NotPetya była pobierana z serwerów M.E.Doc już w kwietniu
Dziś mija tydzień, odkąd pojawiły się pierwsze doniesienia o globalnym ataku ransomware Petya. Dziś wiemy już, że nie mieliśmy do czynienia ze znaną od marca zeszłego roku Petyą, a nawet nie do końca z ransomware. Wciąż jednak w sprawie pojawiają się nowe informacje – jak informuje ESET, atak NotPetya mógł zostać zainicjowany jeszcze w kwietniu.
04.07.2017 | aktual.: 05.07.2017 08:50
Pierwsze dane na temat ewentualnego wektora ataku pojawiły się jeszcze w zeszły wtorek. Wówczas wskazano serwery firmy M.E.Doc, produkującej popularne na Ukrainie oprogramowanie księgowe, wykorzystywane także do wymiany korespondencji z ukraińskimi instytucjami rządowymi. Według tamtejszej policji i ekspertów ESET-u, NotPetya była dystrybuowana właśnie z wykorzystaniem serwera aktualizacji M.E.Doc.
Producent M.E.Doc odpiera zarzuty, twierdząc, że w okresie pomiędzy aktualizacjami nie dokonano w paczkach żadnych zmian, które mogłyby pozwolić na wstrzyknięcie niebezpiecznego kodu. Według najnowszych analiz ESET-u, producent M.E.Doc wcale nie musi być w błędzie, gdyż do przejęcia serwera aktualizacji mogło dojść jeszcze w kwietniu.
14 kwietnia M.E.Doc zaktualizował swoje oprogramowanie do wersji 01.175-10.01.176 i właśnie wtedy pojawiła się tam ukryta tylna furtka. Wykorzystywano ją do wysyłania na przejęty przez atakujących serwer aktualizacji numeru EDRPOU, jest to unikalny numer identyfikacyjny osoby prawnej na Ukrainie. Aspekt ten był kluczowy – dzięki EDRPOU atakujący mogli określić, na ile skuteczny będzie atak, i które firmy oraz instytucje padną jego ofiarą.
Po ponad dwóch miesiącach od pierwszej dystrybucji, lont został odpalony. Z serwerów aktualizacji wyszło polecenie dekodowania pliku DLL i wykonania go. Dalszy ciąg już znamy. Warto jeszcze dodać, że dziś serwery M.E.Doc zabezpieczyła ukraińska policja.
