Как напоминают представители ESET, "нулевым пациентом" при распространении вируса Petya стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчетности и документооборота: атакующие получили доступ к серверу обновлений M.E.Doc и с его помощью направляли зараженные обновления с автоматической установкой.
В процессе расследования сотрудники ESET обнаружили внедренный в один из легитимных модулей M.E.Doc бэкдор, позволяющий загружать и выполнять в зараженной системе другое вредоносное ПО. При этом модуль бэкдора содержали как минимум три обновления M.E.Doc, выпущенные 14 апреля, 15 мая и 22 июня.
"Маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы", – говорится в сообщении ESET. При этом аналитики отметили, что эпидемия Petya началась через пять дней после выхода последнего скомпрометированного обновления.
Кроме того, эксперты отметили тот факт, что 17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора, а на следующий день была зафиксирована активность другого вируса-шифровальщика (XData), который появлялся на ПК после запуска программного обеспечения M.E.Doc. По всей видимости, злоумышленники не ожидали появления "чистого" обновления M.E.Doc, и в результате от XData пострадало небольшое число пользователей.
"Нам предстоит ответить на ряд вопросов. Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой? ", – отметил старший вирусный аналитик ESET Антон Черепанов.
В сообщении компании также отмечается, что по совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты установили связь между вирусом Petya и кибергруппой Telebots, однако достоверно определить, кто стоит за деятельностью этой группировки хакеров, в настоящее время не представляется возможным.
Украинская полиция грозит компании M.E.Doc уголовным делом
Комментируя расследование распространения вируса Petya, глава украинской киберполиции Сергей Демидюк заявил, что правоохранительные органы рассматривают вопрос о возбуждении уголовного дела в отношении руководства M.E.Doc. Об этом он рассказал Associated Press.
По словам Демидюка, в M.E.Doc знали об угрозе заражения своего софта вирусом, но не предпринимали никаких действий, несмотря на предупреждения производителей антивирусного ПО.
В свою очередь, соосновательница M.E.Doc Олеся Линник заявила Reuters, что компания предоставила киберполиции все логи своих серверов. По ее словам, каких-либо свидетельств причастности M.E.Doc к распространению вируса Petya в настоящее время нет.
Напомним, 1 июля Служба безопасности Украины (СБУ) объявила, что установила причастность российских спецслужб к атаке вируса Petya. К такому выводу в СБУ пришли благодаря сотрудничеству с международными антивирусными компаниями, по данным которых, вымогательство денег было лишь прикрытием основной цели кибератак. Эта цель заключалась в том, чтобы внедрить вредоносную программу в инфраструктуру Украины.