НБУ сообщил о хакерской атаке на ряд банков

[Javded]

MS SQL ем 

 

А, понятно.

Действительно странно, причем firebird-овский fdb есть

Змінено 3 липня, 2017 користувачем Javded

[GAMER]

Ну що там? Медок обновляти вже можна? Чи ставити на ньому хрест?

[Euro]

На https://www.privat24.ua винайшли безкоштовні ліки від Пєті 

https://www.youtube.com/watch?v=jxzq0Wj-o_A

Змінено 3 липня, 2017 користувачем Euro

[Olegik]

Глава Киберполиции Украины заявил, что разработчики «M.E.doc» знали проблемах с безопасностью задолго атаки вируса Petya.A и могут понести уголовную ответственность за халатность

http://itc.ua/news/glava-kiberpolitsii-ukrainyi-zayavil-chto-razrabotchiki-m-e-doc-znali-problemah-s-bezopasnostyu-zadolgo-ataki-virusa-petya-a-i-mogut-ponesti-ugolovnuyu-otvetstvennost-za-halatnost/

[Смирнов]

Кратко для тех кто не сильно понял.

Основной класс бэкдора NotPetya называется MeCom.
В этом классе есть переменная EDRPOU в которую бекдор записывал, вы не поверите, ЕДРПОУ. И еще он дохера чего записывал. Мыльца, пароли, адреса, файлы и т.д.

Выводы.
1) Вирус написан исключительно для Украины - все прочие заражения по всему миру это случайность, collateral damage. ЕДРПОУ - расшифровывается как Код Єдиного державного реєстру підприємств та організацій України и не существует нигде кроме как в Украине.

2) Организаторы атаки занимались не заработком денег, и весьма возможно даже не блекаутом(или обрушением). Это скорее выяснение уязвимости всей украинской системы - куда еще доберется заражение, какая будет реакция ну и в процесса потащить кучу инфы, которую теперь наверняка разгребают тысячи человек.

Each organization that does business in Ukraine has a unique legal entity identifier called the EDRPOU number (Код ЄДРПОУ). This is extremely important for the attackers: having the EDRPOU number, they could identify the exact organization that is now using the backdoored M.E.Doc. Once such an organization is identified, attackers could then use various tactics against the computer network of the organization, depending on the attackers’ goal(s).

3) Соответственно, из этого поста мы таки смотрим вариант номер три - https://www.facebook.com/anton.an.shvets/posts/435064050199239

4) Я даже близко не могу представить, что они успели узнать и про кого и каких дырок успели понавертеть до того как все посыпалось.

[Папа_Карлос]

То государственный центр сертификации выдает секретные ключи и сертификаты непонятно кому (вспомните эпопею с запуском е-декларирования и "взломом антоши г." системы е-деклараций с непонятно откуда полученным официальным ключем)

То пропихиваемая государством программа цифрового документообмена вдруг оказывается напичкана бэкдорами

Но с другой стороны вспоминается как в лохматые годы когда отчеты сдавали на флешках - приход из налоговой начинался с проверки флешки на вирусы коими налоговая одаривала всех сдающих там отчеты - может это таки криворукость, а не злой умысел

[Citizen UA]

Nod ругается на бэкдор в этой дллке Медка https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/

 

ZvitPublishedObjects.dll 

 

ps

 

Analysis of TeleBots’ cunning backdoor

 

On the 27th of June 2017, a new cyberattack hit many computer systems in Ukraine, as well as in other countries. That attack was spearheaded by the malware ESET products detect as Diskcoder.C(aka ExPetr, PetrWrap, Petya, or NotPetya). This malware masquerades as typical ransomware: it encrypts the data on the computer and demands $300 bitcoins for recovery. In fact, the malware authors’ intention was to cause damage, so they did all that they could to make data decryption very unlikely.

In our previous blogpost, we attributed this attack to the TeleBots group and uncovered details about other similar supply chain attacks against Ukraine. This article reveals details about the initial distribution vector that was used during the DiskCoder.C outbreak.

