Egyre több az ijesztő részlet a Petya támadás hátteréről

 2017. július 11., kedd 9:30
A A
Június végén számos rendszert ért kibertámadás Ukrajnában és más országokban. Az azóta eltelt időszak elemzései és az új kiderített részletek több olyan szakmai kérdést vetnek fel, amelyek az eddigi IT biztonsági szemléleteket is átalakíthatják. A rombolási szándék vezérelte támadást nagyon hosszú előkészítési folyamat előzte meg, amely így beláthatatlan mennyiségű információt szolgáltathatott a támadóknak. A támadás kiindulási pontjaként használt M.E.doc szervereihez már áprilisban hozzáfértek a kiberbűnözők, így több hónapon keresztül készíthették elő akciójukat. Az ESET szakmai összefoglalója:

A kártevőt az ESET biztonsági megoldásai Diskcoder.C néven azonosították (más néven ExPetr, PetrWrap, Petya vagy NotPetya). A támadást a M.E.doc adatszolgáltatási és iratkezelési programon keresztül hajtották végre, a kártevő tipikus zsarolóvírusnak álcázta magát és 300 dollárnak megfelelő bitcoint kért a titkosított adatok feloldásáért. A vizsgálat során kiderült, hogy a vírus alkotóinak szándéka nyilvánvalóan a rombolás volt, így mindent megtettek azért, hogy az adatok visszafejtésére ne kerülhessen sor. Az ESET szakembereinek véleménye szerint nagyon valószínű, hogy a támadók hozzáfértek az M.E.doc forráskódjához, és egy backdoor (hátsó ajtó) programot illesztettek a szoftver egy hivatalos moduljába.

Az ukrán kiberrendőrség hivatalos Facebook oldalán jelentette be, hogy a rendelkezésre álló információk alapján, a támadók a hivatalos ukrán számviteli szoftvert, az M.E.Doc programot használták a DiskCoder.C kártevő terjesztéséhez az akció kezdeti szakaszában. Azonban eddig nem derültek ki pontos részletek arról, hogyan tudták ezt véghez vinni a bűnözők. Az ESET kutatása szerint a kiberbűnözők egy igen jól rejtőzködő és kifinomult backdoor (hátsó ajtó) programot illesztettek az M.E.Doc egyik hivatalos moduljába, ehhez azonban hozzá kellett férniük a számviteli program forráskódjához.

A backdoor programmal fertőzött modult (ZvitPublishedObjects.dll.) a .NET Framework használatával készítették. Az 5 megabájtos fájl számos hivatalos kódot tartalmaz, amelyet más komponensek is meghívhattak, beleértve az M.E.Doc végrehajtó fájlját, az ezvit.exe-t is. A 2017-es frissítéseket megvizsgálva az ESET szakemberei legalább 3 frissítésben találták meg a backdoor modult:

• 10.01.175-10.01.176, kiadva április 14-én
• 10.01.180-10.01.181, kiadva május 15-én
• 10.01.188-10.01.189, kiadva június 22-én

Az XData fertőzés kitörése három nappal az első fent említett frissítés után történt, a DiskCoder.C terjedése pedig 5 nappal az utolsó (10.01.188-10.01.189) frissítés megjelenése után kezdődött. Érdekes adat, hogy az április 24. és május 10. között, illetve május 17. és június 21. között kiadott frissítések nem tartalmazták a backdoor programot.

Az EDRPOU számmal való visszaélés

Az Ukrajnában üzleti tevékenységet végző szervezetek rendelkeznek egy egyedi azonosítóval, az EDRPOU számmal. Ez kiemelten fontos a támadóknak: ha megszerzik egy vállalkozás EDRPOU számát, akkor pontosan be tudják azonosítani, hogy mely szervezetek használják a fertőzött modulokat, majd az akció céljától függően különféle taktikákkal támadhatják a cég számítógépes rendszerét. 

