Як заражалася Україна: хронологія найбільшої в історії кібератаки
День 27 червня 2017 року почався для команди Talos, підрозділу Cisco, що аналізує загрози інформаційній безпеці, з повідомлення від співробітників в Україні. Вони просили про допомогу: відбулася масована атака з використанням програм для вимагання викупу — ransomware.
Зловмисники поширили свій код серед комп'ютерних систем користувачів найпопулярнішого в Україні програмного забезпечення для бухгалтерської звітності. Вони вирішили використати цю вразливість для шифрування критичних файлів та жорстких дисків без можливості дешифрування.
З моменту атак Black Energy наприкінці 2015 року Talos співпрацює з публічними та приватними організаціями в Україні в рамках протидії кібернетичним нападам.
Раніше Talos уже доводилося допомагати організаціям, проти яких були вжиті деструктивні заходи. Тоді до системи внесли шкідливий код для знищення даних, схожий на Black Energy. Однак після його блокування зловмисники повернулися до варіанту ransomware, намагаючись перешкодити діяльності організацій.
Пам'ятаючи про останній випадок, фахівці майже одразу зрозуміли: події, які відбуваються цього разу, є чимось більшим, ніж звичайна ransomware-атака.
Із самого початку стало зрозуміло: хоча більшість попередніх випадків були в Україні, під вплив шкідливого ПЗ потрапили організації, які не мали прямого зв'язку з цією країною. Через вочевидь великий масштаб події дослідники й інженери Talos з усього світу об'єдналися для боротьби з новою загрозою.
Атака
Було з'ясовано, що центром активності стало українське бухгалтерське програмне забезпечення M.E.Doc. Як і у випадку з WannaCry, були повідомлення про поштовий вектор атаки. Talos зробив висновок, що при поширенні шкідливого коду Nyetya всі інсталяції були отримані через систему апдейтів M.E.Doc.
M.E.Doc — популярне програмне забезпечення, створене українською компанією "Інтелект-сервіс". Програма використовується для взаємодії з українськими податковими системами. На момент виявлення джерела загрози фахівці мали змогу зв'язатися з розробниками M.E.Doc та запропонувати їм допомогу.
У M.E.Doc пристали на цю пропозицію. В рамках глобальної реакції Cisco на подію ввечері 29 червня до України прибули два фахівці Cisco з реагування на інциденти. Ще один фахівець підтримував розслідування з Великої Британії.
Співробітники M.E.Doc надали доступ до своїх інженерів та адміністраторів, які ознайомили команду з системою та надали доступ до лог-файлів і коду. Вони також погодилися поділитися результатами дослідження.
У кожному дослідженні Cisco в будь-якій точці світу команді реагування надається спеціальний ресурс Talos для координування аналізу даних, залучення реверсивної інженерії та аналізу телеметрії. При цьому дві команди працюють одночасно. Такий досвід був повною мірою використаний і в цьому випадку.
На ранньому етапі дослідження було виявлено шкідливий скрипт за адресою http://www.me-doc[.]com[.]ua/TESTUpdate/medoc_online.php. Часова позначка файлу — 31 травня 2017 року, 14:45. Як тільки команда з реагування отримала доступ до логів і додаткових даних, їх завантажили до Talos.
Це відкрило 24-годинний цикл, і коли в Україні настав вечір, команда реагування Cisco розповіла Talos про результати. Коли українці збиралися на роботу, Talos уже брифував команду реагування Cisco, звітуючи про свої нічні знахідки.
Майже одразу були визначені індикатори проблеми. Під час брифінгу о третій ранку 1 липня команда Talos проаналізувала ключові докази, знайдених у логах.
Фахівці виявили, що невідомі зловмисники викрали облікові дані адміністратора M.E.Doc. Вони увійшли на сервер, отримали root-привілеї та переконфігурували сервер NGINX так, що будь-який трафік до upd.me-doc.com.ua перенаправлявся у режимі проксі через апдейт-сервер до хоста з IP-адресою 176.31.182.167.
