- Hirdetés -

Ijesztő részletek a Petya támadásról

|

Június végén számos rendszert ért kibertámadás Ukrajnában és más országokban. Az azóta eltelt időszak elemzései és az új kiderített részletek több olyan szakmai kérdést vetnek fel, amelyek az eddigi IT biztonsági szemléleteket is átalakíthatják. A rombolási szándék vezérelte támadást nagyon hosszú előkészítési folyamat előzte meg, amely így beláthatatlan mennyiségű információt szolgáltathatott a támadóknak. A támadás kiindulási pontjaként használt M.E.doc szervereihez már áprilisban hozzáfértek a kiberbűnözők, így több hónapon keresztül készíthették elő akciójukat.

 

A kártevőt az ESET biztonsági megoldásai Diskcoder.C néven azonosították (más néven ExPetr, PetrWrap, Petya vagy NotPetya). A támadást a M.E.doc adatszolgáltatási és iratkezelési programon keresztül hajtották végre, a kártevő tipikus zsarolóvírusnak álcázta magát és 300 dollárnak megfelelő bitcoint kért a titkosított adatok feloldásáért. A vizsgálat során kiderült, hogy a vírus alkotóinak szándéka nyilvánvalóan a rombolás volt, így mindent megtettek azért, hogy az adatok visszafejtésére ne kerülhessen sor. Az ESET szakembereinek véleménye szerint nagyon valószínű, hogy a támadók hozzáfértek az M.E.doc forráskódjához, és egy backdoor (hátsó ajtó) programot illesztettek a szoftver egy hivatalos moduljába – derül ki az ESET szakmai összefoglalójából.

 

Az ukrán kiberrendőrség hivatalos Facebook oldalán jelentette be, hogy a rendelkezésre álló információk alapján, a támadók a hivatalos ukrán számviteli szoftvert, az M.E.Doc programot használták a DiskCoder.C kártevő terjesztéséhez az akció kezdeti szakaszában. Azonban eddig nem derültek ki pontos részletek arról, hogyan tudták ezt véghez vinni a bűnözők. Az ESET kutatása szerint a kiberbűnözők egy igen jól rejtőzködő és kifinomult backdoor (hátsó ajtó) programot illesztettek az M.E.Doc egyik hivatalos moduljába, ehhez azonban hozzá kellett férniük a számviteli program forráskódjához.

 

A backdoor programmal fertőzött modult (ZvitPublishedObjects.dll.) a .NET Framework használatával készítették. Az 5 megabájtos fájl számos hivatalos kódot tartalmaz, amelyet más komponensek is meghívhattak, beleértve az M.E.Doc végrehajtó fájlját, az ezvit.exe-t is. A 2017-es frissítéseket megvizsgálva az ESET szakemberei legalább 3 frissítésben találták meg a backdoor modult:

 

10.01.175-10.01.176, kiadva április 14-én

10.01.180-10.01.181, kiadva május 15-én

10.01.188-10.01.189, kiadva június 22-én

 

Az XData fertőzés kitörése három nappal az első fent említett frissítés után történt, a DiskCoder.C terjedése pedig 5 nappal az utolsó (10.01.188-10.01.189) frissítés megjelenése után kezdődött. Érdekes adat, hogy az április 24. és május 10. között, illetve május 17. és június 21. között kiadott frissítések nem tartalmazták a backdoor programot.

 

 

Az EDRPOU számmal való visszaélés

 

Az Ukrajnában üzleti tevékenységet végző szervezetek rendelkeznek egy egyedi azonosítóval, az EDRPOU számmal. Ez kiemelten fontos a támadóknak: ha megszerzik egy vállalkozás EDRPOU számát, akkor pontosan be tudják azonosítani, hogy mely szervezetek használják a fertőzött modulokat, majd az akció céljától függően különféle taktikákkal támadhatják a cég számítógépes rendszerét.

 

Az M.E.Doc programot széles körben használják Ukrajnában, az EDRPOU adatai pedig megtalálhatók a szoftvert használó gépek alkalmazásadatai (application data) között. Az IsNewUpdate módba bejuttatott kód összegyűjt minden EDRPOU-val kapcsolatos információt az alkalmazásadatokból, begyűjti a proxy és levelező beállításokat, illetve az M.E.Doc programban található felhasználóneveket és jelszavakat.

 

Az ESET szakemberei ezért az javasolják, hogy az M.E.Doc szoftver felhasználói azonnal változtassák meg a proxy és az e-mail fiókokhoz tartozó jelszavakat!

 

A kártevő beírja a begyűjtött adatokat a Windows registry-be, a HKEY_CURRENT_USERSOFTWAREWC kulcsba, a Cred és Prx nevet használva, így ha ezek az bejegyzések megtalálhatók a számítógépen, akkor nagyon valószínű, hogy a backdoor programmal fertőzött modul futott, vagy jelenleg is fut a gépen.

