НБУ сообщил о хакерской атаке на ряд банков

[Olegik]

Спадало, бо так і є. Але за відповідність заліза софту відповідати мусять і виробник телевізора, і постачальник ПО. Розробник ПО мусив відізвати дозвіл на його використання в невідповідній залізяці, що виробляється мільйонами штук. А Лінукса відзивати нема кому.

 

в данном случае только производитель телевизора

[Euro]

никогда не понимал прелесть смарт-телевизоров. Проще и эффективней получить дополнительны функционал с помощью андроид-приставки. И дешевле, к тому же

Напевно так. Але от позарився свого часу і прозрів!   Тому компенсую недоліки підключенням TV до компа по HDMI. Достатньо для чогось функціоналу телевізора, користуюся ним. Не вистачає - комп + TV. 

До речі, от яскравий факт відповідального підходу авторизованого виробника. MS придбав Скайп і заборонив використовувати його на смарт-ТБ усіх виробників, щоб не займалися нефаховою юхнею. Після чого я вже збирався викинути спеціалізовану скайп-камеру від ТВ, але MS швидленько випустив під неї драйвера під стандартну вінду. Тепер паше в мене на компі 

[Euro]

в данном случае только производитель телевизора

Але результат - постраждалі від невідповідності софта залізу обдурені юзери. Відповідальний виробник ПЗ не дозволив би використовувати його не несумісному залізі.

А виробник заліза заради реклами і конкурентної гонитви недосконалий смарт-прибамбас собі дозволив.

[Olegik]

Але результат - постраждалі від невідповідності софта залізу обдурені юзери. Відповідальний виробник ПЗ не дозволив би використовувати його не несумісному залізі.

А виробник заліза заради реклами і конкурентної гонитви недосконалий смарт-прибамбас собі дозволив.

 

в данном случае вы купили программно-аппаратный комплекс. Произвел его тот, чье имя написано на морде или в паспорте и отвечает за всё тоже он, а не производитель софта. К слову, дистрибутив линукса вы можете собрать самостоятельно по своему вкусу. И отвечать за эту сборку будете вы...

[Agh]

Смарт ТВ на линуксе или андроиде более гибкие, чем смарты на закрытых ОС. При наличии мозгов и прямых рук их можно настроить под свои задачи, обновить кодеки или поставить программу от стороннего производителя с большим функционалом.

[Euro]

в данном случае вы купили программно-аппаратный комплекс. Произвел его тот, чье имя написано на морде или в паспорте и отвечает за всё тоже он, а не производитель софта. К слову, дистрибутив линукса вы можете собрать самостоятельно по своему вкусу. И отвечать за эту сборку будете вы...

Саме так. Розробник софта міг в нього засунути казна що приховане без жодної відповідальності для себе. А Самсунг з Лижою в результаті лише розвели руками - ну ви ж бачите, ми усі солідарно попали!

 

Смарт ТВ на линуксе или андроиде более гибкие, чем смарты на закрытых ОС. При наличии мозгов и прямых рук их можно настроить под свои задачи, обновить кодеки или поставить программу от стороннего производителя с большим функционалом.

Однозначно. Гнучкість смартів сягає можливості навіть вбити пристрій нафік  Після чого гарантійщики тільки констатують втрату гарантії через ваше втручання.

[dmp]

Напевно так. Але от позарився свого часу і прозрів!   Тому компенсую недоліки підключенням TV до компа по HDMI. Достатньо для чогось функціоналу телевізора, користуюся ним. Не вистачає - комп + TV. 

До речі, от яскравий факт відповідального підходу авторизованого виробника. MS придбав Скайп і заборонив використовувати його на смарт-ТБ усіх виробників, щоб не займалися нефаховою юхнею. Після чого я вже збирався викинути спеціалізовану скайп-камеру від ТВ, але MS швидленько випустив під неї драйвера під стандартну вінду. Тепер паше в мене на компі 

 

Так а причем тут производитель телевизора? Skype в чистом виде проприетарщина, производители железа лицензировали Skype, то, что MS похерила лицензию, то как бы как раз и "подход ответственного авторизованного производителя".

[Agh]

Саме так. Розробник софта міг в нього засунути казна що приховане без жодної відповідальності для себе. А Самсунг з Лижою в результаті лише розвели руками - ну ви ж бачите, ми усі солідарно попали!

 

Однозначно. Гнучкість смартів сягає можливості навіть вбити пристрій нафік  Після чого гарантійщики тільки констатують втрату гарантії через ваше втручання.

