Hlavní navigace

Postřehy z bezpečnosti: poučení z malwaru NotPetya

CESNET CERTS

V dnešním díle si přečtete, jak probíhalo napadení sítě hostující software M.E.Doc malwarem NotPetya a jaké poučení z toho plyne. Následují i další užitečné bezpečnostní informace z celého světa.

Vše důležité o infekci internetu malwarem NotPetya

Malware označovaný jako Petya, NotPetya apod. se do světa a zejména na Ukrajinu rozšířil prostřednictvím velmi rozšířeného účetního a daňového softwaru „M.E.Doc“ („Můj elektronický dokument“), který vytvořila ukrajinská firma „Intellect Service“. Tento malware se šířil z infikovaných strojů dále do sítě prostřednictvím zranitelnosti MS17–010 v protokolu SMB 1.0. Útočníkům se podařilo infiltrovat síť zmíněné firmy, získat přístup ke zdrojovému kódu programu M.E.Doc a rozeslat uživatelům programu jeho infikované verze maskované jako regulérní nové verze.

Podle údajů, které zveřejnily firmy Talos a ESET, vypadal časový rozvrh útoku na síť firmy „Intellect Service“ takto:

14. 4. a 15. 5.2017: Update server distribuoval zákazníkům infikovanou verzi softwaru M.E.Doc.

22. 5. 2017: Firma „Intellect Service“ informovala zákazníky, že od 18. 5. se v sítích objevuje ransomware podobný WannaCry. To ale údajně se softwarem M.E.Doc nesouvisí, protože firma posílá svůj software antivirovým společnostem ke kontrole.

22. 6. 2017: Update server distribuoval zákazníkům poslední infikovanou versi softwaru M.E.Doc.

27. 6. 2017, 8.59 UTC: Útočník se přihlásil na update server s ukradeným jménem a heslem administrátora; získal rootovský přístup prostřednictvím  su.

27. 6. 2017, 9.15 UTC: Provoz update serveru byl přesměrován na cizí server v síti OVH (Francie).

27. 6. 2017, 12.31 UTC: Přesměrování provozu update serveru na cizí server skončilo.

27. 6. 2017, 14.11 UTC: Cizí uživatel v lotyšské síti Bighostlv-NET ukončil relaci SSH a odhlásil se z update serveru.

27. 6. 2017, 19.46 UTC: Disk na cizím serveru v síti OVH byl smazán.

Firma ESET zjistila, že útočníci měli přístup ke zdrojovému kódu programu M.E.Doc a infikovali modul ZvitPublishedObjects.dll. Tento modul sbírá mj. kódy EDRPOU (obdoba našich daňových identifikačních čísel DIČ), uživatelská jména a hesla uživatelů a poštovních proxy serverů. Takto zjištěná data byla odeslána na (falešný) update server ve formě cookies; žádný C&C kanál nebyl použit.

Každý stroj, na kterém byl spuštěn infikovaný program M.E.Doc, také reagoval na tyto externí příkazy:

  • vykonání příkazu shell,
  • zápis souboru na disk, včetně možného spuštění jako program nebo jako DLL; soubor pak byl přepsán náhodnými daty a smazán,
  • odeslání libovolného souboru z infikovaného stroje,
  • odeslání informací o systému (verse OS, 32/64 bitů, privilegia, nastavení UAC, uživatelská a proxy jména a hesla).

Z těchto zjištění plyne:

  • Šlo o útok cílený na Ukrajinu a na cizí firmy, které s Ukrajinou obchodují. Díky tomu, že útočníci znají údaje EDRPOU (DIČ), přesně vědí, která firma zpracovává své účetnictví na M.E.Docu a ve které síti.
  • Cílem útoku bylo zničit data napadených firem (sabotáž), infikovat další počítače v napadených sítích a zjistit údaje o obchodních transakcích napadených firem.
  • Finanční zisk nebyl cílem útoku, přestože ten se tvářil jako ransomware a požadoval za dešifrování dat 300 USD v bitcoinech.

Závěry:

  • Útok byl velmi dobře naplánován a proveden. Pro útočníky musel být velmi drahý.
  • Nyní je odhalena metoda infekce v softwaru M.E.Doc i manipulace s update serverem; útočník už tedy tímto způsobem nedokáže spouštět vlastní kód na velikém množství infikovaných počítačů (údajně u 80 % ukrajinských firem).
  • Aby vynaložené prostředky nepřišly nazmar, je pravděpodobné, že na infikovaných počítačích mohou existovat další dosud neznámá zadní vrátka, skrze něž je útočník bude moci znovu ovládnout.
  • Všechny firmy už napadené i ty, které využívají software MEDoc nebo podobný, které obchodují s Ukrajinou nebo které provozují své systémy na Ukrajině, by měly dávat velký pozor, protože proti nim stojí nebezpečný protivník.

Doporučují se zejména tyto kroky:

  • změna přístupových hesel uživatelů i poštovních a proxy serverů,
  • rozdělení sítě na samostatné části,
  • důkladné monitorování ohrožených systémů,
  • omezení přístupu do sítě,
  • včasná instalace bezpečnostních záplat,
  • přechod ze starších systémů na Windows 10,
  • instalace IPS na spojích mezi zahraničními firmami a jejich ukrajinskými pobočkami,
  • instalace vhodné ochrany na všech ukrajinských systémech,
  • řídit se podle doporučení firem Microsoft a Cisco.

Ve zkratce

Ukrajinská policie zabavila servery firmy „Intellect Service“, ze kterých se šířil malware Petya.

Údajní autoři ransomwaru NotPetya požadují za privátní klíč 100 bitcoinů; jeden kratší soubor skutečně dešifrovali.

Zranitelnosti v BINDu 9

ČLR omezuje provoz sítí VPN do zahraničí.

Zranitelnosti v knihovně GnuPG Libgcrypt: CVE-2017–7526, CVE-2017–9526.

Srovnávací test 16 antivirových programů pro Windows 10 (duben 2017)

Statistiky výskytu malwaru a potenciálního malwaru (PUA, potentially unwanted applications)

Jak zkompromitovat smartphone prostřednictvím neoriginálních náhradních dílů.

Pro pobavení: Lidská chyba

Našli jste v článku chybu?