 

A program egyik érdekes tulajdonsága, hogy a backdoor programmal fertőzött modul nem használ semmilyen külső szervert, amitől várhatna új parancsokat, vagy küldhetne hozzá különböző adatokat. (C&C). A modul az M.E.Doc program rendszeres frissítéseket kereső kérését használja, amely a hivatalos M.E.Doc szerverhez kapcsolódik (upd.me-doc.com[.]ua). Az egyetlen különbség a hivatalos lekérdezés és a fertőzött kód között az, hogy az utóbbi az összegyűjtött információt sütikbe (cookies) tárolva küldi el.

 

Az ESET szakemberei nem végeztek igazságügyi elemzést az M.E.Doc szerverén, azonban egy korábbi blogposztban már kiemelték, hogy vannak egyértelmű jelek a szerver fertőzöttségére. Gyanítható, hogy a támadók olyan programot telepítettek a szerverre, amely lehetővé teszi számukra, hogy különbséget tegyenek a fertőzött vagy tiszta gépekről érkező kérések között. Természetesen a támadók hozzáadták a fertőzött gépek irányításának lehetőségét is a programhoz: a kód fogad egy bináris objektumot (blob) a hivatalos M.E.Doc szervertől, dekódolja a Triple DES algoritmus révén, majd a GZip segítségével kitömöríti. Az eredmény egy XML fájl, amely számos szerverparancsot tartalmaz. Ez a távoli irányítási funkció a backdoor programot egy teljes értékű kiberkémkedési és szabotázs platformmá alakítja.

 

 

Következtetések

 

Az ESET elemzői szerint ez egy jól megtervezett és végrehajtott akció. A szakemberek szerint a támadók hozzáfértek az M.E.Doc forráskódjához, így volt idejük megismerni azt, majd megalkotni a valós támadáshoz szükséges backdoor programot. Az M.E.Doc teljes telepítői csomagja nagyjából 1,5 gigabájt, és a szakemberek jelenleg nem tudják kizárni, hogy nem tartalmaz beültetett backdoor programokat.

 

Az eset kapcsán számos kérdés is felmerül: mióta használják ezt a backdoor programot, a DiskCoder.C vagy a Win32/Filecoder.AESNI.C kártevőkön kívül milyen más vírusokat juttattak át a rendszeren, milyen más frissítési láncok lehetnek a bűnözők tulajdonában, amelyek megfertőztek rendszereket, de még nem használták fel őket?

- Hirdetés -

A KATEGÓRIA TOVÁBBI CIKKEI

Ők kapták idén a Hégető Honorka Díjakat

2024-ben összesen 72 videós és 11 fotós nevezés érkezett az RTL korábbi szerkesztő-riportere, a 2001-ben elhunyt Hégető Honorka emlékére létrehozott pályázatra. A zsűri hat pályaművet díjazott, amelyek többek között a magyarországi iskolarendszer helyzetét, az...

Összecsaptak Európa legjobb e-sportolói

Százezer euró – ennyi volt az összdíjazása a Deutsche Telekom hétvégén lezárult e-sport bajnokságának, a T-esport Bajnokságnak. Az online eseményeken és a Budapesten, a Telekom PlayIT Show keretében megrendezett döntőben a legjobb Counter-Strike 2,...

Black Friday – így vásárolhatunk biztonságosan

Akkor is kaphatunk drága, utánvételes csomagot, ha nem rendeltünk semmit – de nem csak ezzel a módszerrel csalhatják ki a pénzünket az év végi vásárlási szezonban. Karácsony közeledtével egyre többen választják az online rendelés...

Extra fellépőkkel jön a Budapest Park első téli fesztiválja

Éjszakába nyúló fesztiválozásra számíthatnak azok, akik az ünnepek előtt egy hatalmas bulival zárnák le a 2024-es évet. A Budapest Park december 20-án és 21-én első alkalommal rendezi meg téli fesztiválját, a Winterfestet az MVM...

Csak átmeneti a megtorpanás az elektromos autók piacán

Lassulás tapasztalható idén a tisztán elektromos, hibrid és plug-in járművek (EV) iránti globális kereslet növekedésében — derül ki az EY 28 ország 19 000 fogyasztójának megkérdezésével készült nemzetközi felméréséből. Az elektromobilitás előretörése miatt a...

Kiderült, melyik a világ legnépszerűbb autója

A Toyota Corolla hosszú éveken át őrizte a világ legkelendőbb autójának címét, évről évre világszerte a legnagyobb darabszámban értékesített új autónak bizonyulva, összesített eladásban pedig egyetlen autómárka egyetlen modellje sem tud a tizenkettedik generációnál...

Az egyik leghíresebb karácsonyi dal történetét meséli el az Erste reklámfilmje

Idei karácsonyi reklámjával az Erste Csoport bemutatja a Csendes éj című karácsonyi dal születését, ami a legtöbbek számára a reményt és az összetartozást jelenti – még kétszáz évvel azután is, hogy először elhangzott. „Mindenki...

