«Прийде Petya А — відчиняй». У M.E.DOC розповіли, як атакував вірус

Про це на круглому столі в Інституті Горшеніна сказав старший інспектор з особливих доручень Департаменту кіберполоції Національної поліції В’ячеслав Марцинкевич. Він пояснив, що минула успішна кібератака стала такою масовою через недосконалість програмного забезпечення, зокрема через програму забезпечення обміну бухгалтерської інформації, яку зробила компанія «М.Е. DOC».

Поговорити про цей похмурий прогноз ми запросили в студію Громадського радіо засновницю і управительку компанії «М.E.DOC» Олесю Линник та експерта з кібербезпеки Дмитра Снопченка.

Едуард Лозовий: Кіберполіція закидає вам, що ви вимагаєте від користувачів включити вашу програму у винятки до антивірусу, оскільки ця система захисту перешкоджає обміну такими даними. І що ви знали про цю слабкість вашого програмування, і не зробили нічого, хоча були свідомі, що така кібератака можлива.

Олеся Линник: Я не знаю, откуда они взяли эту информацию, ни в коем случае мы не просим вносить нашу программу в исключения для антивирусов, наоборот — мы всем своим пользователям говорим, чтобы они устанавливали антивирусы и самые свежие обновления операционных систем.

Более того, свои программы перед выпуском мы тоже всегда проверяем на тех же антивирусах.

Единственный момент, который возник после проведения первичного расследования, когда выяснилось, что вирус был не в программе и не в обновлении, а был прислан на компьютеры пользователей «М.E.DOC» путем переадресации с сервера обновления. То есть стоит программа «М.E.DOC» на компьютере у каждого бухгалтера, и периодически она обращается к нам за обновлением, с вопросом, есть ли для меня свежая версия. И в момент обращения был подменен наш сервер, который отвечает номерам версии или обновлениям, на какой-то расположенный во Франции сервер, который и разослал вирус. Но этого было мало. Программа «М.E.DOC» построена таким образом, что никакие чужие файлы, и уж тем более вирусы, она не вскрывает и не запускает. Для этого злоумышленникам пришлось предварительно взломать систему «М.E.DOC», внести туда зловредный код, который уже ранее был установлен на пользовательские машины. Он сидел ждал переключения. Команда была примерно такая, если говорить по-простому: «Придет Petya А — открывай».

Те меры, которые можно было быстро принять, чтобы предотвратить следующие возможные атаки, уже приняты

Едуард Лозовий: Що ви зробили після цього ? Ви поміняли програму?

Олеся Линник: Когда стало понятно, что случилось, мы сразу это обновление сняли с распространения, тут же провели работу с пользователями, чтобы они откатилась на версию назад. И, как только, появилась возможность, мы поменяли систему распространения обновлений, мы выключили автоматическое обновление, мы поменяли сервер обновления, перенесли его на государственное предприятие, где защищенные каналы. То есть те меры, которые можно было быстро принять, чтобы предотвратить следующие возможные атаки, уже приняты.

Едуард Лозовий: Тобто заява кіберполіції, що вірус досі дрімає в комп’ютерах в програмі «М.E.DOC», не відповідає дійсності? І ця програма вже не піддасться атаці вірусу?

Олеся Линник: По крайней мере, мы за этим очень сейчас следим, и все возможное сделали.

Євгенія Гончарук: Але 100% дати гарантію не можуть в компанії «М.E.DOC»?

Дмитро Снопченко: Взломать можно все без исключения. Я с технической точки зрения вижу ошибки и на уровне архитектуры — то, что обновления были автоматическими, и пользователь не мог контролировать то, что обновляется.

Олеся Линник: На дворе ХХI век, сейчас все системы с автоматическим обновлением, но у нас оно реализовано не без участия пользователя. Обновления не приходит и молча не устанавливается без пользователя — нужно выполнить ряд шагов. И как раз эту систему и взломали.

Дмитро Снопченко: Несмотря на то, что пользователя спрашивают, согласен ли он на обновление, он никогда ничего не читает, он всегда со всем соглашается, и у него нет выбора. Ведь, если пользователь хочет работать с актуальной версией любой программы, он обязательно согласится с обновлением, предоставит администраторские права, и не будет смотреть, легальное это обновление, или это обновление с переадресованного сервиса.

Компании «М.E.DOC» не повезло в том плане, что они были выбраны в качестве вектора атаки, поскольку они являются поставщикам программного продукта для действительно критической инфраструктуры. То есть через не проходят все бухгалтерские документы, и банковские ключи, логины, пароли, счета — все вертится на этих паролях.