Кіберполіція рекомендує користувачам М.Е.Doc змінити паролі

Департамент кіберполіції рекомендує всім користувачам програмного забезпечення М.Е.Doc змінити паролі та електронні цифрові підписи, у зв'язку з тим, що ці дані могли бути скомпрометовані, написав міністр внутрішніх справ Арсен Аваков на своїй сторінці в Facebook.

Міністр нагадав, що 27 червня українські державні структури і приватні компанії через уразливості програмного забезпечення для звітності та документообігу М.Е.Doc масово потрапили під удар вірусу-шифрувальника (ExPetr, PetrWrap, Petya, NotPetya).

Експерти встановили, що ураження інформаційних систем сталося через оновлення зазначеного програмного забезпечення.

За отриманими даними, зловмисники здійснили несанкціоноване втручання у роботу одного з персональних комп'ютерів компанії-розробника зазначеного програмного забезпечення - "Інтелект-Сервіс", повідомив Аваков.

"Отримавши доступ до вихідного коду, вони в одне з оновлень програми вбудували бекдор (backdoor) - програму, яка встановлювала на комп'ютерах користувачів M.E.Doc несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно сталося ще 15 травня 2017 року", - написав глава МВС.

За словами Авакова, представники компанії-розробника M.E.Doc отримали інформацію про наявність вразливостей в їх системах від антивірусних компаній. Але отримані відомості були проігноровані, а в компанії заперечують наявність проблем з безпекою.

Встановлено, що виявлений backdoor по функціоналу має можливість збирати коди ЄДРПОУ уражених компаній, і відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів, зазначив міністр внутрішніх справ.

Відомо, що після спрацьовування backdoor, хакери компрометували облікові записи користувачів, з метою отримання повного доступу до мережі. Далі вони отримували доступ до мережного обладнання з метою виведення його з ладу, а потім здійснювали завантаження власної операційної системи на базі TINY Linux, повідомив Аваков.

"Зловмисники, з метою приховування вдалої кібероперації з масового ураження комп'ютерів та несанкціонованого збору з них інформації, тим же самим способом, через останні оновлення ПО M.E.Doc поширили модифікований ransomware Petya", - написав глава МВС.

Видалення і шифрування файлів операційних систем зробили для того, щоб приховати сліди попередньої злочинної діяльності та відвернути увагу вимаганням грошових коштів від постраждалих.

"Слідством відпрацьовується версія, що справжніми цілями були стратегічно важливі для держави компанії, атаки на які могли дестабілізувати ситуацію в країні. Аналіз обставин зараження дозволяє припустити, що особи, які організували напади з використанням WannaCry, можуть бути причетні до вірусної атаки на українські державні структури і приватні компанії 27 червня, оскільки способи поширення та загальна дія подібні вірусу-шифрувальщику", - повідомив Аваков.

Також Аваков повідомив, що представники Департаменту кіберполіції, слідчі і співробітники СБУ провели обшуки і вилучили сервери розробника M.E.Doc.

Нагадаємо, що державні і комерційні структури України постраждали від вірусу Petya.А (Петя.А), поширення якого почалося 27 червня.

За даними DT.UA, хакерської атаки зазнали близько 30 банків. За перші два дні Кіберполіція зареєструвала понад 1,5 тисяч випадків зараження комп'ютерних систем держустанов, комерційних структур і персональних комп'ютерів. У зв'язку з кібератакою також було проведено нараду в РНБО.

У Кіберполіції повідомили, що хакерська атака за допомогою вірусу Petya почалася в Україні через оновлення програми M.E.Doc, яке вийшло о 10:30 27 червня. Після завантаження заражених файлів вірус поширювався через уразливість в протоколі Samba.

У СБУ, в свою чергу, назвали російські спецслужби організатором кібератаки.