Jövőre felpöröghet az ingatlanpiac

A szektor idei, visszafogott eredményei ellenére a jövő évi kilátások már biztatóak; 2024-ben elérte a mélypontot a piac, de megkezdődött a visszarendeződés. A töretlen lendülettel fejlődő hotelpiac mellett, a ma még gyengélkedő lakóingatlan-fejlesztések prognózisai...

Ilyen autóra elég a munkáshitel

A magyar fiatalok munkába állását és anyagi stabilitását segítő, kamatmentes, szabad felhasználású munkáshitel a jogszabálytervezet szerint 4 millió forintig igényelhető. A money.hu és a Használtautó.hu szakértői közösen tekintették át, hogy az összeg milyen, akár...

A vártnál élénkebb az év végi kgfb-kampány

Az eddigi adatok alapján a vártnál aktívabban alakul az idei kgfb-kampány, melynek során az érintett több mint 400 ezer személyautónak akár 15 százaléka is lecserélheti meglévő kgfb-szerződését. Mivel a felmondási határidő, december 1-je idén...
- Hirdetés -

Legolvasottabb

MI-vel tuningolt tévések

A hasznosításhoz szükséges tudás hiánya, a munkatársak aggályai és ellenállása – ezek a legnagyobb visszatartó erők a tévétársaságok körében a mesterséges intelligencia bevezetése kapcsán a Caretta Research kutatása szerint. A technológia már ott van...

Ők kapták idén a Hégető Honorka Díjakat

2024-ben összesen 72 videós és 11 fotós nevezés érkezett az RTL korábbi szerkesztő-riportere, a 2001-ben elhunyt Hégető Honorka emlékére létrehozott pályázatra. A zsűri hat pályaművet díjazott, amelyek többek között a magyarországi iskolarendszer helyzetét, az...

Összecsaptak Európa legjobb e-sportolói

Százezer euró – ennyi volt az összdíjazása a Deutsche Telekom hétvégén lezárult e-sport bajnokságának, a T-esport Bajnokságnak. Az online eseményeken és a Budapesten, a Telekom PlayIT Show keretében megrendezett döntőben a legjobb Counter-Strike 2,...

Black Friday – így vásárolhatunk biztonságosan

Akkor is kaphatunk drága, utánvételes csomagot, ha nem rendeltünk semmit – de nem csak ezzel a módszerrel csalhatják ki a pénzünket az év végi vásárlási szezonban. Karácsony közeledtével egyre többen választják az online rendelés...

Extra fellépőkkel jön a Budapest Park első téli fesztiválja

Éjszakába nyúló fesztiválozásra számíthatnak azok, akik az ünnepek előtt egy hatalmas bulival zárnák le a 2024-es évet. A Budapest Park december 20-án és 21-én első alkalommal rendezi meg téli fesztiválját, a Winterfestet az MVM...

Don't Miss

Új irodába költözött a Madhouse

A hirdetési felületek úttörőjeként ismert Madhouse új irodába költözött, hogy egy tágasabb, modernebb környezetben tudjon működni. A költözést a folyamatos növekedés indokolta, hiszen az eddigi iroda már szűknek bizonyult a bővülő csapat számára. Az...

Palik László: Ez a legkomolyabb formátum, amivel valaha dolgoztam

Hétfő este 21:20-kor visszatér a TV2 képernyőjén a világ egyik legismertebb gameshow-ja, a Legyen Ön is milliomos!, Palik László műsorvezetésével. A legendás televíziós ma reggel a Mokkában mesélt a forgatásokról, a formátumról és az...

Újra a Hello Agency csapatát erősíti Zsótér Anna

A Hello Agency egyik meghatározó szakembere, Zsótér Anna Ügyfélkapcsolati Igazgató pozícióban csatlakozik újra a csapathoz. Anna, aki már 10 éve erősíti a Hello Agency-t, két gyermekkel töltött otthoni időszakát követően tér vissza, miközben az...

Megalakult a VML Hungary új vezetése

Újabb mérföldkőhöz érkezett a hazai Wunderman Thompson és VMLY&R egyesüléséből idén januárban megalakult VML Hungary. Az összekapcsolt márkaélmények élvonalában működő ügynökség mára már minden munkafolyamatában egységet képvisel, közös csapattal, közös irodában. Az összeolvadási folyamat...

Tényleg rámegy a fiatalok egészsége a TikTokozásra

TikTok-videók hatására a fiatalok közel fele hajlamos diagnosztizálni magát vagy másokat nem létező, kitalált mentális betegséggel – állapította meg a Nemzeti Média- és Hírközlési Hatóság (NMHH) középiskolások és egyetemisták bevonásával készített kutatása. A tanulmány...