Az M.E.Doc programot széles körben használják Ukrajnában, az EDRPOU adatai pedig megtalálhatók a szoftvert használó gépek alkalmazásadatai (application data) között. Az IsNewUpdate módba bejuttatott kód összegyűjt minden EDRPOU-val kapcsolatos információt az alkalmazásadatokból, begyűjti a proxy és levelező beállításokat, illetve az M.E.Doc programban található felhasználóneveket és jelszavakat.

Az ESET szakemberei ezért az javasolják, hogy az M.E.Doc szoftver felhasználói azonnal változtassák meg a proxy és az e-mail fiókokhoz tartozó jelszavakat!

A kártevő beírja a begyűjtött adatokat a Windows registry-be, a HKEY_CURRENT_USERSOFTWAREWC kulcsba, a Cred és Prx nevet használva, így ha ezek az bejegyzések megtalálhatók a számítógépen, akkor nagyon valószínű, hogy a backdoor programmal fertőzött modul futott, vagy jelenleg is fut a gépen.

A program egyik érdekes tulajdonsága, hogy a backdoor programmal fertőzött modul nem használ semmilyen külső szervert, amitől várhatna új parancsokat, vagy küldhetne hozzá különböző adatokat. (C&C). A modul az M.E.Doc program rendszeres frissítéseket kereső kérését használja, amely a hivatalos M.E.Doc szerverhez kapcsolódik (upd.me-doc.com[.]ua). Az egyetlen különbség a hivatalos lekérdezés és a fertőzött kód között az, hogy az utóbbi az összegyűjtött információt sütikbe (cookies) tárolva küldi el.

Az ESET szakemberei nem végeztek igazságügyi elemzést az M.E.Doc szerverén, azonban egy korábbi blogposztban már kiemelték, hogy vannak egyértelmű jelek a szerver fertőzöttségére. Gyanítható, hogy a támadók olyan programot telepítettek a szerverre, amely lehetővé teszi számukra, hogy különbséget tegyenek a fertőzött vagy tiszta gépekről érkező kérések között. Természetesen a támadók hozzáadták a fertőzött gépek irányításának lehetőségét is a programhoz: a kód fogad egy bináris objektumot (blob) a hivatalos M.E.Doc szervertől, dekódolja a Triple DES algoritmus révén, majd a GZip segítségével kitömöríti. Az eredmény egy XML fájl, amely számos szerverparancsot tartalmaz. Ez a távoli irányítási funkció a backdoor programot egy teljes értékű kiberkémkedési és szabotázs platformmá alakítja.

Következtetések

Az ESET elemzői szerint ez egy jól megtervezett és végrehajtott akció. A szakemberek szerint a támadók hozzáfértek az M.E.Doc forráskódjához, így volt idejük megismerni azt, majd megalkotni a valós támadáshoz szükséges backdoor programot. Az M.E.Doc teljes telepítői csomagja nagyjából 1,5 gigabájt, és a szakemberek jelenleg nem tudják kizárni, hogy nem tartalmaz beültetett backdoor programokat.

Az eset kapcsán számos kérdés is felmerül: mióta használják ezt a backdoor programot, a DiskCoder.C vagy a Win32/Filecoder.AESNI.C kártevőkön kívül milyen más vírusokat juttattak át a rendszeren, milyen más frissítési láncok lehetnek a bűnözők tulajdonában, amelyek megfertőztek rendszereket, de még nem használták fel őket?

A kibertámadás részleteiről folyamatosan frissülő szakértői anyagokat a WeliveSecurity blogon olvashatnak

Előző cikk   Következő cikk    Nyomtatás    Küldés
Ezt már olvasta?

Legközelebb már nem ússzák meg olcsón a biztosítók

Habár a közelmúltban két zsarolóvírus is letarolta a fél világot, a biztosítók egyelőre...

Hírlevél
Iratkozzon fel hírlevelünkre és értesüljön első kézből az ágazat híreiről!

E-mail címe:

Címkék
díjbevétel (96), mnb (93), megtakarítás (92), kgfb (91), öngondoskodás (88), nyugdíj (79), életbiztosítás (75), mabisz (69), fogyasztóvédelem (60), katasztrófa (59), bank (56), viszontbiztosítás (52), lakásbiztosítás (49), gépjármű-biztosítás (48), generali (45), pszáf (44), szolvencia (43), káresemény (41), eu (40), biztosítás (39), ingatlancom (39), hitelezés (38), utasbiztosítás (36), elemzés (36), nem-életbiztosítás (32), bírság (32), swiss re (31), baleseti adó (30), felmérés (29), románia (28), lakásár (28), munich re (28), viharkár (27), kockázat (26), egészségbiztosítás (24), bankraciohu (23), reálhozam (23), casco (21), hitel (21), kutatás (21), felelősségbiztosítás (19), brexit (19), hitelminősítő (19), klímaváltozás (19), allianz (18), union (18), devizahitel (18), eiopa (18), befektetés (18), vagyonbiztosítás (17), csalás (17), roland berger (16), kiberbiztonság (16), pénzügyi szektor (16), groupama (16), magánnyugdíj (16), lakáshitel (16), k&h (16), természeti katasztrófa (16), konferencia (15), autó (15), nyereség (15), jelentés (14), felvásárlás (14), cea (14), balesetbiztosítás (14), nem-élet biztosítás (14), eb (14), kkv (14), ing (14), aegon (13), tőkemegfelelés (13), cig pannonia (13), kína (13), genertel (12), gépjármű biztosítás (12), fbamsz (12), gépjármű (12), uniqa (12), stressz-teszt (12), kárigény (11), baleset (11), hamisítás (11), használtautó (11), hamisítás elleni nemzeti testület (11), hent (11), usa (11), nyugdíjbiztosítás (11), telematika (11), aviva (10), s&p (10), groupama biztosító (10), villámkár (10), k&h biztosító (10), alkusz (10), ngm (10), axa (10), fintech (10), kiberbűnözők (9), kiberbűnűzés (9), egészségügy (9), ingatlan (9), otp bank (9), árvíz (9), ksh (9), generali csoport (9), vig (9), közvetítő (8), bamosz (8), betörés (8), kötvény (8), mobil (8), netriskhu (8), alulbiztosítás (8), cig pannónia (8), nn (8), kórház (8), moodys (8), hurrikán (8), verona (8), ügynök (7), erste (7), digitalizáció (7), pwc (7), autóipar (7), gdp (7), adósság (7), akvizíció (7), kiberbiztosítás (7), buszbaleset (7), fitch (7), 4life direct (7), mkb (7), lakás (7), eredmény (7), kaszab attila (7), otp (7), vihar (7), pénztár (7), eset (7), insurtech (6), unit-linked (6), innováció (6), adó (6), közvetítés (6), munkahely (6), görögország (6), fejlesztés (6), végtörlesztés (6), köbe (6), allianz hungária (6), fagykár (6), megújuló energia (6), államkötvény (6), ey magyarország (6), kpmg (6), felügyelet (6), agrárbiztosítás (6), hannover re (6), hitelminősítés (6), vienna life (5), lakáspiac (5), nemzeti agrárgazdasági kamara (5), vagyon (5), online (5), am best (5), deloitte (5), értékpapírosítás (5), közlekedés (5), big data (5), gender direktíva (5), adatvédelem (5), munkanélküliség (5), bróker (5), szerződési jog (5), gdpr (5), union biztosító (5), unicredit (4), államadósság (4), startup (4), vienna life biztosító (4), m&a (4), végtörlesztésl (4), határidő (4), birság (4), mastercard (4), vienna insurance group (4), qbe (4), insurance europe (4), századvég (4), közúti baleset (4), gfk (4), lakástakarék (4), tanulmány (4), iot (4), profit (4), életbiztosítás nem-élet biztosítás (4), aon (4), csőd (4), lloyds (4), lengyelország (4), elnök (4), signal (4), iais (4), kárhányad (4), jövedelem (4), éghajlatváltozás (4), netrisk (4), aon benfield (4), válság (4), posta (4), szolvencia ii (3), gilyén