Что известно об украинской компании, которая причастна к рассылке вируса Petya.A

Это частичный аналог «1С», и его считают лишь рычагом в политической игре.

27 июня 2017 года вирус-вымогатель Petya.A (другие названия — NotPetya и WannaCry-2) поразил компьютеры Украины, России, Польши, Франции, Германии и Испании. Программа заблокировала информацию на компьютерах и потребовала выкуп в биткоинах, эквивалентный 300 долларам (около 17 700 рублей по нынешнему курсу).

Власти Украины и эксперты IT-компаний увидели потенциального виновника распространения вируса в украинской компании M.E.Doc — создательнице популярной в стране одноимённой программы по документобороту.

5 июля руководство компании призналось, что программу действительно взломал вирус Petya.A, который затем через неё распространился дальше. Специалисты IT-индустрии увидели в этой ситуации не просто работу хакеров, попытавшихся разжиться на кибератаке, а возможное политическое столкновение, в котором M.E.Doc стала инструментом.

Обновлено. «Лаборатория Касперского» прокомментировала ситуацию с вирусом Petya.A.

По данным киберполиции Украины, вирусная атака началась из-за уязвимости в новой версии программы M.E.Doc, которую скачали многие коммерческие и государственные структуры.

Представитель киберполиции заявил, что ведомство получило 1500 жалоб на вирус от украинских компаний, после чего власти завели 23 уголовных дела против неустановленных лиц. Специалисты Microsoft подтвердили причастность M.E.Doc к распространению вируса.

1 июля 2017 года Служба безопасности Украины (СБУ) обвинила российские спецслужбы в причастности к кибератаке. После консультации с международными антивирусными компаниями спецслужбы решили, что за атакой стоит группировка, которая в 2015-2016 годах атаковала финансовую систему, объекты транспорта и энергетики Украины троянами TeleBots и Blackenergy.

По мнению СБУ, кибератака происходила в несколько этапов накануне Дня конституции Украины (28 июня), чтобы дополнительно дестабилизировать политическую ситуацию в стране.

4 июля глава украинской киберполиции Сергей Демидюк пригрозил компании-разработчику M.E.Doc уголовным делом за возможное распространение вируса Petya.A. По мнению руководителя спецслужбы, компания знала об угрозе заражения своих систем вирусом, но не предприняла никаких действий.

5 июля министр внутренних дел Украины Арсен Аваков рассказал об ещё одной хакерской атаке на сервера страны. Она началась днём 4 июля и длилась около трёх часов, затем спецслужбам удалось отбить нападение. По словам чиновника, атака исходила с серверов M.E.Doc. Позже представитель СБУ заявил, что руководство НАТО предоставило спецслужбам оборудование для борьбы с будущими кибератаками.

Судя по всему, после новой атаки Демидюк решил пригрозить компании уголовным делом. Кроме того, в день повторного нападения у компании-автора M.E.Doc изъяли серверы. Сейчас сайт M.E.Doc недоступен.

Официально ни одна страна не взяла на себя ответственность за распространение вируса. Специалисты NATO считают, что в теории за атакой могут стоять власти. Аналитики компании DrWeb подтвердили, что именно программа M.E.Doc стала причиной массового заражения вирусом Petya.A.

В этот же день разработчик антивирусного оборудования ESET выпустил отчёт о том, как шифровальщик распространился через автоматическое обновление M.E.Doc. В документе говорится, что программа распространяла версии с уязвимостью, которой воспользовался вирус, с апреля 2017 года. С того момента эксперты зафиксировали ещё два обновления с дырой в защите, в том числе и в версии 22 июня — всего за пять дней до хакерской атаки.

Американский специалист по безопасности Джонатан Николс считает, что вирусная атака необязательно была санкционирована тем или иным государством.

Эксперты «Лаборатории Касперского», в отличие от специалистов других IT-компаний, не связали Petya.A с украинской программой. В компании заявили, что, исходя из предварительного расследования, техника хакеров напоминает методику злоумышленников из группировки BlackEnergy.

Обновлено. Представитель «Лаборатории Касперского» прокомментировал TJ ситуацию вокруг вируса и компании M.E Doc.

