NotPetya była pobierana z serwerów M.E.Doc już w kwietniu

Strona głównaNotPetya była pobierana z serwerów M.E.Doc już w kwietniu
04.07.2017 21:47
NotPetya była pobierana z serwerów M.E.Doc już w kwietniu

Dziś mija tydzień, odkąd pojawiły się pierwsze doniesienia o globalnym ataku ransomware Petya. Dziś wiemy już, że nie mieliśmy do czynienia ze znaną od marca zeszłego roku Petyą, a nawet nie do końca z ransomware. Wciąż jednak w sprawie pojawiają się nowe informacje – jak informuje ESET, atak NotPetya mógł zostać zainicjowany jeszcze w kwietniu.

Pierwsze dane na temat ewentualnego wektora ataku pojawiły się jeszcze w zeszły wtorek. Wówczas wskazano serwery firmy M.E.Doc, produkującej popularne na Ukrainie oprogramowanie księgowe, wykorzystywane także do wymiany korespondencji z ukraińskimi instytucjami rządowymi. Według tamtejszej policji i ekspertów ESET-u, NotPetya była dystrybuowana właśnie z wykorzystaniem serwera aktualizacji M.E.Doc.

Producent M.E.Doc odpiera zarzuty, twierdząc, że w okresie pomiędzy aktualizacjami nie dokonano w paczkach żadnych zmian, które mogłyby pozwolić na wstrzyknięcie niebezpiecznego kodu. Według najnowszych analiz ESET-u, producent M.E.Doc wcale nie musi być w błędzie, gdyż do przejęcia serwera aktualizacji mogło dojść jeszcze w kwietniu.

Wysłane tylną furką ciasteczko z numerem EDRPOU, który pozwala na  identyfikację zainfekowanej osoby prawnej
Wysłane tylną furką ciasteczko z numerem EDRPOU, który pozwala na identyfikację zainfekowanej osoby prawnej

14 kwietnia M.E.Doc zaktualizował swoje oprogramowanie do wersji 01.175-10.01.176 i właśnie wtedy pojawiła się tam ukryta tylna furtka. Wykorzystywano ją do wysyłania na przejęty przez atakujących serwer aktualizacji numeru EDRPOU, jest to unikalny numer identyfikacyjny osoby prawnej na Ukrainie. Aspekt ten był kluczowy – dzięki EDRPOU atakujący mogli określić, na ile skuteczny będzie atak, i które firmy oraz instytucje padną jego ofiarą.

Po ponad dwóch miesiącach od pierwszej dystrybucji, lont został odpalony. Z serwerów aktualizacji wyszło polecenie dekodowania pliku DLL i wykonania go. Dalszy ciąg już znamy. Warto jeszcze dodać, że dziś serwery M.E.Doc zabezpieczyła ukraińska policja.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
Wybrane dla Ciebie
Komentarze (30)