В начале текущей недели украинская киберполиция провела обыски и изъяла серверы компании «Интеллект-Сервис» (разработчик бухгалтерского ПО M.E.Doc). Лишь после этого разработчики M.E.Doc, ранее категорически отрицавшие все обвинения специалистов, во всеуслышание признали факт компрометации на своей странице в Facebook.
Напомню, что внимание ИБ-исследователей и правоохранительных органов к M.E.Doc привлекла эпидемия малвари Petya (также известной под названиями NotPetya, SortaPetya, Petna, Nyetya, ExPetr и так далее), начавшаяся 27 июня 2017 года. Вскоре после начала атак многие специалисты связали распространение Petya с программным обеспечением M.E.Doc: такие предположения высказали сотрудники украинской киберполиции, а также аналитики Cisco Talos, Microsoft и «Лаборатории Касперского».
Как уже было сказано выше, больше недели разработчики M.E.Doc категорически отрицали все обвинения специалистов. Признаться в том, что обновления M.E.Doc действительно распространяли малварь, разработчиков вынудило только изъятие серверов компании и заявление главы украинской киберполиции Сергея Демидюка, который сообщил, что из-за проявленной халатности разработчикам может грозить уголовная ответственность. Ранее мы уже подробно рассказывали обо всех деталях этой запутанной истории.
Теперь специалисты Cisco, на месте изучили серверы M.E.Doc и представили новый отчет, согласно которому разработчики новой версии Petya проникли в сеть «Интеллект-Сервис» еще весной 2017 года, используя для этого учетные данные одного из сотрудников компании. Именно так, по мнению специалистов, в обновления M.E.Doc был внедрен бэкдор, а на веб-сервере компании появился PHP webshell.
Напомню, что подобный отчет о найденных в M.E.Doc бэкдорах ранее представили и аналитики компании ESET. Они предположили, что за эпидемией Petya стоит хакерская группа, известная под названием TeleBots, также разработавшая малварь XData и KillDisk. Исследователи ESET писали, что бэкдор определенно был разработан профессионалами своего дела. К примеру, малварь не использовала внешние управляющие серверы, их заменял сервер обновлений «Интеллект-Сервис» (upd.me-doc.com.ua), а все коммуникации с ним маскировались под обычные куки.
Согласно данным специалистов компании Fujitsu, к столь плачевному результату M.E.Doc привело халатное отношение к безопасности и обновлениям ПО. Исследователи пишут, что на серверах M.E.Doc работали устаревшие версии OpenSSH, веб-сервера и ПО для FTP. Дмитрий Шинкив, заместитель главы Администрации Президента Украины, так же заявил Reuters, что серверы «Интеллект-Сервис» не обновлялись с 2013 года.
Специалисты ESET и Cisco обратили внимание, что помимо внедрения бэкдора в пакеты обновлений M.E.Doc, злоумышленники изменили конфигурационный файл nginx.conf, перенаправив весь локальный трафик на сервер OVH, который удаленно контролировался с латвийского IP-адреса. Этот сервер «прожил» ровно столько же, сколько длились атаки Petya, и он использовался для старта, контроля и окончания всей вредоносной операции. Ниже можно увидеть инфографику, составленную аналитиками Cisco и иллюстрирующую хронологию событий.
Уже после конфискации серверов «Интеллект-Сервис», министр внутренних дел Украины Арсен Аваков сообщил, что киборполиции и СБУ, по сути, удалось предотвратить новый виток атак Petya, который должен был вновь использовать ПО М.Е.Doc.
Сегодня, 7 июля 2017 года, сайт M.E.Doc снова вернулся в строй, а компания «Интеллект-Сервис» сообщила о создании обновления, которое должно обеспечить безопасную работу ПО.
«Сегодня мы официально передали киберполиции обновление 190, которое убирает вредоносный код (backdoor) из нашего продукта. После его проверки Департамент киберполиции предоставит свои выводы, и я надеюсь, уже завтра мы сможем его запустить», — пишет представитель компании на официальной странице в Facebook.
