Эксперты проанализировали изначальный вектор атаки NotPetya.
Исследователь безопасности Антон Черепанов из ESET представил подробности об изначальном векторе атаки NotPetya (Petya.A, ExPetr), накрывшей Украину 27 июня текущего года. Согласно заявлениям правоохранительных органов Украины и экспертов ESET, вредонос попал на системы жертв с зараженными бэкдором обновлениями бухгалтерского ПО «M.e.doc». Поначалу разработчик программы, «Интеллект-сервис», отрицал причастность к атакам, однако затем признал наличие бэкдора в своем продукте.
Во время исследования специалисты ESET обнаружили в одном из легитимных модулей «M.e.doc» весьма незаметный хитроумный бэкдор. По мнению Черепанова, маловероятно, что внедрить его мог кто-то без доступа к исходному коду программы. Речь идет о модуле с именем файла ZvitPublishedObjects.dll, написанном с помощью .NET Framework. Файл размером 5 МБ содержит большой объем легитимного кода, вызываемого различными компонентами, в том числе исполняемым файлом ezvit.exe.
Исследователи проанализировали обновления для «M.e.doc» за 2017 год и обнаружили по крайней мере три, содержащие бэкдор (за 14 апреля, 15 мая и 22 июня). Спустя три дня после выхода майского обновления были зафиксированы атаки с использованием вымогательского ПО XData, а через пять дней после релиза июньского обновления Украину атаковал NotPetya.
Обновление за 15 мая содержало бэкдор, однако 17 мая был выпущен еще один апдейт, уже без бэкдора. Дело в том, что второе обновление стало неожиданностью для хакеров. Они запустили вымогательское ПО 18 мая, однако большинство пользователей уже установили патч за 17 мая, поэтому XData заразил лишь малое число систем.
Все украинские предприятия и организации имеют уникальный идентификационный код юридического лица. С его помощью хакеры могли определить каждую компанию, использующую версию «M.e.doc» с бэкдором. Имея доступ к их сетям, злоумышленники могут предпринимать различные действия в зависимости от поставленных целей.
Помимо идентификационного номера, через «M.e.doc» бэкдор собирает с зараженной системы такие данные, как настройки прокси-серверов и электронной почты, в том числе имена пользователей и пароли. Вредонос записывает их в реестр Windows как HKEY_CURRENT_USER\SOFTWARE\WC со значениями имени Cred и Prx.
Примечательно, бэкдор не подключается ни к каким внешним C&C-серверам. Вредонос использует регулярные запросы «M.e.doc» к официальному серверу производителя на наличие доступных обновлений. Похищенные данные передаются на сервер в виде файлов cookie. Исследователи ESET не проводили экспертизу серверов, однако, по их мнению, они были взломаны. Эту информацию также подтвердило руководство «Интеллект-сервиса».
Гравитация научных фактов сильнее, чем вы думаете