Украинская полиция арестовала серверы, с которых началось распространение NotPetya

2017-07-05 4189 комментарии
Украинская полиция арестовала серверы, которые стали первоначальным источником распространения NotPetya. Сервера принадлежат украинской компании “Интеллект сервис”, которая занимается продажей бухгалтерского программного обеспечения IS-pro и M.E.Doc

Бывший сотрудник организации подтвердил рейд украинских силовых ведомств. Ряд СМИ опубликовал аналогичную новость, ссылаясь на высокопоставленный источник в украинской полиции.

Хакерская группа, которая организовала атаку NotPetya, взломала сервера компании и запустила доставку вредоносного компонента, как и в случае с WannaCry. В результате NotPetya очень быстро распространился по всему миру.

NotPetya начали распространять сервера M.E.Doc

В то время, как “Интеллект сервис” отрицает любые нарушения, Microsoft, Bitdefender, Kaspersky, Cisco и ESET сошлись во мнении, что именно сервера обновления M.E.Doc стали источником распространения NotPetya.

NotPetya начали распространять сервера M.E.Doc

Расследование украинской полиции подтвердило выводы независимых исследователей.

Доказательства свидетельствуют о том, что сервера ранее неоднократно были скомпрометированы. Исследователи безопасности обнаружили, что сервера M.E.Doc распространяют шифровальщики еще в мае. Даже пользователи M.E.Doc жаловались на заражения на форуме компании.

Сервера M.E.Doc использовались для распространения трех вредоносных программ: XData, NotPetya и клона WannaCry. Все угрозы были нацелены только на Украину.

Компания все отрицает, но открыта для сотрудничества

Во всех инцидентах “Интеллект сервис” отрицает обвинения в том, что серверы компании были многократно взломаны. Однако на прошлой неделе организация неожиданно сообщила, что будет сотрудничать с Cisco и местной полицией для расследования инцидента, допуская что, все-таки могли произойти неподконтрольные фирме вредоносные действия.

В прошлый четверг Служба Безопасности Украины (СБУ) объявила о партнерстве с Федеральным Бюро Расследовании (ФБР), Европолом и Национальным агентством по борьбе с преступностью Великобритании (NCA) для расследования вспышки NotPetya.

Новости о рейдах появились 4 июля в ряде украинских СМИ. За день до этого Associated Press процитировала высокопоставленного украинского чиновника, который намекнул, что власти могут инициировать проверку действий украинского разработчика ПО.

Полковник Сергей Демидюк, глава украинской Киберполиции прокомментировал случай с “Интеллект сервисом”:

Они знали об этом. Им неоднократно сообщали об атаках разные антивирусные фирмы. За подобное пренебрежение соответствующие лица должны нести уголовную ответственность.

В интервью Reuters, основатели компании отрицали любые обвинения в преднамеренных нарушениях.

Теории заговора

На прошлой неделе появилось сообщение украинского веб-разработчика, который намекнул, что реальным виновником взломанных серверов “Интеллект сервиса” мог стать хостинг-провайдер Wnet. Эта компания обвиняется в связях с разведывательными службами России (ФСБ).

Примечательно, что 1 июня Служба безопасности Украины уже совершила рейд на веб-хостера за “незаконную маршрутизацию трафика в Крым в пользу российских спецслужб”.

Несмотря на жесткие обвинения, выдвинутые СБУ, на самом деле Wnet просто соединила маршруты интернет-трафика через Крым после того, как правительство Украины приказало интернет-провайдерам прекратить какие-либо связи с бывшей украинской территорией, находящейся под юрисдикцией России.

После инцидента вышла статья “Wnet — изменники или патриоты?”, которая развеяла любые слухи о пророссийских взглядах компании.

Серверы M.E.Doc слабо защищены

Несмотря на некоторую дикую теорию заговора, есть масса ощутимых доказательств того, что серверы M.E.Doc стали первоначальным источником инфекции, включая внутренние данные телеметрии от Microsoft и Bitdefender.

В опубликованном 4 июля отчете компании ESET даже содержатся визуальные доказательства - скриншоты с бэкдором PHP (medoc_online.php), обнаруженным на сервере обновлений компании во время прошлых инцидентов.

Серверы M.E.Doc слабо защищены

Кроме того, анализ сервера во время вспышки NotPetya выявил вопиющие уязвимости безопасности.

Например, на сервере обновлений работала старая версия proftpd v1.3.4c, для которой существуют общеизвестные эксплойты с удаленным выполнением кода. В поисковой системе можно найти пошаговые учебные пособия для взлома данной версии FTP-сервера.

Кроме того, на сервере M.E.Doc также установлены устаревшие версии Nginx и OpenSSH. Об этом сообщала украинская полиция во время вспышки NotPetya.

Компания “Интеллект сервис” может заявить, что непреднамеренно участвовала в распространении шифровальщика NotPetya, но это не оправдывает полное пренебрежение мерами безопасности своих серверов. Также непонятно, почему сервера M.E.Doc не используют защищенный протокол HTTPS или файлы с цифровой подписью.

По материалам BleepingComputer

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?