zeszłego roku Petyą, a nawet nie do końca z ransomware. Wciąż jednak w sprawie pojawiają się nowe informacje – jak informuje ESET, atak NotPetya mógł zostać zainicjowany jeszcze w kwietniu.

Obraz
Maciej Olanicki

Pierwsze dane na temat ewentualnego wektora ataku pojawiły się jeszcze w zeszły wtorek. Wówczas wskazano serwery firmy M.E.Doc, produkującej popularne na Ukrainie oprogramowanie księgowe, wykorzystywane także do wymiany korespondencji z ukraińskimi instytucjami rządowymi. Według tamtejszej policji i ekspertów ESET-u, NotPetya była dystrybuowana właśnie z wykorzystaniem serwera aktualizacji M.E.Doc.

Producent M.E.Doc odpiera zarzuty, twierdząc, że w okresie pomiędzy aktualizacjami nie dokonano w paczkach żadnych zmian, które mogłyby pozwolić na wstrzyknięcie niebezpiecznego kodu. Według najnowszych analiz ESET-u, producent M.E.Doc wcale nie musi być w błędzie, gdyż do przejęcia serwera aktualizacji mogło dojść jeszcze w kwietniu.

Wysłane tylną furką ciasteczko z numerem EDRPOU, który pozwala na identyfikację zainfekowanej osoby prawnej
Wysłane tylną furką ciasteczko z numerem EDRPOU, który pozwala na identyfikację zainfekowanej osoby prawnej

14 kwietnia M.E.Doc zaktualizował swoje oprogramowanie do wersji 01.175-10.01.176 i właśnie wtedy pojawiła się tam ukryta tylna furtka. Wykorzystywano ją do wysyłania na przejęty przez atakujących serwer aktualizacji numeru EDRPOU, jest to unikalny numer identyfikacyjny osoby prawnej na Ukrainie. Aspekt ten był kluczowy – dzięki EDRPOU atakujący mogli określić, na ile skuteczny będzie atak, i które firmy oraz instytucje padną jego ofiarą.

Po ponad dwóch miesiącach od pierwszej dystrybucji, lont został odpalony. Z serwerów aktualizacji wyszło polecenie dekodowania pliku DLL i wykonania go. Dalszy ciąg już znamy. Warto jeszcze dodać, że dziś serwery M.E.Doc zabezpieczyła ukraińska policja.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