Розробники «M.E.Doc»: ми зробили все можливе, щоб не допустити повторення кібератаки через наше ПЗ

Чорний вівторок

Згадаємо що сталось. 27 червня вірус Petya.A, назва якого неначе натякає «так, українці, цей “подарунок” дійсно для вас», зупинив роботу десятків приватних і державних компаній. За аналогією зі своїми попередниками «Wanna Cry» та «XData», він блокував доступ до файлів. За розблокування зловмисники вимагали 300 $ в біткоінах. Підприємства та організації падали одне за одним: Національний банк України, «Нова пошта», «Укрпошта», Кабмін, Київський метрополітен, «Укренерго» та інші. Детальніше про події того дня можна прочитати тут.

Тільки увечері 27 червня Департамент кіберполіції України пояснив, як «Петі» вдалося діяти так швидко і настільки масштабно. Крім використання інших інструментів зараження (зокрема, фішингових повідомлень), хакери зламали програмне забезпечення «M.E.doc», яке встановлено на багатьох держоб’єктах для ведення звітності та документообігу.

Оновлюйте систему

«M.E.doc», як і багато іншого ПЗ, має функцію автоматичного оновлення. Вона спрацювала 27 червня о 10:30. Однак, перед цим хакери зламали систему та перенаправили трафік на інший сервер, на якому Petya.A чекав на свій «зоряний» час.

«Був модифікований пакет оновлення — кіберзлочинці додали до нього віддалене завантаження і «бекдор» (це дефект алгоритму, який дозволяє отримати несанкціонований доступ до даних або дистанційно керувати ОС і пристроєм у цілому – ред.) Сам по собі жоден пакет не містив шкідливого коду. По суті, «M.E.Doc» став першою метою, яку уразили злочинці», — пояснили нам розробники цього ПЗ.

У процесі подальшого поширення вже було неважливо, чи є «M.E.Doc» на комп’ютері, чи ні. Вірус використовував уразливі місця Windows, а також перехоплював облікові дані. На руку Petya.A спрацював і людський фактор — десь адмін не оновив ОС, десь надав користувачеві права адміністратора, десь не розбив мережу на підмережі.

За інформацією фахівців з Microsoft, у перший день атаки вірус «поневолив» понад 12,5 тис. комп’ютерів. Також вони відзначили, що їх безкоштовний антивірус «Windows Defender» таки зміг розпізнати загрозу. Тому головна порада, яку вони дали, — завжди вчасно оновлювати ОС, адже в нових версіях є захист від усіх сучасних загроз.

Нам не потрібні ваші гроші

Треба враховувати, що Petya.A лише маскувався під програму-шифрувальник, яка відкриє доступ до даних відразу після отримання грошей. Насправді лиходіям потрібні були не стільки біткоіни жертв, скільки їх дані. Всього хакери заробили понад 10 тис. $ (або 4 з гаком біткоіни). Обіцяні ключі доступу ніхто так і не отримав

Одна з версій Нацполіції — хакери хотіли дестабілізувати економічний сектор України.

«Обрали компанію M.E.Doc, знаючи, що їхня програма забезпечує більшість користувачів економічного сектору. Було розраховано на те, що всі договори укладені офіційно, ліцензії придбані, та програма за замовчуванням увімкнена на автоматичне оновлення. Хотіли уразити таким чином якомога більше об’єктів», — говорив голова кіберполіції Сергій Демедюк.

Полювання на відьом

Також пан Демедюк стверджував, що розробники «M.E.Doc» знали про наявні вразливості. Нібито в Нацполіції їх попереджали про них ще за місяць до сумнозвісних подій. У свою чергу дослідники з ESET постфактум написали про те, що начебто перший «бекдор» у пакеті оновлень «M.E.Doc» з’явився ще 14 квітня.

Ми попросили творців системи прокоментувати цю інформацію:

«Жодних офіційних попереджень від представників антивірусів чи кіберполіції не було. Навіть більше, ми намагалися зв’язатися з компанією ESET, проте в коментарях чи інформації нам відмовили. Щодо дати завантаження “бекдору” — насправді ця інформація з’явилася набагато пізніше після атаки. І це нескладно відстежити. Наше ПЗ використали для поширення вірусу в першу чергу через його популярність у великих державних і приватних організаціях. Аналогічних програм це не зачепило не тому, що у них є якийсь додатковий захист. Просто вони менш поширені. Будь-яке досить популярне ПЗ може постраждати від подібних дій».

Усього в компанії-розробника 400 тис. клієнтів, і вона також зазнала збитків:

«Ми маємо збитки, як й інші жертви. Але їх досить складно прорахувати на даному етапі. Проте мова йде як про матеріальні ресурси, так і про репутаційні збитки. Адже конкуренти підхопили тему вірусу й всіляко нею спекулюють, перекручуючи факти».

Захист

Що ж було зроблено для того, аби Petya.A не виконав свій трюк ще раз? Розробники M.E.Doc пояснили нам, що після події дистрибутиви та пакети оновлень перенесли на захищений майданчик ДП «Українські спеціальні системи»:

«Інформаційно-телекомунікаційна система цього підприємства надійно захищена від зовнішніх атак і шкідливого коду. Під час останньої кібератаки жоден інформаційний ресурс, розміщений там, не постраждав».

Крім цього, було відключено функцію автоматичного оновлення. Незабаром відповідні пакети можна буде перевірити за допомогою цифрового підпису безпосередньо перед установкою.

«Було вжито необхідних заходів, щоб не допустити повторення кібератаки через наше ПЗ. Тому зараз зловмисники не зможуть використати «M.E.Doc». Ми також постійно співпрацюємо з усіма компетентними органами — від надання безперешкодного доступу до обладнання та ПЗ до створення оновлення з підвищеним ступенем захисту».

Антивіруси vs «M.E.Doc»

Проте, не все так просто. У мережі часто зустрічається інформація про те, що антивіруси і досі знаходять віруси у різних модулях «M.E.Doc». Розробники так коментують це:

«Справа у так званих евристичних алгоритмах. У певних випадках антивірус вважає будь-яку програму шкідливою або підозрілою тому, що вона має спільні риси з відомим вірусом. Наприклад, у них схожі ім’я або розмір файлу, однакові ділянки коду, подібна поведінка. В останній версії програми ніяких «бекдорів» немає, і зараз нею можна сміливо користуватися. Але у самого модуля колишня назва і на 90% він залишився без змін. Цим і пояснюються помилкові спрацьовування антивірусних продуктів».

На випередження

Після кібератаки в суспільстві з’явилася думка, що програми такого рівня, як «M.E.Doc» потрібно сертифікувати та перевіряти на наявність уразливостей. Ідея, безумовно, добра, але, на жаль, в Україні поки що немає уповноважених на це органів. Найбільш наближена до такої діяльності — Державна служба спеціального зв’язку та захисту інформації. Однак, експертиза ПЗ для подання електронної звітності та електронного документообігу не входить до її компетенції.

І трохи філософії наостанок. Антивірусом розробники лише латають уже пророблені вірусом дірки в захисті. Але чи можна передбачити, де вони з’являться наступного разу? Події останніх років показують, що ні. Поки що ні.

Посилання на джерело

Схожі публікації

Selected Grid Layout is not found. Check the element settings.
Menu
Замовити дзвінок
+
Чекаю дзвінка!