С первого дня обвинений представители компании отвергали причастность к распространению Petya.A. По их словам, в обновлении M.E.Doc от 22 июня не было уязвимостей и вирусов (это заявление противоречит расследованию ESET). В компании подчеркнули, что тоже пострадали от действий хакеров и с первого же дня расследования предоставили логи и резервные копии серверов спецслужбам.

30 июня соосновательница M.E.Doc Олеся Линник рассказала, что никто из пострадавших от вируса не предоставил компании заражённый файл, исходивший с серверов M.E Doc. Компания также привлекла к расследованию третью сторону — американскую транснациональную компанию-разработчицу сетевого оборудования Cisco. Линник раскритиковала и статью Microsoft о причастности программы к атаке.

По мнению Линник, M.E.Doc могла привлечь злоумышленников как эффективный способ распространить вирус в системы компаний-пользователей. Эту версию следует расследовать, а не утверждать, что в деле виновато руководство компании, которая могла стать жертвой политических игр, считает её глава.

5 июля представители компании признали причастность программы M.E.Doc к кибератаке. Руководство подчеркнуло, что это первый за историю сервиса факт взлома, в результате которого в программный код пакета обновления попал вирус. В компании также добавили, что к недавнему инциденту могут быть причастны организаторы кибератаки с помощью вируса WannaCry в мае 2017 года.

Впервые теорию о причастности российских хакеров к атаке Petya.A высказал генеральный директор интернет-магазина Rozetka Владислав Чечеткин. По его словам, программу M.E.Doc крупным компаниям «всучил» бывший министр доходов и сборов Украины Александр Клименко. Экс-чиновник, который сейчас критикует руководство страны и оказывает гуманитарную помощь Донбассу, отверг обвинения в навязывании M.E. Doc.

M.E.Doc — не первая технологическая компания, которая, если верить Линник, оказалась участницей политических столкновений. 1 июня СБУ рассказали о незаконной маршрутизации трафика крымским провайдером «Wnet Украина», услугами которого пользовался сервис M.E.Doc. По словам спецслужб, руководство провайдера переправляло сегмент сети в фиктивную компанию, за которой стояла ФСБ.

Сотрудники российского ведомства якобы незаконно пытались завладеть данными клиентов «Wnet Украина» через оборудование провайдеров. Сейчас по делу идёт следствие. Если его передадут в суд, руководству провайдера грозит до пяти лет тюрьмы за сотрудничество с ФСБ.

Линник подтвердила, что её компания пользовалась «Wnet Украина», но не стала связывать обыски провайдера с обвинениями в распространении вируса.

Программа M.E.Doc почти неизвестна за украинской границей, но в стране она занимается документооборотом 80% компаний. 400 тысяч клиентов обсуждают и отправляют финансовую и налоговую документацию с помощью сервиса. Такую большую ответственность она получила в том числе из-за недавних санкций украинских властей против российских сервисов.

Местный юрист Валерия Дяченко в ответ на санкции заявила, что в стране нет достойного аналога российской программе «1C» — одной из самых популярных программ по документообороту на Украине. M.E.Doc стала частичной заменой «1C».

На фоне этой ситуации злоумышленникам было выгодно ударить по M.E.Doc. В разговоре с The New York Times бывший заместитель директора по разведке и компьютерным операциям Великобритании Брайан Лорд предположил, что хакеры преследовали не денежный интерес, а изучали слабые места компаний и государственных учреждений. С версией о том, что злоумышленников не интересовали деньги, согласны и эксперты «Лаборатории Касперского».

Во время майской атаки вируса WannaCry, аналога Petya.A, от воздействия шифровщика больше всего пострадала Россия. Тогда IT-компании и специалисты указывали на причастность к атаке правительства КНДР.

Во время июньской атаки Россия оказалась на втором месте по количеству жалоб на Petya.A. Первое место заняла Украина. Примечательно, что атака пришлась на день накануне украинского Дня Конституции, когда компании наиболее загружены работой. Старший технический научный сотрудник компании Cisco Крейг Уильямс считает, что это не может быть совпадением.

Хотя официальных подтверждений причастности какого-либо правительства к распространению вируса до сих пор нет, директор Института государственности и демократии Иван Лозовый подозревает страну, которая уже несколько лет находится в открытой конфронтации с Украиной. «Русские заинтересованы в том, чтобы у Украины было как можно больше проблем», — сказал Лозовый в беседе с The New York Times.