Látom a híreket és mit látok: „egyre több az ijesztő részlet a Petya támadás hátteréről” Mint ismert, június végén számos rendszert ért kibertámadás Ukrajnában és más országokban. Az azóta eltelt időszak elemzései és az új kiderített részletek több olyan szakmai kérdést vetnek fel, amelyek az eddigi IT biztonsági szemléleteket is átalakíthatják. A rombolási szándék vezérelte támadást nagyon hosszú előkészítési folyamat előzte meg, amely így beláthatatlan mennyiségű információt szolgáltathatott a támadóknak. A támadás kiindulási pontjaként használt ukrán cég, az M.E.doc szervereihez már áprilisban(!) hozzáfértek a kiberbűnözők, így több hónapon keresztül készíthették elő akciójukat.
Ez már kiberháború a javából kérem szépen – csak nehogy az Ön szervezete cége is egyszer beleessen a „járulékos veszteség” kategóriába.
A kártevőt az ESET biztonsági megoldásai Diskcoder.C néven azonosították (más néven ExPetr, PetrWrap, Petya vagy NotPetya). A támadást a M.E.doc adatszolgáltatási és iratkezelési programon keresztül hajtották végre, a kártevő tipikus zsarolóvírusnak álcázta magát (mert valójában nem volt az, mint látni fogjuk) és 300 dollárnak megfelelő bitcoint kért a titkosított adatok feloldásáért. A vizsgálat során kiderült, hogy a vírus alkotóinak szándéka nyilvánvalóan a rombolás volt, így mindent megtettek azért, hogy az adatok visszafejtésére ne is kerülhessen sor.
Az ukrán kiberrendőrség hivatalos Facebook oldalán jelentette be, hogy a rendelkezésre álló információk alapján, a támadók a hivatalos ukrán számviteli szoftvert, az M.E.Doc programot használták a DiskCoder.C kártevő terjesztéséhez az akció kezdeti szakaszában. Azonban eddig nem derültek ki pontos részletek arról, hogyan tudták ezt véghezvinni a bűnözők. Az ESET kutatása szerint a kiberbűnözők egy igen jól rejtőzködő és kifinomult backdoor (hátsó ajtó) programot illesztettek az M.E.Doc egyik hivatalos moduljába, ehhez azonban hozzá kellett férniük a számviteli program forráskódjához.
Innen csak az olvasson tovább, akit a szakmai részletek érdekelnek… A backdoor programmal fertőzött modult (ZvitPublishedObjects.dll.) a .NET Framework használatával készítették. Az 5 megabájtos fájl számos hivatalos kódot tartalmaz, amelyet más komponensek is meghívhattak, beleértve az M.E.Doc végrehajtó fájlját, az ezvit.exe-t is. A 2017-es frissítéseket megvizsgálva az ESET szakemberei legalább 3 frissítésben találták meg a backdoor modult: