Egyre több az ijesztő részlet a Petya támadás hátteréről

 2017. július 11., kedd 9:30
A A
Június végén számos rendszert ért kibertámadás Ukrajnában és más országokban. Az azóta eltelt időszak elemzései és az új kiderített részletek több olyan szakmai kérdést vetnek fel, amelyek az eddigi IT biztonsági szemléleteket is átalakíthatják. A rombolási szándék vezérelte támadást nagyon hosszú előkészítési folyamat előzte meg, amely így beláthatatlan mennyiségű információt szolgáltathatott a támadóknak. A támadás kiindulási pontjaként használt M.E.doc szervereihez már áprilisban hozzáfértek a kiberbűnözők, így több hónapon keresztül készíthették elő akciójukat. Az ESET szakmai összefoglalója:

A kártevőt az ESET biztonsági megoldásai Diskcoder.C néven azonosították (más néven ExPetr, PetrWrap, Petya vagy NotPetya). A támadást a M.E.doc adatszolgáltatási és iratkezelési programon keresztül hajtották végre, a kártevő tipikus zsarolóvírusnak álcázta magát és 300 dollárnak megfelelő bitcoint kért a titkosított adatok feloldásáért. A vizsgálat során kiderült, hogy a vírus alkotóinak szándéka nyilvánvalóan a rombolás volt, így mindent megtettek azért, hogy az adatok visszafejtésére ne kerülhessen sor. Az ESET szakembereinek véleménye szerint nagyon valószínű, hogy a támadók hozzáfértek az M.E.doc forráskódjához, és egy backdoor (hátsó ajtó) programot illesztettek a szoftver egy hivatalos moduljába.

Az ukrán kiberrendőrség hivatalos Facebook oldalán jelentette be, hogy a rendelkezésre álló információk alapján, a támadók a hivatalos ukrán számviteli szoftvert, az M.E.Doc programot használták a DiskCoder.C kártevő terjesztéséhez az akció kezdeti szakaszában. Azonban eddig nem derültek ki pontos részletek arról, hogyan tudták ezt véghez vinni a bűnözők. Az ESET kutatása szerint a kiberbűnözők egy igen jól rejtőzködő és kifinomult backdoor (hátsó ajtó) programot illesztettek az M.E.Doc egyik hivatalos moduljába, ehhez azonban hozzá kellett férniük a számviteli program forráskódjához.

A backdoor programmal fertőzött modult (ZvitPublishedObjects.dll.) a .NET Framework használatával készítették. Az 5 megabájtos fájl számos hivatalos kódot tartalmaz, amelyet más komponensek is meghívhattak, beleértve az M.E.Doc végrehajtó fájlját, az ezvit.exe-t is. A 2017-es frissítéseket megvizsgálva az ESET szakemberei legalább 3 frissítésben találták meg a backdoor modult:

• 10.01.175-10.01.176, kiadva április 14-én
• 10.01.180-10.01.181, kiadva május 15-én
• 10.01.188-10.01.189, kiadva június 22-én

Az XData fertőzés kitörése három nappal az első fent említett frissítés után történt, a DiskCoder.C terjedése pedig 5 nappal az utolsó (10.01.188-10.01.189) frissítés megjelenése után kezdődött. Érdekes adat, hogy az április 24. és május 10. között, illetve május 17. és június 21. között kiadott frissítések nem tartalmazták a backdoor programot.

Az EDRPOU számmal való visszaélés

Az Ukrajnában üzleti tevékenységet végző szervezetek rendelkeznek egy egyedi azonosítóval, az EDRPOU számmal. Ez kiemelten fontos a támadóknak: ha megszerzik egy vállalkozás EDRPOU számát, akkor pontosan be tudják azonosítani, hogy mely szervezetek használják a fertőzött modulokat, majd az akció céljától függően különféle taktikákkal támadhatják a cég számítógépes rendszerét. 

Az M.E.Doc programot széles körben használják Ukrajnában, az EDRPOU adatai pedig megtalálhatók a szoftvert használó gépek alkalmazásadatai (application data) között. Az IsNewUpdate módba bejuttatott kód összegyűjt minden EDRPOU-val kapcsolatos információt az alkalmazásadatokból, begyűjti a proxy és levelező beállításokat, illetve az M.E.Doc programban található felhasználóneveket és jelszavakat.

Az ESET szakemberei ezért az javasolják, hogy az M.E.Doc szoftver felhasználói azonnal változtassák meg a proxy és az e-mail fiókokhoz tartozó jelszavakat!

A kártevő beírja a begyűjtött adatokat a Windows registry-be, a HKEY_CURRENT_USERSOFTWAREWC kulcsba, a Cred és Prx nevet használva, így ha ezek az bejegyzések megtalálhatók a számítógépen, akkor nagyon valószínű, hogy a backdoor programmal fertőzött modul futott, vagy jelenleg is fut a gépen.

A program egyik érdekes tulajdonsága, hogy a backdoor programmal fertőzött modul nem használ semmilyen külső szervert, amitől várhatna új parancsokat, vagy küldhetne hozzá különböző adatokat. (C&C). A modul az M.E.Doc program rendszeres frissítéseket kereső kérését használja, amely a hivatalos M.E.Doc szerverhez kapcsolódik (upd.me-doc.com[.]ua). Az egyetlen különbség a hivatalos lekérdezés és a fertőzött kód között az, hogy az utóbbi az összegyűjtött információt sütikbe (cookies) tárolva küldi el.

Az ESET szakemberei nem végeztek igazságügyi elemzést az M.E.Doc szerverén, azonban egy korábbi blogposztban már kiemelték, hogy vannak egyértelmű jelek a szerver fertőzöttségére. Gyanítható, hogy a támadók olyan programot telepítettek a szerverre, amely lehetővé teszi számukra, hogy különbséget tegyenek a fertőzött vagy tiszta gépekről érkező kérések között. Természetesen a támadók hozzáadták a fertőzött gépek irányításának lehetőségét is a programhoz: a kód fogad egy bináris objektumot (blob) a hivatalos M.E.Doc szervertől, dekódolja a Triple DES algoritmus révén, majd a GZip segítségével kitömöríti. Az eredmény egy XML fájl, amely számos szerverparancsot tartalmaz. Ez a távoli irányítási funkció a backdoor programot egy teljes értékű kiberkémkedési és szabotázs platformmá alakítja.

Következtetések

Az ESET elemzői szerint ez egy jól megtervezett és végrehajtott akció. A szakemberek szerint a támadók hozzáfértek az M.E.Doc forráskódjához, így volt idejük megismerni azt, majd megalkotni a valós támadáshoz szükséges backdoor programot. Az M.E.Doc teljes telepítői csomagja nagyjából 1,5 gigabájt, és a szakemberek jelenleg nem tudják kizárni, hogy nem tartalmaz beültetett backdoor programokat.

Az eset kapcsán számos kérdés is felmerül: mióta használják ezt a backdoor programot, a DiskCoder.C vagy a Win32/Filecoder.AESNI.C kártevőkön kívül milyen más vírusokat juttattak át a rendszeren, milyen más frissítési láncok lehetnek a bűnözők tulajdonában, amelyek megfertőztek rendszereket, de még nem használták fel őket?

A kibertámadás részleteiről folyamatosan frissülő szakértői anyagokat a WeliveSecurity blogon olvashatnak

Előző cikk   Következő cikk    Nyomtatás    Küldés
Ezt már olvasta?

Legközelebb már nem ússzák meg olcsón a biztosítók

Habár a közelmúltban két zsarolóvírus is letarolta a fél világot, a biztosítók egyelőre...
Hírlevél
Iratkozzon fel hírlevelünkre és értesüljön első kézből az ágazat híreiről!

E-mail címe:

Címkék
mnb (133), megtakarítás (106), kgfb (104), díjbevétel (99), öngondoskodás (97), nyugdíj (92), életbiztosítás (79), mabisz (77), fogyasztóvédelem (66), bank (64), katasztrófa (60), eu (57), viszontbiztosítás (53), lakásbiztosítás (52), generali (52), felmérés (51), ksh (50), gépjármű-biztosítás (48), kutatás (47), elemzés (46), ingatlancom (46), biztosítás (44), pszáf (44), utasbiztosítás (44), szolvencia (43), káresemény (43), hitelezés (41), lakásár (36), bírság (36), nem-életbiztosítás (34), lakáshitel (33), casco (32), swiss re (31), románia (30), baleseti adó (30), kockázat (29), munich re (29), egészségbiztosítás (28), viharkár (28), felelősségbiztosítás (28), építőipar (27), klímaváltozás (26), k&h (26), bankraciohu (25), hitel (25), allianz (25), növekedés (25), gdp (23), eurostat (23), reálhozam (23), brexit (23), nyereség (23), egészségügy (22), befektetés (22), union (21), hitelminősítő (20), konferencia (20), turizmus (20), természeti katasztrófa (20), aegon (20), groupama (20), lakásépítés (20), ingatlan (20), kína (19), fintech (19), kiberbiztonság (19), ngm (18), baleset (18), eiopa (18), roland berger (18), csalás (18), devizahitel (18), digitalizáció (18), vagyonbiztosítás (17), kkv (17), autó (16), felvásárlás (16), munkanélküliség (16), infláció (16), magánnyugdíj (16), pénzügyi szektor (16), balesetbiztosítás (16), nyugdíjbiztosítás (15), uniqa (15), jelentés (14), cig pannonia (14), eb (14), nem-élet biztosítás (14), cea (14), ing (14), fbamsz (14), gépjármű (13), tőkemegfelelés (13), genertel (13), ingatlanpiac (13), használtautó (13), innováció (13), k&h biztosító (12), profit (12), stressz-teszt (12), gépjármű biztosítás (12), gazdasági növekedés (12), usa (12), axa (12), telematika (12), bankkártya (12), tanulmány (11), nn (11), hamisítás elleni nemzeti testület (11), vig (11), gki (11), hamisítás (11), hent (11), árvíz (11), alkusz (11), lakáspiac (11), előrejelzés (11), önvezető autó (11), groupama biztosító (11), kárigény (11), cig pannónia (11), villámkár (10), aviva (10), s&p (10), insurtech (10), idegenforgalom (10), csok (10), jövedelem (10), négyzetméterár (10), generali csoport (10), hurrikán (10), hitelfelvétel (9), oecd (9), euroövezet (9), deloitte (9), moodys (9), kiberbűnűzés (9), nav (9), otp bank (9), union biztosító (9), otp (9), netriskhu (9), adó (9), kiberbűnözők (9), fejlesztés (8), ügynök (8), mkb (8), fogyasztás (8), erste (8), bamosz (8), kórház (8), autóipar (8), betörés (8), nyugdíjpénztár (8), prognózis (8), közvetítő (8), adósság (8), verona (8), kötvény (8), pwc (8), eredmény (8), alulbiztosítás (8), biztosítási piac (8), netrisk (8), mobil (8), albérlet (8), pénztár (8), vagyon (7), online (7), akvizíció (7), budapest (7), használt lakás (7), lakás (7), kár (7), cig (7), ey magyarország (7), munkaerőpiac (7), eset (7), határidő (7), kpmg (7), államkötvény (7), kaszab attila (7), lengyelország (7), kiberbiztosítás (7), készpénz (7), gdpr (7), buszbaleset (7), kötelező (7), közlekedés (7), vienna life (7), fitch (7), vihar (7), idd (7), ingatlanár (7), startup (7), 4life direct (7), állami támogatás (6), munkahely (6), nn