Даремно ви не підкреслили в цитаті друге моє речення: " При наличии мозгов и прямых рук..."

[Euro]

Даремно ви не підкреслили в цитаті друге моє речення: " При наличии мозгов и прямых рук..."

Бо в переважній більшості багатьох випадках вони не такі  

[Olegik]

Саме так. Розробник софта міг в нього засунути казна що приховане без жодної відповідальності для себе. А Самсунг з Лижою в результаті лише розвели руками - ну ви ж бачите, ми усі солідарно попали!

это если софт закрытый и то, есть какие-то условия использования (чаще всего закрытый софт покупают, причем дорабатывают его совместными или не очень усилиями под конкретные условия). Что касается открытого софта - читаем лицензию и делаем всё, что там разрешено

[Citizen UA]

 

Олексій Саморуков

1 год · 

 

#техническое
В связи с тем, что многие указали, что petya пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов сделан. 
Простейший скан (92.60.184.55) показал, что на сервере стоит FreeBSD 7, поддержка которой закончилась в 2013 году (и новые порты банально не собираются). 
Кроме того, вишенкой на торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и доисторической версии, все того же 2013 года (деньги на админа закончились?), и скорее всего контроль над сервером и был получен через него. Надеюсь, это информация будет полезна тем, кто исследует проблему, а компании M.E.Doc я желаю как можно скорее уйти с рынка, навсегда.

 

Sergey Prach

https://medium.com/@gray25/%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B9-m-e-doc-%D0%BE%D0%BA%D0%B0%D0%B7%D0%B0%D0%BB%D0%B8%D1%81%D1%8C-%D0%BD%D0%B0-%D1%85%D0%BE%D1%81%D1%82%D0%B8%D0%BD%D0%B3%D0%B5-wnet-f3f35db4de73

 

 Серверы обновлений M.E.Doc оказались на хостинге WNet

 

Решил поковыряться в сетевой структуре сервиса M.E.Doc, через который был заряжен вирус #Petya, поразивший значительную часть компаний в Украине.

Для начала посмотрел какие IP-адреса стоят за сервисом обновлений upd.me-doc.com.ua. Оказалось что такую большой банк инсталлированных приложений обслуживает только один хост:

 

Ой, что это? Для обновления сотен тысяч копий инсталляций Медка используется всего один хост — 92.60.184.55. Я конечно понимаю, что за одним хостом может стоять целый парк серверов. Но есть еще один важный момент — TTL записи равен всего 60 секунд ( на скрине видно 59 сек, потому что 1 сек заняло получение ответа от dns-сервера). Такой маленький TTL будет провоцировать огромное количество запросов на dns-сервера, потому что он практически не кэшируется — срок жизни в памяти кэширующего dns-сервера будет составлять всего 30 сек.;; AUTHORITY SECTION:

 

 

 

 

com.ua. 66991 IN NS ho1.ns.com.ua.

com.ua. 66991 IN NS nix.ns.ua.
com.ua. 66991 IN NS ba1.ns.ua.
com.ua. 66991 IN NS k.ns.com.ua.
com.ua. 66991 IN NS sns-pb.isc.org.;; ANSWER SECTION:
upd.me-doc.com.ua. 59 IN A 92.60.184.55;; QUESTION SECTION:
;upd.me-doc.com.ua. IN ANY; <<>> DiG 9.8.2rc1-RedHat-9.8.2–0.62.rc1.el6_9.2 <<>> -t any upd.me-doc.com.ua
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 10$dig -t any upd.me-doc.com.ua

 

Вітекающий обощенный вопрос: зачем такому критичному сервису использовать такие очень критичные для стабильности показатели — всего 1 хост и с таким коротким временем достоверности 30 сек (половина от TTL 60 сек)?В мире Интернета не принято критически важные сервисы вешать на один хост. Например, для обслуживания dns-записей должно быть не менее 2х хостов, и желательно физическое расстояние между ними — не менее 200 км.

Ответ пока в голове только один — что бы в случай чего быстро закрыть хост и отказать в обслуживании, попросту — быстро смыться и унести ноги.

