Egyre több az ijesztő részlet a Petya támadás hátteréről

 2017. július 11., kedd 9:30
A A
Június végén számos rendszert ért kibertámadás Ukrajnában és más országokban. Az azóta eltelt időszak elemzései és az új kiderített részletek több olyan szakmai kérdést vetnek fel, amelyek az eddigi IT biztonsági szemléleteket is átalakíthatják. A rombolási szándék vezérelte támadást nagyon hosszú előkészítési folyamat előzte meg, amely így beláthatatlan mennyiségű információt szolgáltathatott a támadóknak. A támadás kiindulási pontjaként használt M.E.doc szervereihez már áprilisban hozzáfértek a kiberbűnözők, így több hónapon keresztül készíthették elő akciójukat. Az ESET szakmai összefoglalója:

A kártevőt az ESET biztonsági megoldásai Diskcoder.C néven azonosították (más néven ExPetr, PetrWrap, Petya vagy NotPetya). A támadást a M.E.doc adatszolgáltatási és iratkezelési programon keresztül hajtották végre, a kártevő tipikus zsarolóvírusnak álcázta magát és 300 dollárnak megfelelő bitcoint kért a titkosított adatok feloldásáért. A vizsgálat során kiderült, hogy a vírus alkotóinak szándéka nyilvánvalóan a rombolás volt, így mindent megtettek azért, hogy az adatok visszafejtésére ne kerülhessen sor. Az ESET szakembereinek véleménye szerint nagyon valószínű, hogy a támadók hozzáfértek az M.E.doc forráskódjához, és egy backdoor (hátsó ajtó) programot illesztettek a szoftver egy hivatalos moduljába.

Az ukrán kiberrendőrség hivatalos Facebook oldalán jelentette be, hogy a rendelkezésre álló információk alapján, a támadók a hivatalos ukrán számviteli szoftvert, az M.E.Doc programot használták a DiskCoder.C kártevő terjesztéséhez az akció kezdeti szakaszában. Azonban eddig nem derültek ki pontos részletek arról, hogyan tudták ezt véghez vinni a bűnözők. Az ESET kutatása szerint a kiberbűnözők egy igen jól rejtőzködő és kifinomult backdoor (hátsó ajtó) programot illesztettek az M.E.Doc egyik hivatalos moduljába, ehhez azonban hozzá kellett férniük a számviteli program forráskódjához.

A backdoor programmal fertőzött modult (ZvitPublishedObjects.dll.) a .NET Framework használatával készítették. Az 5 megabájtos fájl számos hivatalos kódot tartalmaz, amelyet más komponensek is meghívhattak, beleértve az M.E.Doc végrehajtó fájlját, az ezvit.exe-t is. A 2017-es frissítéseket megvizsgálva az ESET szakemberei legalább 3 frissítésben találták meg a backdoor modult:

• 10.01.175-10.01.176, kiadva április 14-én
• 10.01.180-10.01.181, kiadva május 15-én
• 10.01.188-10.01.189, kiadva június 22-én

Az XData fertőzés kitörése három nappal az első fent említett frissítés után történt, a DiskCoder.C terjedése pedig 5 nappal az utolsó (10.01.188-10.01.189) frissítés megjelenése után kezdődött. Érdekes adat, hogy az április 24. és május 10. között, illetve május 17. és június 21. között kiadott frissítések nem tartalmazták a backdoor programot.

Az EDRPOU számmal való visszaélés

Az Ukrajnában üzleti tevékenységet végző szervezetek rendelkeznek egy egyedi azonosítóval, az EDRPOU számmal. Ez kiemelten fontos a támadóknak: ha megszerzik egy vállalkozás EDRPOU számát, akkor pontosan be tudják azonosítani, hogy mely szervezetek használják a fertőzött modulokat, majd az akció céljától függően különféle taktikákkal támadhatják a cég számítógépes rendszerét. 

Az M.E.Doc programot széles körben használják Ukrajnában, az EDRPOU adatai pedig megtalálhatók a szoftvert használó gépek alkalmazásadatai (application data) között. Az IsNewUpdate módba bejuttatott kód összegyűjt minden EDRPOU-val kapcsolatos információt az alkalmazásadatokból, begyűjti a proxy és levelező beállításokat, illetve az M.E.Doc programban található felhasználóneveket és jelszavakat.