Подальше дослідження виявило, що цей сервер був стертий того ж дня о 19:46 UTC (всесвітній координований час). Також спеціалісти побачили маркери періоду активної фази інфікування: з 9:11:59 UTC до 12:31:12 UTC. Поза межами цього часового проміжку нові випадки інфікування організацій не були помічені.
27 червня о 12:33 UTC зловмисники повернули конфігурацію NGINX до її оригінального стану. Крім цього, залишився лише один вартий уваги індикатор — латвійська IP-адреса, яка від'єдналася від системи о 2:11:07 UTC.
У M.E.Doc підтверджують, що ні використаний зловмисниками сервер, ні ця IP-адреса не мають жодного стосунку до їхньої компанії.
На цьому етапі фахівці зрозуміли, що зловмисники отримали доступ до більшої частини мережі та систем M.E.Doc за допомогою компрометованих облікових даних. Нез'ясованими залишалися питання, що вони робили під час контролю сервера оновлень і як було надіслано шкідливе програмне забезпечення.
"Діра" для витоку даних
Зараз фахівці Cisco уже можуть підтвердити висновок розробника антивірусів ESET: до програмного забезпечення M.E.Doc було внесено бекдор — дефект алгоритму, який дозволяє отримати несанкціонований доступ до даних. Він дозволив зловмисникам збирати дані, завантажувати і виконувати довільний код.
Завдяки бекдору код "витягує" з інфікованих комп'ютерів назву та ЄДРПОУ кожної організації, а також пароль проксі-сервера, SMTP-хост, ім'я користувача, паролі та email-адреси. Для надсилання цієї інформації він кожні дві хвилини зв'язується з адресою http://upd.me-doc.com.ua/last.ver?rnd=<GUID>.
Що далі
Для початку слід зібрати всю інформацію. Раніше Talos спостерігав зловмисників, які націлювалися на українські установи, намагаючись використати вайпер Black Energy для знищення даних, а у випадку невдалої спроби переходили на варіант з вірусом-здирником.
Фахівці також з високою імовірністю встановили, що наміри зловмисників, які стоять за Nyetya, руйнівні, а не економічно вмотивовані. Тобто напад був виконаний не заради вимагання грошей, а з руйнівними цілями.
Коли спеціалісти підтвердили, що вектором інсталяції був M.E.Doc, стало зрозуміло, що цілями атаки були Україна й організації, які ведуть тут бізнес. Напад був великим: кіберполіція підтверджує понад 2 тис компаній, що постраждали.
Команда Cisco з дослідження та ліквідації загроз занепокоєна тим, що зловмисники під час атаки "спалили" значний ресурс. Вони скомпрометували як свій бекдор у програмному забезпеченні M.E.Doc, так і здатність маніпулювати конфігурацією сервера оновлень.
Це означає, що вони відмовилися від можливості доставляти довільний код у 80% українських компаній, які використовують M.E.Doc як бухгалтерське ПЗ. Це істотна втрата оперативного потенціалу. З цього можна зробити висновок: скоріш за все, зловмисники мають або можуть легко отримати аналогічні можливості.
Виходячи з цього, Talos радить обережно ставитися до програмного забезпечення, подібного до M.E.Doc, та інших систем в Україні, оскільки вони є пріоритетними цілями для осіб, які реалізують загрози високого рівня виконання.
Для захисту фахівці рекомендують надавати таким системам окрему мережеву архітектуру, постійно моніторити ці системи на предмет загроз, надавати їм такий рівень доступу, який абсолютно необхідний для ведення бізнесу.
Патчі та оновлення повинні бути пріоритетними для цих систем. Клієнтам рекомендовано перейти на Windows 10 відповідно до інструкцій від Microsoft. Додаткові вказівки щодо базової лінії безпеки мережі також доступні на сайті Cisco.
Метт Олні, менеджер відділу аналітики і розробки Talos Threat Intelligence
Ів Йонан, старший інженер-дослідник в Talos Security Intelligence and Research Group в Cisco
Девід Мейнор, технічний директор Cisco Talos
Олександр Ніколіч, учасник команди Cisco