biztosító (6), allianz hungária (6), elektromos autó (6), köbe (6), munkaerőhiány (6), export (6), nemzeti agrárgazdasági kamara (6), lakástakarék (6), végtörlesztés (6), cafeteria (6), hozam (6), juttatás (6), belföldi turizmus (6), unicredit (6), lakossági megtakarítás (6), cafetéria (6), fagykár (6), kiskereskedelem (6), csőd (6), agrárbiztosítás (6), felügyelet (6), unit-linked (6), osztalék (6), fizetés (6), bróker (6), görögország (6), mezőgazdaság (6), adatvédelem (6), hitelminősítés (6), megújuló energia (6), közvetítés (6), hannover re (6), fhb (5), ajánlás (5), államadósság (5), mezőgazdasági biztosítás (5), költségvetés (5), világbank (5), mobilfizetés (5), biztosítási szektor (5), mastercard (5), nyesz (5), thm (5), bankráció (5), vienna life biztosító (5), ipari termelés (5), lakossági hitel (5), logisztika (5), big data (5), ingatlanbiztosítás (5), duna house (5), bér (5), gfk (5), új lakás (5), okostelefon (5), válság (5), személyi kölcsön (5), éghajlatváltozás (5), lízing (5), erste biztosító (5), összeolvadás (5), drágulás (5), am best (5), áremelkedés (5), síbiztosítás (5), otp nyugdíjpénztár (5), értékpapírosítás (5), átlagjövedelem (5), szerződési jog (5), szabályozás (5), signal (5), gender direktíva (5), black friday (5), századvég (4), internet (4), családi ház (4), európai bizottság (4), részvény (4), betegség (4), muisz (4), magyarország (4), biztosító (4), magán egészségügyi ellátás (4), németország (4), import (4), uber (4), iot (4), külföldi munkavállalás (4), orvoshiány (4), pandurics anett (4), aon (4), magán nyugdíjpénztár (4), klímavédelem (4), insurance europe (4), állampapír (4), egyesülés (4), datahouse (4), nfm (4), hálapénz (4), iais (4), hiány (4), húsvét (4), jégkár (4), mesterséges intelligencia (4), tbsz (4), drón (4), posta (4), adókedvezmény (4), mge (4), díjfizetés (4), aon benfield (4), bdo (4), varga mihály (4), biztosításközvetítés (4), kátyúkár (4), oktatás (4), egészségügyi ellátás (4), atradius (4), szlovákia (4), vienna insurance group (4), elnök (4), green holiday (4), uniqa biztosító zrt (4), jogsértés (4), kedvezményes áfa (4), tállai andrás (4), kárhányad (4), népességfogyás (4), kártérítés (4), ügyfélélmény (4), qbe (4), lloyds (4), végtörlesztésl (4), életbiztosítás nem-élet biztosítás (4), kátyú (4), birság (4), foglalkoztatottság (4), piaci részesedés (4), önkéntes nyugdíjpénztár (4), gyógyszer (4), közúti baleset (4), m&a (4), díjemelkedés (3), munkabér (3), eredmények (3), robot (3), webáruház (3), imf (3), limra (3), zöld kártya (3), cp contact (3), gyógyturizmus (3), revolut (3), korrupció (3), kátyúbiztosítás (3), fundamenta (3), online kereskedelem (3), ingatlanértékesítés (3), mabisz konferencia (3), pályázat (3), újautó-eladás (3), munkaerő (3), kibertámadás (3), bankbiztosítás (3), használt autó (3), bíróság (3), mikrobiztosítás (3), szolvencia ii (3), egészségpénztár (3), anglia (3), cib (3), hosszú hétvége (3), újlakás-építési piac (3), orfk (3), gilyén ágnes (3), autóeladás (3), veronai buszbaleset (3), átlagkereset (3), jelzáloghitel (3), adóbevallás (3), munkajövedelem (3), lakáseladás (3), államháztartási hiány (3), ausztria (3), n26 (3), gépjárműpark (3), cig pannónia biztosító (3), fogyasztási hitel (3), integráció (3), zurich (3), gvh (3), magánkórház (3), átlagéletkor (3), k&h biztos jövő index (3), budapest bank (3), eladás (3), nak (3), 2017 (3), elektromobilitás (3), magyar utazási irodák szövetsége (3), lakástakarékpénztár (3), dróntörvény (3), viszontbiztosító (3), lakásvásárlás (3), telenor (3), k&h bank (3), alapkezelő (3), pénziránytű alapítvány (3), nemzetgazdasági minisztérium (3), bankszámla (3), psd2 (3), aaa auto (3), y generáció (3), népesség (3), magyar bankszövetség (3), intrum justitia (3), erste bank (3), leépítés (3), befektetési alapok (3), mi (3), lakáhitel (3), biztosítási díj (3), teszt (3), létszámbővítés (3), trenkwalder (3), uniqa biztosító (3), dízelautó (3), utazás (3), újautó-értékesítés (3), vienna (3), it (3), autómegosztás (3), lakossági fogyasztás (3), hr (3), karácsony (3), kiadás (3), használtautó-import (3), alulbiztosított (3), bruttó átlagkereset (3), háztartás (3), amerika (3), carsharing (3), blokklánc (3), bankrendszer (3), mtÜ (3), lakásárak (3), államháztartás (3), díj (3), értékesítés (3), biztonság (3), interjú (3), jármű (3), szÉp-kártya (3), európai unió (3), online vásárlás (3), nyaralás (3), forint (3), hitelkártya (3), minimálbér (3), törlesztőrészlet (3), hitelintézeti szemle (3), szállodaépítés (3), facebook (3), mkb-pannónia (2), miniszterelnökség (2), eladósodás (2), green holidays (2), foglalkoztatás (2), toyota (2), ovb (2), halálos gázolás (2), pénz7 (2), ltp (2), vodafone (2), nagyváros (2), közlekedési baleset (2), készház (2), életszínvonal (2), paypal (2), bizalom (2), fedezet (2), vásárlóerő (2), kormányprogram (2), develor (2), áfa-csökkentés (2), vállalkozás (2), díjnövekedés (2), törlesztés (2), start-up (2), zsarolóvírus (2), táppénz (2), microsoft (2), agglomeráció (2), felszámolás (2), várható élettartam (2), omnibus (2), gépjármű-értékesítés (2), egészség (2), egyszerű bejelentés (2), társasház (2), bérleti díj (2), versenytörvény (2), eu-átlag (2), lopás (2), betét (2), capital economics (2), ipar (2), euróövezet (2), szerződés (2), üvegházhatás (2), központi költségvetés (2), fogyasztói ár (2), éves jövedelem (2), környezetvédelem (2), bankfiók (2), szegénység (2), nemzetgazdasági miniszter (2), alapkamat (2), újlakás-ár (2), bevándorlás (2), nemzeti fogyasztóvédelmi hatóság (2), biztosítótársaság (2), újlakás-építés (2), gépjárműpiac (2), szerződéses feltétel (2), hitelállomány (2), euro (2), árfolyam (2), theresa may (2), oroszország (2),  (2), enet (2), gazdaság (2), helyettesítési ráta (2), webkereskedelem (2), életjáradék (2), úti cél (2), terrorfenyegetettség (2), változó kamatozás (2), támogatás (2), régiós növekedés (2), előzetes adatok 2017 (2), autóbérlés (2), leányvállalatok (2), piktogram (2), upc (2), 2018 (2), ilo (2), ingatlannethu (2), deviza (2), utazási iroda (2), mobiltárca (2), nfsz (2), álláskereső (2), deloitte magyarország (2), fogyasztóvédelmi index (2), bdo magyarország (2), pew research center (2), cselekvési terv (2), deficit (2), nettó átlagkereset (2), közösségi finanszírozás (2), kárbejelentés (2), tesla (2), kötelező gépjármű-felelősségbiztosítás (2), ajándék (2), etikus életbiztosítás (2), dimenzió egyesület (2), statisztika (2), 2017-es év (2), forgalom (2), okos szemüveg (2), robotizáció (2), kamat (2), posta biztosító (2), termelés (2), energiahatékonyság (2), zöld energia (2), e-kereskedelem (2), bnp paribas cardif (2), cig emabit (2), automatizáció (2), okos telefon (2), energiafelhasználás (2), tűzkár (2), kiadások (2), egészsébiztosítás (2), használtautó-eladás (2), aig (2), tőzsde (2), lakásépítési boom (2), élelmiszer (2), mkb bank (2), dublin (2), régió (2), luxemburg (2), eu-támogatás (2), beutazás (2), portfoliohu konferencia (2), időjárás (2), waberer (2), magyar orvosi kamara (2), magánegészségügyi szolgáltatás (2), házasságkötés (2), bulinegyed (2), gdp-növekedés (2), acea (2), kerékpár (2), világgazdaság (2), németh dávid (2), magyar nemzeti bank (2), ipari termelői ár (2), magyar lízingszövetség (2), társadalombiztosítás (2), fhb csoport (2), átlag jövedelem (2), gépjárműkár (2), atm (2), who (2), külkereskedelmi többlet (2), bizalmi index (2), davos (2), mobiltelefon (2), adatkezelés (2), litvánia (2), nyugdíj-biztosítás (2), kiberbűnözés (2), kínai biztosítási szektor (2), jegybank (2), blockchain (2), horvátország (2), finanszírozás (2), dimenzió biztosító (2), pioneer (2), fejlődő országok (2), home office (2), Általános egészségbiztosító (2), unsar (2), eub (2), abi (2), agrár (2), önvezető autók (2), rekord (2), vállalati hitelezés (2), gyorsjelentés (2), európa (2), áfa (2), bűncselekmény (2), flottabiztosítás (2), ügyfélszolgálat (2), külkereskedelem (2), eljárás (2), generali-providencia (2), panaszkezelés (2), választás (2), olaszország (2), aegon magyarország (2), bankszektor (2), ukrajna (2), nrc marketingkutató és tanácsadó kft (2), fúzió (2), gyorshajtás (2), adójóváírás (2), baker tilly hungária (2), cotar (2), accenture (2), járműbiztosítás (2), informatika (2), airbnb (2), olasz (2), ipsos (2), mentőcsomag (2), felsőoktatás (2), pzu (2), kiskereskedelmi forgalom (2), kampány (2), tűzesetek (2), kid (2), vállalati hitel (2), blokkchain (2), kh (2), unió (2), clb (2), gyógyszeripar (2), anyagköltségalapanyagár (2), szigorítás (2), díjak (2), munkaerőköltség (2), nit hungary (2), autópiac (2), cyber (2), ekb (2), világgazdasági fórum (2), piac (2), szolgáltatás (2), közgyűlés (2), kárérték (2), határidők (2), biztos jövő index (2), ferma (2), dimenzió (2), terror (2), fenntarthatóság (2), garancia (2), coface (2), astra (2), ey (2), biztositashu (2), környezettudatosság (2), marketing (2), gki konjunktúraindex (2), social media (2), technológia (2), bnp paribas cardif biztosító (2), vásárlás (2), kölcsön (2), román (2), árfolyamgát (2), windisch lászló (2), lakástűz (2), magyar közút (2), díjnavigátor (2), bankbetét (2), biztosítás és kockázat (2), flotta (2), földrengés (2), thomas hladky (2), halálozás (2)
Rendezvényajánló
GDPR-EU-adatvédelmi rendelet - Minden cég életét, pénztárcáját érintő változás
Időpont:
2017.12.07 - 2017.12.07
Helyszín:
Budapest, Sugár Üzletközpont Rendezvénykomplexum, 1148 Örs vezér tere 24. (Mozi bejárat 2. emelet)
további információk