Az ESET szakemberei ezért az javasolják, hogy az M.E.Doc szoftver felhasználói azonnal változtassák meg a proxy és az e-mail fiókokhoz tartozó jelszavakat!

A kártevő beírja a begyűjtött adatokat a Windows registry-be, a HKEY_CURRENT_USERSOFTWAREWC kulcsba, a Cred és Prx nevet használva, így ha ezek az bejegyzések megtalálhatók a számítógépen, akkor nagyon valószínű, hogy a backdoor programmal fertőzött modul futott, vagy jelenleg is fut a gépen.

A program egyik érdekes tulajdonsága, hogy a backdoor programmal fertőzött modul nem használ semmilyen külső szervert, amitől várhatna új parancsokat, vagy küldhetne hozzá különböző adatokat. (C&C). A modul az M.E.Doc program rendszeres frissítéseket kereső kérését használja, amely a hivatalos M.E.Doc szerverhez kapcsolódik (upd.me-doc.com[.]ua). Az egyetlen különbség a hivatalos lekérdezés és a fertőzött kód között az, hogy az utóbbi az összegyűjtött információt sütikbe (cookies) tárolva küldi el.

Az ESET szakemberei nem végeztek igazságügyi elemzést az M.E.Doc szerverén, azonban egy korábbi blogposztban már kiemelték, hogy vannak egyértelmű jelek a szerver fertőzöttségére. Gyanítható, hogy a támadók olyan programot telepítettek a szerverre, amely lehetővé teszi számukra, hogy különbséget tegyenek a fertőzött vagy tiszta gépekről érkező kérések között. Természetesen a támadók hozzáadták a fertőzött gépek irányításának lehetőségét is a programhoz: a kód fogad egy bináris objektumot (blob) a hivatalos M.E.Doc szervertől, dekódolja a Triple DES algoritmus révén, majd a GZip segítségével kitömöríti. Az eredmény egy XML fájl, amely számos szerverparancsot tartalmaz. Ez a távoli irányítási funkció a backdoor programot egy teljes értékű kiberkémkedési és szabotázs platformmá alakítja.

Következtetések

Az ESET elemzői szerint ez egy jól megtervezett és végrehajtott akció. A szakemberek szerint a támadók hozzáfértek az M.E.Doc forráskódjához, így volt idejük megismerni azt, majd megalkotni a valós támadáshoz szükséges backdoor programot. Az M.E.Doc teljes telepítői csomagja nagyjából 1,5 gigabájt, és a szakemberek jelenleg nem tudják kizárni, hogy nem tartalmaz beültetett backdoor programokat.

Az eset kapcsán számos kérdés is felmerül: mióta használják ezt a backdoor programot, a DiskCoder.C vagy a Win32/Filecoder.AESNI.C kártevőkön kívül milyen más vírusokat juttattak át a rendszeren, milyen más frissítési láncok lehetnek a bűnözők tulajdonában, amelyek megfertőztek rendszereket, de még nem használták fel őket?

A kibertámadás részleteiről folyamatosan frissülő szakértői anyagokat a WeliveSecurity blogon olvashatnak

Előző cikk   Következő cikk    Nyomtatás    Küldés
Ezt már olvasta?

Legközelebb már nem ússzák meg olcsón a biztosítók

Habár a közelmúltban két zsarolóvírus is letarolta a fél világot, a biztosítók egyelőre...

Hírlevél
Iratkozzon fel hírlevelünkre és értesüljön első kézből az ágazat híreiről!