 

Ок, идем дальше, а на чьей площадке располагается этот хост для обновления такого критичного приложения, как M.E.Doc:

 

 

inetnum: 92.60.184.0–92.60.184.255

netname: Wnet-Kiev-COLO

descr: Kiev colocation

country: UA

admin-c: WNET2-RIPE

tech-c: WNET2-RIPE

status: ASSIGNED PA

mnt-by: WNET-MNT

created: 2011–01–04T13:40:08Z

last-modified: 2011–01–04T13:40:08Z

source: RIPE% Abuse contact for ‘92.60.184.0–92.60.184.255’ is ‘

[email protected]

’% Information related to ‘92.60.184.0–92.60.184.255’% Note: this output has been filtered.

% To receive output for a database update, use the “-B” flag.whois 92.60.184.55

[Querying whois.arin.net]

[Redirected to whois.ripe.net]

[Querying whois.ripe.net]

[whois.ripe.net]

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See 

http://www.ripe.net/db/support/db-terms-conditions.pdf

    role: W NET NOC
address: Wnet LLC
address: Bohdana Khmelnitskoho 50-b
address: Kyiv, 01030
address: Ukraine
phone: +380 44 5900800
fax-no: +380 44 2892817
abuse-mailbox: [email protected]
remarks: troubles: http://support.wnet.ua
remarks: troubles: [email protected]

Ба, знакомые все лица — это же WNet, которого недавно трусило СБУ ))) Именно тот WNet, которого поймали на левых интернет-канал в Крым. Ну конечно мы верим что это чисто коммерческий контракт был и ФСБ абсолютно никакого отношения к этому интернет-каналу отношения не имел, а WNet никакого сотрудничества с ФСБ РФ не вел ))).

 

Ау, WNet — неужели мы давали повод считать себя идиотами?

 

Интелект-Сервис «крест на пузе» клянется, что никаких апдейтов с вирусами он не выкладывал. Окей, я лично — верю. Потому что им и не надо было выкладывать. За них это сделали админы дата-центра WNet.

Они просто в нужный момент перекинули трафик с одного хоста на другой, подставной. Всего на 2–3 часа. А потом вернули маршруты в изначальное состояние. Могли даже перебрасывать не весь трафик, а только тот, который касался выгрузки файлов с завирусяченным апдейтом. Тогда даже статистика запросов к серверу upd.me-doc.com.ua ничего не выдаст.

 

Итого: идеальное кибер-преступление.

 

Никаких следов, никаких взломов, никаких логов, предьявлять — нечего.

 

Идеально, но кроме одной мелочи. Если сопоставить лог обновления медка с зараженного, но восстановленного компьютера, с логами на серверах обновления медка, то легко будет выявить разницу — на бухгалтерском компьютере будут записи о скачке апдейта с вирусом, а на серверах медка таких обращений не будет. А это будет однозначным подтверждением того, что WNet «вмочил свои рога» в эту атаку по полной.

 

Напомню, что во второй половине марта Украина уже пережила одну атаку вируса XData. И тогда словацкая компания ESet обвинила в распространении этого вируса M.E.Doc через свои апдейты. Подробнее читайте здесь: https://ain.ua/2017/05/24/vse-pro-xdata-poka

 

Скорее всего то была пробная попытка использовать их сервис обновлений для распространения вируса. После этого они просто решили «поднакопить силы», что бы ударить массово, в строго определенное время.

 

 

 

[shurken]

И почему я не удивлён?

[Agh]

Обновления медка даже не подписаны сертификатом!

[Вуйко_З_Онтарио]

А вот и мой намек на кацапские уши пророс на земле индейских костров.

https://lenta.ru/news/2017/06/28/fbikaspersky/

Змінено 28 червня , 2017 користувачем Вуйко_З_Онтарио

[Agh]

Капец медку

 

Please wait.. Loading

https://www.facebook.com/cyberpoliceua/posts/536947343096100

 

Ну и Майкрософт в дополнение: https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Змінено 28 червня , 2017 користувачем Agh

[dmp]

Обновления медка даже не подписаны сертификатом!

 

Серьезно???? 

[Dilbert]

 

Definitely not designed to make money

Another researcher who uses the handle the grugq published an analysis that also supported the theory that Tuesday's outbreak wasn't a true ransomware attack. The analysis noted that the malware used a single Bitcoin address to receive ransom payments, a shortcoming that's not found in most professionally developed ransomware because it requires attackers to manually process large numbers of payments. Tuesday's malware also required victims to manually type a long string of human-unfriendly characters into an e-mail address, a hurdle professional ransomware developers avoid because it decreases the likelihood that victims will pay. Tuesday's malware also required victims to contact attackers through an e-mail account that was closed within hours of Tuesday's outbreak, killing any incentive for victims to pay.