Tale of a malicious update

The Cyberpolice Department of Ukraine’s National Police stated, on its Facebook account, as did ESET and other information security companies, that the legitimate Ukrainian accounting software M.E.Doc was used by the attackers to push DiskCoder.C malware in the initial phase of the attack. However, until now, no details were provided as to exactly how it was accomplished.

During our research, we identified a very stealthy and cunning backdoor that was injected by attackers into one of M.E.Doc’s legitimate modules. It seems very unlikely that attackers could do this without access to M.E.Doc’s source code.

The backdoored module has the filename ZvitPublishedObjects.dll. This was written using the .NET Framework. It is a 5MB file and contains a lot of legitimate code that can be called by other components, including the main M.E.Doc executable ezvit.exe.

We examined all M.E.Doc updates that were released during 2017, and found that there are at least three updates that contained the backdoored module:

• 01.175-10.01.176, released on 14th of April 2017
• 01.180-10.01.181, released on 15th of May 2017
• 01.188-10.01.189, released on 22nd of June 2017

The incident with Win32/Filecoder.AESNI.C happened three days after the 10.01.180-10.01.181 update and the DiskCoder.C outbreak happened five days after the 10.01.188-10.01.189 update. Interestingly, four updates from April 24th 2017, through to May 10th 2017, and seven software updates from May 17th 2017, through to June 21st 2017, didn’t contain the backdoored module.

Since the May 15th update did contain the backdoored module and the May 17th update didn’t, here is a hypothesis that could explain low infection Win32/Filecoder.AESNI.C ratio: the release of the May 17th update was an unexpected event for the attackers. They pushed the ransomware on May 18th, but the majority of M.E.Doc users no longer had the backdoored module as they had updated already.

The PE compilation stamps of analyzed files suggest that these files were compiled on the same date as the update or the day before.

Figure 1 – Compilation timestamp of the backdoored module pushed in May 15th update.

 

Figure 2 shows difference between list of classes of backdoored and non-backdoored version of module, using the ILSpy .NET Decompiler:

Figure 2 – List of classes in backdoored module (at left) and non-backdoored (at right).

The main backdoor class is named MeCom and it is located in the ZvitPublishedObjects.Server namespace as shown in Figure 3.

Figure 3 – The MeCom class with malicious code, as shown in ILSpy .NET Decompiler.

The methods of the MeCom class are invoked by the IsNewUpdate method of UpdaterUtils in the ZvitPublishedObjects.Server namespace. The IsNewUpdate method is called periodically in order to check whether a new update is available. The backdoored module from May 15th is implemented in a slightly different way and has fewer features than the one from June 22nd.

Each organization that does business in Ukraine has a unique legal entity identifier called the EDRPOU number (Код ЄДРПОУ). This is extremely important for the attackers: having the EDRPOU number, they could identify the exact organization that is now using the backdoored M.E.Doc. Once such an organization is identified, attackers could then use various tactics against the computer network of the organization, depending on the attackers’ goal(s).

Since M.E.Doc is accounting software commonly used in Ukraine, the EDRPOU values could be expected to be found in application data on machines using this software. Hence, the code that was injected in the IsNewUpdate method collects all EDRPOU values from application data: one M.E.Doc instance could be used to perform accounting operations for multiple organizations, so the backdoored code collects all possible EDRPOU numbers.

Figure 4 – Code that collects EDRPOU numbers.

Along with the EDRPOU numbers, the backdoor collects proxy and email settings, including usernames and passwords, from the M.E.Doc application.

Warning! We recommend changing passwords for proxies, and for email accounts for all users of M.E.Doc software.

The malicious code writes the information collected into the Windows registry under theHKEY_CURRENT_USER\SOFTWARE\WC key using Cred and Prx value names. So if these values exist on a computer, it is highly likely that the backdoored module did, in fact, run on that computer.

