A kártevõt az ESET biztonsági megoldásai Diskcoder.C néven azonosították (más néven ExPetr, PetrWrap, Petya vagy NotPetya). A támadást a M.E.doc adatszolgáltatási és iratkezelési programon keresztül hajtották végre, a kártevõ tipikus zsarolóvírusnak álcázta magát és 300 dollárnak megfelelõ bitcoint kért a titkosított adatok feloldásáért. A vizsgálat során kiderült, hogy a vírus alkotóinak szándéka nyilvánvalóan a rombolás volt, így mindent megtettek azért, hogy az adatok visszafejtésére ne kerülhessen sor. Az ESET szakembereinek véleménye szerint nagyon valószínû, hogy a támadók hozzáfértek az M.E.doc forráskódjához, és egy backdoor (hátsó ajtó) programot illesztettek a szoftver egy hivatalos moduljába.
Az ukrán kiberrendõrség hivatalos Facebook oldalán jelentette be, hogy a rendelkezésre álló információk alapján, a támadók a hivatalos ukrán számviteli szoftvert, az M.E.Doc programot használták a DiskCoder.C kártevõ terjesztéséhez az akció kezdeti szakaszában. Azonban eddig nem derültek ki pontos részletek arról, hogyan tudták ezt véghez vinni a bûnözõk. Az ESET kutatása szerint a kiberbûnözõk egy igen jól rejtõzködõ és kifinomult backdoor (hátsó ajtó) programot illesztettek az M.E.Doc egyik hivatalos moduljába, ehhez azonban hozzá kellett férniük a számviteli program forráskódjához.
A backdoor programmal fertõzött modult (ZvitPublishedObjects.dll.) a .NET Framework használatával készítették. Az 5 megabájtos fájl számos hivatalos kódot tartalmaz, amelyet más komponensek is meghívhattak, beleértve az M.E.Doc végrehajtó fájlját, az ezvit.exe-t is. A 2017-es frissítéseket megvizsgálva az ESET szakemberei legalább 3 frissítésben találták meg a backdoor modult:
• 10.01.175-10.01.176, kiadva április 14-én
• 10.01.180-10.01.181, kiadva május 15-én
• 10.01.188-10.01.189, kiadva június 22-én
Az XData fertõzés kitörése három nappal az elsõ fent említett frissítés után történt, a DiskCoder.C terjedése pedig 5 nappal az utolsó (10.01.188-10.01.189) frissítés megjelenése után kezdõdött. Érdekes adat, hogy az április 24. és május 10. között, illetve május 17. és június 21. között kiadott frissítések nem tartalmazták a backdoor programot.
Az EDRPOU számmal való visszaélés
Az Ukrajnában üzleti tevékenységet végzõ szervezetek rendelkeznek egy egyedi azonosítóval, az EDRPOU számmal. Ez kiemelten fontos a támadóknak: ha megszerzik egy vállalkozás EDRPOU számát, akkor pontosan be tudják azonosítani, hogy mely szervezetek használják a fertõzött modulokat, majd az akció céljától függõen különféle taktikákkal támadhatják a cég számítógépes rendszerét.
Az M.E.Doc programot széles körben használják Ukrajnában, az EDRPOU adatai pedig megtalálhatók a szoftvert használó gépek alkalmazásadatai (application data) között. Az IsNewUpdate módba bejuttatott kód összegyûjt minden EDRPOU-val kapcsolatos információt az alkalmazásadatokból, begyûjti a proxy és levelezõ beállításokat, illetve az M.E.Doc programban található felhasználóneveket és jelszavakat.
Az ESET szakemberei ezért az javasolják, hogy az M.E.Doc szoftver felhasználói azonnal változtassák meg a proxy és az e-mail fiókokhoz tartozó jelszavakat!
A kártevõ beírja a begyûjtött adatokat a Windows registry-be, a HKEY_CURRENT_USERSOFTWAREWC kulcsba, a Cred és Prx nevet használva, így ha ezek az bejegyzések megtalálhatók a számítógépen, akkor nagyon valószínû, hogy a backdoor programmal fertõzött modul futott, vagy jelenleg is fut a gépen.
A program egyik érdekes tulajdonsága, hogy a backdoor programmal fertõzött modul nem használ semmilyen külsõ szervert, amitõl várhatna új parancsokat, vagy küldhetne hozzá különbözõ adatokat. (C&C). A modul az M.E.Doc program rendszeres frissítéseket keresõ kérését használja, amely a hivatalos M.E.Doc szerverhez kapcsolódik (upd.me-doc.com[.]ua). Az egyetlen különbség a hivatalos lekérdezés és a fertõzött kód között az, hogy az utóbbi az összegyûjtött információt sütikbe (cookies) tárolva küldi el.
Az ESET szakemberei nem végeztek igazságügyi elemzést az M.E.Doc szerverén, azonban egy korábbi blogposztban már kiemelték, hogy vannak egyértelmû jelek a szerver fertõzöttségére. Gyanítható, hogy a támadók olyan programot telepítettek a szerverre, amely lehetõvé teszi számukra, hogy különbséget tegyenek a fertõzött vagy tiszta gépekrõl érkezõ kérések között. Természetesen a támadók hozzáadták a fertõzött gépek irányításának lehetõségét is a programhoz: a kód fogad egy bináris objektumot (blob) a hivatalos M.E.Doc szervertõl, dekódolja a Triple DES algoritmus révén, majd a GZip segítségével kitömöríti. Az eredmény egy XML fájl, amely számos szerverparancsot tartalmaz. Ez a távoli irányítási funkció a backdoor programot egy teljes értékû kiberkémkedési és szabotázs platformmá alakítja.
Következtetések
Az ESET elemzõi szerint ez egy jól megtervezett és végrehajtott akció. A szakemberek szerint a támadók hozzáfértek az M.E.Doc forráskódjához, így volt idejük megismerni azt, majd megalkotni a valós támadáshoz szükséges backdoor programot. Az M.E.Doc teljes telepítõi csomagja nagyjából 1,5 gigabájt, és a szakemberek jelenleg nem tudják kizárni, hogy nem tartalmaz beültetett backdoor programokat.
Az eset kapcsán számos kérdés is felmerül: mióta használják ezt a backdoor programot, a DiskCoder.C vagy a Win32/Filecoder.AESNI.C kártevõkön kívül milyen más vírusokat juttattak át a rendszeren, milyen más frissítési láncok lehetnek a bûnözõk tulajdonában, amelyek megfertõztek rendszereket, de még nem használták fel õket?
A kibertámadás részleteirõl folyamatosan frissülõ szakértõi anyagokat a WeliveSecurity blogon olvashatnak