In almost all other aspects, Tuesday's malware was impressive. It used two exploits developed by and later stolen from the National Security Agency. It combined those exploits with custom code that stole network credentials so the malware could infect fully patched Windows computers. And it was seeded by compromising the update mechanism for M.E.Doc, a tax-filing application that is almost mandatory for companies that do business in Ukraine. The shortcomings in the ransomware functions aren't likely to be mistakes, considering the overall quality of the malware.

"The superficial resemblance to Petya is only skin deep," the grugq wrote. "Although there is significant code sharing, the real Petya was a criminal enterprise for making money. This is definitely not designed to make money. This is designed to spread fast and cause damage, with a plausibly deniable cover of 'ransomware.'"

The theories are consistent with this post from Wired, which reports that Ukrainian government officials are saying Tuesday's attack was sponsored by a national government. The Ukrainian government has previously blamed Russia for attacks—one in December 2015 and another in December 2016—that both caused blackouts by hacking Ukrainian power facilities. A cover story Wired published last week lays out much of the evidence substantiating the claims of Russian involvement. Asked if Russia was behind Tuesday's attack, a government official told reporter Andy Greenberg: "It’s difficult to imagine anyone else would want to do this."

 

https://arstechnica.com/security/2017/06/petya-outbreak-was-a-chaos-sowing-wiper-not-profit-seeking-ransomware/

[Dilbert]

 

Ilia Kenigshtein

19 hrs · 

 

У нас вчера в государственном и корпоративном секторах был день сурка. Полтора месяца назад компьютеры тех же чиновников покосил WannaCry, но никаких оргвыводов сделано не было и никаких мер по предотвращению новых атак не предпринято. Каждый решил проблему для себя лично и через неделю все всё успешно забыли. А Petya.A - не повторил ошибок WannaCry. 

Вирус, покосивший сети Кабмина, Мининфраструктуры, Ощадбанка, Укргазбанка, Укрсоцбанка, Укрпошты и аэропорта Борисполь, а также сотни частных компаний - есть следствие общепринятого в нашем обществе тренда на технологическую отсталость. Это когда топ-менеджер (либо министр и его заместители) не понимают и не хотят понимать природу происхождения компьютерных вирусов, как собственно и принципы работы операционных систем. Они спокойно переживают одну вирусную эпидемию за другой, не предпринимая ровным счетом никаких шагов по предотвращению последствий новых атак. Более того, в очередной раз получив по морде, лучшее, на что они способны в своих управленческих решениях - это просто отключиться от сети. Обрезать провода. 

Допускаю, что корпоративный сектор сейчас судорожно ищет решение по предотвращению подобных атак в будущем. Что происходит в госсекторе? Думаю - ничего. В лучшем случае, наши чиновники опять будут полагаться на поверхностное копирование чужого решения, руководствуясь привычным для них остаточным принципом. В то время, как долг любого государства - стремиться обеспечить определенный уровень безопасности жизни и собственности своих граждан, включая их личную, научную, творческую и коммерческую деятельность, и делать это не за счёт ущемления их прав, а за счёт развития в условиях существующей реальности. 

Если совсем простыми словами - админ Вася при следующей атаке будет в очередной раз грустно подсчитывать потери и тихо материться, проклиная судьбу за то, что ему приходится работать, пока начальство отдыхает.

[лєса]

всем всё пофик.

у каждого "лишь бы не я"

[shurken]

Где-то так и есть.

[mick]

Специалисты Microsoft считают, что вирус-вымогатель Ransom:Win32/Petya распространялся с помощью бухгалтерского программного обеспечения, разработанного в Украине, M.E.Doc.

 

Двенадцать с половиной тысяч компьютеров были инфицированы в Украине во время массированной хакерской атаки: вирус распространялся с помощью бухгалтерского программного обеспечения M.E.Doc украинского производства. Соответствующая информация появилась в блоге компании Microsoft, передает Цензор.НЕТ со ссылкой на 112.ua.

Отмечается, что атаку провели с помощью "вируса-вымогателя", который является новым вариантом вредоносного программного обеспечения Ransom: Win32/Petya, однако является более изощренным, в отличие от своего предшественника.

По словам специалистов компании, процесс заражения был запущен после легального обновления M.E.Doc.

Кроме Украины, есть информация о заражении в 64 других странах, в число которых входят Бельгия, Бразилия, Германия, Россия и США.