ágnes (3), limra (3), pénziránytű alapítvány (3), díjfizetés (3), erste biztosító (3), létszámbővítés (3), eredmények (3), betegség (3), lízing (3), nyugdíjpénztár (3), vienna (3), uniqa biztosító (3), k&h bank (3), alapkezelő (3), aaa auto (3), black friday (3), green holiday (3), biztosítási szektor (3), uniqa biztosító zrt (3), magyarország (3), szlovákia (3), gki (3), cp contact (3), atradius (3), zöld kártya (3), amerika (3), fhb (3), mikrobiztosítás (3), drón (3), mesterséges intelligencia (3), oecd (3), jármű (3), adókedvezmény (3), ingatlanbiztosítás (3), trenkwalder (3), építőipar (3), alulbiztosított (3), nak (3), k&h biztos jövő index (3), síbiztosítás (3), cig pannónia biztosító (3), nn biztosító (3), mabisz konferencia (3), összeolvadás (3), csok (3), albérlet (3), mi (3), nyaralás (3), elektromobilitás (3), nfm (3), kötelező (3), biztonság (3), bankkártya (3), integráció (3), befektetési alapok (3), foglalkoztatottság (3), oktatás (3), blokklánc (3), hitelintézeti szemle (3), gyógyszer (3), lakáhitel (3), viszontbiztosító (3), kerékpár (2), fenntarthatóság (2), luxemburg (2), mobilfizetés (2), szabályozás (2), lopás (2), piac (2), blokkchain (2), járműbiztosítás (2), olasz (2), unsar (2), unió (2), airbnb (2), bdo magyarország (2), kárbejelentés (2), uber (2), környezettudatosság (2), cotar (2), fhb csoport (2), ügyfélszolgálat (2), who (2), kiberbűnözés (2), aegon magyarország (2), Általános egészségbiztosító (2), alapkamat (2), agrár (2), atm (2), social media (2), tűzesetek (2), magyar bankszövetség (2), eljárás (2), pénz7 (2), díj (2), n26 (2), baker tilly hungária (2), nrc marketingkutató és tanácsadó kft (2), biztosító (2), bizalom (2), pioneer (2), blockchain (2), dróntörvény (2), nav (2), nemzeti fogyasztóvédelmi hatóság (2), biztosítótársaság (2), omnibus (2), infláció (2), muisz (2), 2017 (2), biztosítás és kockázat (2), bnp paribas cardif biztosító (2), budapest bank (2), jégkár (2), paypal (2), önvezető autók (2), cafeteria (2), portfoliohu konferencia (2), rekord (2), biztosítási piac (2), díjak (2), határidők (2), dimenzió biztosító (2), aig (2), thomas hladky (2), anglia (2), földrengés (2), kár (2), clb (2), régió (2), bankráció (2), pandurics anett (2), gazdaság (2), vállalkozás (2), microsoft (2), ingatlanpiac (2), eurostat (2), kampány (2), fogyasztóvédelmi index (2), egészsébiztosítás (2), dublin (2), ajánlás (2), generali-providencia (2), panaszkezelés (2), flottabiztosítás (2), dimenzió egyesület (2), bankbiztosítás (2), thm (2), jogsértés (2), biztosításközvetítés (2), ovb (2), bdo (2), díjnavigátor (2), olaszország (2), gyorshajtás (2), fejlődő országok (2), eub (2), személyi kölcsön (2), értékesítés (2), veronai buszbaleset (2), hr (2), mezőgazdaság (2), ukrajna (2), facebook (2), bűncselekmény (2), bíróság (2), garancia (2), cyber (2), abi (2), drágulás (2), ausztria (2), kínai biztosítási szektor (2), gyorsjelentés (2), bankszektor (2), fizetés (2), astra (2), világbank (2), árfolyamgát (2), zurich (2), leépítés (2), kölcsön (2), németország (2), zsarolóvírus (2), marketing (2), mentőcsomag (2), internet (2), biztosítási díj (2), informatika (2), technológia (2), it (2), accenture (2), ferma (2), pzu (2), deloitte magyarország (2), kárérték (2), ingatlannethu (2)
Rendezvényajánló
FINTECHSHOW 2017
Időpont:
2017.04.11 - 2017.04.11
Helyszín:
Anker't - Budapest, Paulay Ede utca 33.
további információk