And here is the most cunning part! The backdoored module does not use any external servers as C&Cs: it uses the M.E.Doc software’s regular update check requests to the official M.E.Doc server upd.me-doc.com[.]ua. The only difference from a legitimate request is that the backdoored code sends the collected information in cookies.

Figure 5 – HTTP request of backdoored module that contains EDRPOU number in cookies.

We have not performed forensic analysis on the M.E.Doc server. However, as we noted in our previous blogpost, there are signs that the server was compromised. So we can speculate that the attackers deployed server software that allows them to differentiate between requests from compromised and non-compromised machines.

Figure 6 – Code of backdoor that adds cookies to the request.

And, of course, the attackers added the ability to control the infected machine. The code receives a binary blob official M.E.Doc server, decrypts it using the Triple DES algorithm, and, afterwards, decompresses it using GZip. The result is an XML file that could contain several commands at once. This remote control feature makes the backdoor a fully-featured cyberespionage and cybersabotage platform at the same time.

Figure 7 – Code of backdoor that decrypts incoming malware operators’ commands.

The following table shows possible commands:

Command Purpose 0 – RunCmd Executes supplied shell command 1 – DumpData Decodes supplied Base64 data and saves it to a file 2 – MinInfo Collects information about OS version, bitness (32 or 64), current privileges, UAC settings, proxy settings, email settings including login and password 3 – GetFile Collects file from the infected computer 4 – Payload Decodes supplied Base64 data, saves it to as executable file and runs it 5 – AutoPayload Same as previous but the supplied file should be a DLL and it will be dropped and executed from Windows folder using rundll32.exe. In addition, it makes attempt to overwrite dropped DLL and delete it.

It should be noted that command number 5, named by malware authors as AutoPayload, perfectly matches the way in which DiskCoder.C was initially executed on “patient zero” machines.

Figure 8 – AutoPayload method that was used to execute DiskCoder.C malware.

Conclusions

As our analysis shows, this is a thoroughly well-planned and well-executed operation. We assume that the attackers had access to the M.E.Doc application source code. They had time to learn the code and incorporate a very stealthy and cunning backdoor. The size of the full M.E.Doc installation is about 1.5GB, and we have no way at this time to verify that there are no other injected backdoors.

There are still questions to answer. How long has this backdoor been in use? What commands and malware other than DiskCoder.C or Win32/Filecoder.AESNI.C has been pushed via this channel? What other software update supply chains might the gang behind this attack have already compromised but are yet to weaponize?

Special thanks to my colleagues Frédéric Vachon and Thomas Dupuy for their help in this research.

 

Змінено 5 липня, 2017 користувачем Citizen UA

[Olegik]

 

Правоохранители предотвратили очередную атаку вируса Petya.A, который 27 июня атаковал ряд украинских банков и компаний.

Об этом сообщил министр внутренних дел Арсен Аваков на своей странице в Фейсбуке.

"Сегодня специальные агенты департамента киберполиции вместе со специалистами СБУ и городской прокуратуры прекратили второй этап кибератаки Petya. Пик атаки планировался на 16:00. Стартовала атака в 13:40. До 15:00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е.Doc. Атака была остановлена. Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками из Российской Федерации", - написал Аваков.

https://lb.ua/society/2017/07/05/370665_kiberpolitsiya_ostanovila_povtornuyu.html

[Вуйко_З_Онтарио]

Агенты киберполиции остановили очередную кибератаку. С помощь кибернетической лопаты и кибернетических молотков произвели физическое разрушение носителей информации из серверов - источников атаки. За проявленую доблесть участники рейда будут награждены медалью Золотая дискета 5.25 степени.