В Microsoft отметили, что их антивирус Windows Defender сумел распознать угрозу, поэтому пользователям посоветовали вовремя обновлять операционную систему, ведь новые версии содержат защиту от всех современных угроз.

 

https://censor.net.ua/n445815

 

А это немцы:

 

Ursprung und Schwerpunkt der Cyber-Attacke liegen offenbar in der Ukraine, allerdings hat sie weltweite Auswirkungen. Meldungen zufolge ist die Schadsoftware über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc verteilt worden. Das BSI hält diese These nach einer ersten Einschätzung für plausibel. Dabei zeigt sich, dass die Schadsoftware Funktionen enthält, um sich unter Ausnutzung verschiedener Schwachstellen innerhalb eines Netzwerkes rasant weiterverbreiten zu können.

 

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/PM_petya_global_update_28062017.html

 

Гуглоперевод:

Происхождение и фокус кибератак, очевидно, в Украине, но она имеет глобальные последствия. По имеющимся данным, вредоносная программа была распределена по функции обновления распространенной в программном обеспечении бухгалтерского учета Украины под названием Медок. BSI поддерживает этот тезис после первой оценки правдоподобной. Оказывается, что вредоносное программное обеспечение включает в себя функции в состоянии быстро распространяться за счет использования различных уязвимостей в сети.

Змінено 29 червня , 2017 користувачем mick

[Людас]

сука, ну скинут Петю и кто вместо?  идиоты. ну не учат историю............ вот только не надо о Вакарчуке)))))))))))0

Кто если не Путин тьху ти Петя ..

 

Та шо ж ви такі однакові? Не створи собі кумира. Читав таке в біблії ??

[Смирнов]

Кто если не Путин тьху ти Петя ..

 

Та шо ж ви такі однакові? Не створи собі кумира. Читав таке в біблії ??

 

Кто если не Путин тьху ти Петя ..

 

Та шо ж ви такі однакові? Не створи собі кумира. Читав таке в біблії ??

  так я ж говорю. ваш вариант?))))))

[shurken]

так я ж говорю. ваш вариант?))))))

Педрыча верните. Так хочется покращення. А то от пжити скоро ласты склеим.

[Olegik]

 

Petya уже не тот: Поразивший Украину вирус по своей сути не является вымогателем

...

версия Petya 2016 года изменяла данные на накопителе таким образом, чтобы потом можно было фактически вернуть исходное состояние. В то же время модификация Petya.A 2017 года необратимо повреждает накопитель. В итоге, при заражении вирусом Petya.A даже после уплаты восстановление данных остаётся невозможным. Следовательно, Petya.A является не вымогателем, а уничтожителем данных.

http://itc.ua/news/petya-uzhe-ne-tot-porazivshiy-ukrainu-virus-po-svoey-suti-ne-yavlyaetsya-vyimogatelem/

[Людас]

  так я ж говорю. ваш вариант?))))))

 

Знищення олігархів. Повне і безповоротне. Пєті, Віті, Льоні це лише лялькі в жопі яких тирчять ці пальці.

Це зараз реальна влада в Україні. Десяток жлобів з поганою освітою. Поки ця причина негараздів в Україні не буде ліквідована

все до сраки. Реформи, закони, пики при владі. Все . Це все симулякри. 

 

А взагалі інститут президенства віджив своє. Суцільні клоуни. Цілих 5 вже було. Різних. І веселих і сумних. Навіщо країні клоуни ? 

[Людас]

Педрыча верните. Так хочется покращення. А то от пжити скоро ласты склеим.

 

Нах . Їх всіх. Доста. Ви ще не зрозуміли що це ляльки, а не влада ? 

Реальна влада олігархи. 

[Olegik]

Вирус-шифровальщик Petya заразил компьютеры российской компании «Газпром», передает Reuters со ссылкой на неназванных чиновника и участника расследования инцидента.

 

Источники агентства не уточнили, сколько компьютеров атаковал Petya, и не привели подробностей.

 

Компания «Газпром» отказалась от комментариев.

https://www.gazeta.ru/business/news/2017/06/29/n_10240769.shtml

[Миклован]

 

В Кабміні кажуть про другу хакерську атаку

ЧЕТВЕР, 29 ЧЕРВНЯ 2017, 15:44

2 ПЕРЕГЛЯДИ

 

0

В Кабінеті міністрів заявляють про другу хакерську атаку. Про це пише на своїй сторінці Facebook менеджер по інформації і IT ради підприємців приІван Бердецький.

[Людас]