E-mail címe:

Címkék
díjbevétel (96), mnb (96), kgfb (93), megtakarítás (92), öngondoskodás (89), nyugdíj (81), életbiztosítás (75), mabisz (72), katasztrófa (60), fogyasztóvédelem (60), bank (57), viszontbiztosítás (52), lakásbiztosítás (49), gépjármű-biztosítás (48), generali (46), pszáf (44), szolvencia (43), biztosítás (42), ingatlancom (41), káresemény (41), eu (40), hitelezés (38), elemzés (38), utasbiztosítás (36), nem-életbiztosítás (32), bírság (32), swiss re (31), felmérés (30), baleseti adó (30), románia (29), lakásár (29), munich re (28), viharkár (27), kockázat (26), bankraciohu (25), egészségbiztosítás (24), kutatás (23), reálhozam (23), casco (22), hitel (21), felelősségbiztosítás (20), klímaváltozás (19), hitelminősítő (19), brexit (19), befektetés (18), eiopa (18), allianz (18), union (18), devizahitel (18), vagyonbiztosítás (17), k&h (17), lakáshitel (17), roland berger (17), csalás (17), természeti katasztrófa (16), kiberbiztonság (16), groupama (16), pénzügyi szektor (16), magánnyugdíj (16), konferencia (16), autó (15), nyereség (15), balesetbiztosítás (15), cea (14), kkv (14), eb (14), felvásárlás (14), cig pannonia (14), nem-élet biztosítás (14), aegon (14), ing (14), jelentés (14), fbamsz (13), kína (13), tőkemegfelelés (13), nyugdíjbiztosítás (13), gépjármű (12), gépjármű biztosítás (12), stressz-teszt (12), genertel (12), használtautó (12), uniqa (12), ngm (12), k&h biztosító (11), kárigény (11), baleset (11), telematika (11), hamisítás (11), usa (11), axa (11), fintech (11), hamisítás elleni nemzeti testület (11), hent (11), s&p (10), alkusz (10), groupama biztosító (10), villámkár (10), aviva (10), otp bank (9), kiberbűnözők (9), árvíz (9), kiberbűnűzés (9), vig (9), generali csoport (9), ingatlan (9), egészségügy (9), ksh (9), nn (9), mobil (8), netriskhu (8), kötvény (8), betörés (8), moodys (8), hurrikán (8), bamosz (8), verona (8), cig pannónia (8), alulbiztosítás (8), kórház (8), közvetítő (8), ügynök (7), pénztár (7), innováció (7), lakás (7), erste (7), fitch (7), pwc (7), buszbaleset (7), akvizíció (7), 4life direct (7), eset (7), mkb (7), ey magyarország (7), digitalizáció (7), autóipar (7), vihar (7), otp (7), kaszab attila (7), adósság (7), kiberbiztosítás (7), gdp (7), eredmény (7), felügyelet (6), agrárbiztosítás (6), unit-linked (6), hitelminősítés (6), insurtech (6), köbe (6), államkötvény (6), görögország (6), allianz hungária (6), adó (6), közvetítés (6), fagykár (6), deloitte (6), kpmg (6), hannover re (6), munkahely (6), megújuló energia (6), végtörlesztés (6), fejlesztés (6), online (5), biztosítási szektor (5), vienna life (5), big data (5), nemzeti agrárgazdasági kamara (5), gender direktíva (5), gfk (5), közlekedés (5), építőipar (5), munkanélküliség (5), am best (5), lakáspiac (5), vagyon (5), union biztosító (5), tanulmány (5), értékpapírosítás (5), szerződési jog (5), adatvédelem (5), gdpr (5), jövedelem (5), bróker (5), netrisk (5), csőd (5), századvég (4), mastercard (4), elnök (4), lengyelország (4), signal (4), vienna life biztosító (4), birság (4), insurance europe (4), posta (4), csok (4), határidő (4), iot (4), életbiztosítás nem-élet biztosítás (4), lakástakarék (4), m&a (4), green holiday (4), végtörlesztésl (4), uniqa biztosító zrt (4), összeolvadás (4), nn biztosító (4), államadósság (4), unicredit (4), startup (4), qbe (4), aon (4), közúti baleset (4), iais (4), lloyds (4), válság (4), profit (4), aon benfield (4), vienna insurance group (4), éghajlatváltozás (4), kárhányad (4), integráció (3), aaa auto (3), oktatás (3), mesterséges intelligencia (3), betegség (3), ingatlanbiztosítás (3), black friday (3), k&h bank (3), lízing (3), hitelintézeti szemle (3), gilyén ágnes (3), szolvencia ii (3), drón (3), limra (3), magyarország (3), atradius (3), amerika (3), albérlet (3), cp contact (3), alapkezelő (3), díjfizetés (3), pénziránytű alapítvány (3), szlovákia (3), kötelező (3), biztosító (3), lakáhitel (3), mabisz konferencia (3), uniqa biztosító (3), elektromobilitás (3), nav (3), nfm (3), kár (3), biztonság (3), alulbiztosított (3), fhb (3), jármű (3), mi (3), vienna (3), bankkártya (3), blokklánc (3), bdo (3), nyugdíjpénztár (3), cafeteria (3), mikrobiztosítás (3), gyógyszer (3), trenkwalder (3), erste biztosító (3), befektetési alapok (3), létszámbővítés (3), eredmények (3), foglalkoztatottság (3), k&h biztos jövő index (3), nyaralás (3), gki (3), cig pannónia biztosító (3), internet (3), oecd (3), síbiztosítás (3), nak (3), viszontbiztosító (3), adókedvezmény (3), zöld kártya (3), thomas hladky (2), windisch lászló (2), kerékpár (2), dimenzió egyesület (2), mobilfizetés (2), önvezető autók (2), járműbiztosítás (2), olasz (2), határidők (2), n26 (2), pénz7 (2), clb (2), mentőcsomag (2), pzu (2), németország (2), blokkchain (2), magyar bankszövetség (2), földrengés (2), anglia (2), aig (2), szabályozás (2), nemzetgazdasági minisztérium (2), díjak (2), dróntörvény (2), rekord (2), automatizáció (2), bíróság (2), munkaerő (2), airbnb (2), uber (2), muisz (2), idd (2), unió (2), árfolyamgát (2), aegon magyarország (2), személyi kölcsön (2), omnibus (2), fogyasztóvédelmi index (2), nrc marketingkutató és tanácsadó kft (2), eljárás (2), astra (2), világbank (2), régió (2), román (2), kárbejelentés (2), bdo magyarország (2), terrorfenyegetettség (2), deloitte magyarország (2), ügyfélszolgálat (2), pioneer (2), portfoliohu konferencia (2), Általános egészségbiztosító (2), informatika (2), fenntarthatóság (2), cotar (2), környezettudatosság (2), piac (2), veronai buszbaleset (2), it (2), social media (2), nemzeti fogyasztóvédelmi hatóság (2), biztosítási piac (2), garancia (2), biztosítótársaság (2), bankszektor (2), fizetés (2), agrár (2), tűzesetek (2), fhb csoport (2), marketing (2), biztosítási díj (2), fejlődő országok (2), ovb (2), korrupció (2), hr (2), atm (2), bűncselekmény (2), luxemburg (2), interjú (2), leépítés (2), zsarolóvírus (2), díj (2), who (2), alapkamat (2), eub (2), ingatlanpiac (2), cyber (2), facebook (2), ukrajna (2), bankráció (2), abi (2), bankbiztosítás (2), flottabiztosítás (2), generali-providencia (2), cig (2), panaszkezelés (2), olaszország (2), dimenzió biztosító (2), technológia (2), unsar (2), ferma (2), kiberbűnözés (2), thm (2), európa (2), gyorshajtás (2), ajánlás (2), paypal (2), egészsébiztosítás (2), budapest bank (2), biztosításközvetítés (2), lopás (2), terror (2), microsoft (2), ausztria (2), infláció (2), baker tilly hungária (2), drágulás (2), kárérték (2), kölcsön (2), ingatlannethu (2), 2017 (2), bnp paribas cardif biztosító (2), kínai biztosítási szektor (2), jégkár (2), jogsértés (2), dublin (2), blockchain (2), értékesítés (2), ey (2), vállalkozás (2), eurostat (2), biztosítás és kockázat (2), pandurics anett (2), zurich (2), gyorsjelentés (2), mezőgazdaság (2), kampány (2), díjnavigátor (2), accenture (2), gazdaság (2), bizalom (2)
Rendezvényajánló
XIV. Biztosításszakmai Konferencia és Kiállítás - FBAMSZ
Időpont:
2017.10.01 - 2017.10.03
Helyszín:
Hotel Azúr, Siófok
további információk