[dmp]

То государственный центр сертификации выдает секретные ключи и сертификаты непонятно кому (вспомните эпопею с запуском е-декларирования и "взломом антоши г." системы е-деклараций с непонятно откуда полученным официальным ключем)

То пропихиваемая государством программа цифрового документообмена вдруг оказывается напичкана бэкдорами

Но с другой стороны вспоминается как в лохматые годы когда отчеты сдавали на флешках - приход из налоговой начинался с проверки флешки на вирусы коими налоговая одаривала всех сдающих там отчеты - может это таки криворукость, а не злой умысел

 

В этот раз два в одном: АЦСК "Украина" и Медок по сути одно и то же

[Папа_Карлос]

И после этого они просят сменить пароли и перевыпустить электронные цифровые ключи, т.к. они теперь скомпроментированы из-за медка

Т.е. опять сдать документы на ключи, оплатить их (в тот же центр сертификации Украина?), забрать, переподписать договора с налоговой...

[dmp]

И после этого они просят сменить пароли и перевыпустить электронные цифровые ключи, т.к. они теперь скомпроментированы из-за медка

Т.е. опять сдать документы на ключи, оплатить их (в тот же центр сертификации Украина?), забрать, переподписать договора с налоговой...

 

Послать их накуй, получить бесплатные ключи в налоговой и выкинуть на хер медок и всю продукцию той конторы.

[Olegik]

 

Розробники програмного забезпечення M.E.Doc, через вразливість якого здійснили хакерську атаку 27 червня, пропонують кіберполіції спільно випустити оновлення програми, яке не дозволить повторення кібератак.

Про це компанія заявила на своїй сторінці Facebook.

"Ми відкрито пропонуємо департаменту кіберполіції МВС України спільно, під чітким контролем та за участю представників правоохоронних органів, з застосуванням додаткових методів захисту під час зборки і розповсюдження оновлення, а саме розміщення його на захищенних серверах, якомога скоріше випустити оновлення, яке зможе виправити ситуацію та запобігти повторним атакам вірусу", - йдеться у повідомленні.

Окрім того, як стверджує компанія, їй вдалося створити оновлення, яке гарантовано виключає загрози для користувачів.

"Проте в ході проведення слідчих дій сервера компанії тимчасово вилучені для аналізу проникнення.Таким чином, наразі ми позбавлені змоги випустити оновлення з підвищеним ступенем безпеки", - заявляють розробники M.E.Doc.

http://www.pravda.com.ua/news/2017/07/5/7148765/

[GarryN]

[Людас]

https://lb.ua/society/2017/07/05/370665_kiberpolitsiya_ostanovila_povtornuyu.html

Авакову ? Вєрю. Ці очі не можуть брехати.

[Людас]

Чисто моє ІМХУЮ . Масово наїпнулись контори та їх мережі , які використовували цей медок і хєр клали на безпеку. 

Наприклад Кабмін, Укртелеком або Ощадбанк. Індувідуальні компи наібнуілись лише ті хто мав справу через медок з податковою

Занадто довірливі ФОПи.  Не думаю що адміни медка при справах. Треба бути останнім долпойобом щоб самому через свій же продукт

розповсюджувати заразу. Їх юзали втемну. Хто ? Для довідки пан Клименко , який зараз в Москві, а колись був  талановитим головним начальником

ДФС приложив супер зусилля для втирання сирого медка по всій Україні. Разом з його дірками.

До речі. в перших версіях медка навіть не було української абетки. Це для тих хто думає що це український продукт...

Змінено 5 липня, 2017 користувачем Людас

[Гість shpylka]

Сьогодні  5-те  липня  і  досі  неможливо  подати  показники  газового  лічильника.  Доки  наші  -гази  будуть  відновлювати  свої  бази  даних?

[Vad_Sv]

Послать их накуй, получить бесплатные ключи в налоговой и выкинуть на хер медок и всю продукцию той конторы.

Зроблено вже давно.

Не розумію, навіщо платити за те що дають безкоштовно?

[uzzer]

Для довідки пан Клименко , який зараз в Москві, а колись був  талановитим головним начальником

ДФС приложив супер зусилля для втирання сирого медка по всій Україні. Разом з його дірками.

 

 

подумалося отот інше трохи:

 

УкрПодатковаСистема, яка має в своій основі виключно корупційний мотив (тобто максимально полеґшити Нужним Людям^тм доступ до 'закромов Родіни', а шоб ніззя було ці доступи просто так взяти і прибрати - давно закріплено законодавчо і увязано з процесами, які є необхідними для функціонування держави) - вимаґає застосування такоґо кривописаноґо софта як Медок. І інакшим такий софт не може бути - він повинен в першу черґу забезпечувати основну справжню функцію Украінськоі податковоі системи - давати нєвозбранно красти КамуНада. То шо дана функція як побічний (?) ефект створює ґрандіозні діри в безпеці економіки - НужнимЛюдям^tm пох.

 

Тобто - Корупційна сутність укр податковоґо законодавства і системи  є однією з ґоловних причин існування дірявоґо медка і цієі вірусноі атаки. Рихтувати треба не тільки серваки медка і прочая.

Змінено 5 липня, 2017 користувачем uzzer

[Dilbert]

[Nadin]

игрались щас, через Единый кабинет платника податкив отчет ФОПовский вполне себе сдался/подписался, ключ от налоговой (тот шо бесплатный) вполне себе рабочий, равно как и приватовский - считывается/подтягивается/подписывается

[Папа_Карлос]

игрались щас, через Единый кабинет платника податкив отчет ФОПовский вполне себе сдался/подписался, ключ от налоговой (тот шо бесплатный) вполне себе рабочий, равно как и приватовский - считывается/подтягивается/подписывается

 

все бы хорошо, но там нет группового импорта налоговых накладных

вбивать "ручками" более 1000 документов - это издевательство

кабинет в этом плане сырой до безобразия

[Nadin]

 

 

нет группового импорта налоговых накладных

это правда, увы и ах

[Citizen UA]

Видео обыска в Интеллект-сервисе

 

Please wait.. Loading

Змінено 6 липня, 2017 користувачем Citizen UA

[Olegik]

Загадочная кибератака, парализовавшая Украину: это только начало?

большая статья тут http://www.bbc.com/russian/vert-fut-40518948

[dmp]

Система кондиционирования серверной доставила...  Но конечно грустно смотреть как бравые ребята с полным обвесом воюют против программистов и бухгалтеров. Как-то не там им место, имхо.

[Донецька комашка))]

 

 

Система кондиционирования серверной доставила...

А система резервного копирования?

[Донецька комашка))]

 

 

Но конечно грустно смотреть как бравые ребята с полным обвесом воюют против программистов и бухгалтеров. Как-то не там им место, имхо.

Ну, кстати говоря - у них есть специальный отдел, который одевается, обвешивается и действует по специальным инструкциям. Мне как-то наоборот приятно видеть, что хоть что-то работает так, как положено (на фоне "серверной" с вентиляторами и чудилы, который не знает, что и зачем воткнуто в его собственный сервер).

[Людас]

Видео обыска в Интеллект-сервисе

 

Please wait.. Loading

 

Ніколи не розумів навіщо в айті-конторах ці маски шоу з чуваками в облаштунках , кращих

ніж в зоні АТО у хлопців на передку? Навіщо ? Чого вони бздять ? Що ботани їх

розстріляють ?

Система кондиционирования серверной доставила...  Но конечно грустно смотреть как бравые ребята с полным обвесом воюют против программистов и бухгалтеров. Как-то не там им место, имхо.

Випередив !

[Людас]

Ну, кстати говоря - у них есть специальный отдел, который одевается, обвешивается и действует по специальным инструкциям. Мне как-то наоборот приятно видеть, что хоть что-то работает так, как положено (на фоне "серверной" с вентиляторами и чудилы, который не знает, что и зачем воткнуто в его собственный сервер).

Що то значить " как положено " ? В серверній з гранатами і калашом ?

А головою ні ? А ти б багато чого розказав про свою серверну , коли

тобі в сраку тицяють автоматом ?

Змінено 6 липня, 2017 користувачем Людас