Цікаві подробиці про фашистський кібернапад
Середа, 5 Липень 2017 19:07![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bytebusterЗ'ясовуються нові подробиці про московсько-фашистську атаку вірусом. Читаймо і робімо висновки.
Anton Shvets: Основной класс бэкдора NotPetya называется MeCom.
В этом классе есть переменная EDRPOU в которую бекдор записывал, вы не поверите, ЕДРПОУ. И еще он дохера чего записывал. Мыльца, пароли, адреса, файлы и т.д.
Выводы.
1) Вирус написан исключительно для Украины - все прочие заражения по всему миру это случайность, collateral damage. ЕДРПОУ - расшифровывается как Код Єдиного державного реєстру підприємств та організацій України и не существует нигде кроме как в Украине.
2) Организаторы атаки занимались не заработком денег, и весьма возможно даже не блекаутом(или обрушением). Это скорее выяснение уязвимости всей украинской системы - куда еще доберется заражение, какая будет реакция ну и в процесса потащить кучу инфы, которую теперь наверняка разгребают тысячи человек.
3) Соответственно, из этого поста мы таки смотрим вариант номер три.
4) Я даже близко не могу представить, что они успели узнать и про кого и каких дырок успели понавертеть до того как все посыпалось.
І ще коментарі:
там вообще изначально в проге "маяк" для вирусни стоял... почитайте статью по ссылке (ахтунґ, фаш.ресурс)
Статья написана так, как-будто сервера M.E.Doc взломали (причём сразу все — и с кодом, и билд-сервера, и сервера обновлений), всунули в код вирус, собрали, выкатили в релиз и так 4 раза.
К чему такие дикие теории, если сам M.E.Doc — детище беглого министра доходов и сборов Клименко, который со своим шефом (Януковичем) нынче на России, полностью контролирует созданную им контору.
Раньше, во времена Януковича ее навязывали всем. Альтернативы не признавались в налоговой, так как отчет чаще всего не доходил, и впаивался штраф сразу. Только Медок мог гарантировать получение налоговой отчетности вовремя.
Никто их не ломал, они сами всё это и написали. Ну или отдали контроль и не вмешивались в процесс. Бритва Оккама, знаете ли.
С учетом того, что первая версия бэкдора от 14 апреля, он за эти три месяца тихо собрал всю нужную информацию, и был запущен в горячую фазу. Заражение по 445 и так далее скорее всего было сделано для маскировки, шифрование MBR и файлов - для проверки деструктивности.
На одном из форумов человек приводит диалог с чатом поддержки Медка:
_________________________________
Вот переписка в чате медка, 17 мая
Тамара Здравствуйте!
09:11 Вы
Здравствуйте,
При попытке загрузить обновление ezvit.10.01.179-10.01.180.exe скачаный файл распознается антивирусом Microsoft Defender, как опасный вирус и перемещается в карантин.
Malware Name: Trojan:Win32/Azden.A!cl
Number of infections: 2
Last detection time(UTC time): 5/17/2017 11:59:04 AM
Соответственно мы не можем получить последние обновления для M.E.DOC
Заранее спасибо за быстрый ответ
09:12 Тамара
В обновлениях нет вирусов. Вы можете временно отключить антивирус, или я могу Вам выслать обновление на электронную почту
09:12 Вы
Извините, но мы не можем отключить антивирус.
09:19 Тамара
или я могу Вам выслать обновление на электронную почту
09:21 Вы
Я понимаю, но тот же дефендер НЕ ДАСТ распаковать и загрузить обновления. Еще раз, это антивирус от Майкрософт и он интегрирован в операционную систему.
09:29 Тамара
На данный момент разработчик ищет контакты для предоставление наших файлов для добавления в исключение Вашего антивируса
За результатами незалежної експертної оцінки компанія М.E.Doc підтвердила, що зараження відбулося через їхній сервер. За словами CEO компанії розробника Олесі Білоус, їхній сервер було зламано. Раніше у компанії відхрещувалися від закидів, що їхня програма була розповсюдником вірусу. 
// Починають частково визнавати — зважаючи на репутацію, можна стверджувати, що це автоматично означає, що винні вони у чомусь більшому.
Anton Shvets: Основной класс бэкдора NotPetya называется MeCom.В этом классе есть переменная EDRPOU в которую бекдор записывал, вы не поверите, ЕДРПОУ. И еще он дохера чего записывал. Мыльца, пароли, адреса, файлы и т.д.
Выводы.
1) Вирус написан исключительно для Украины - все прочие заражения по всему миру это случайность, collateral damage. ЕДРПОУ - расшифровывается как Код Єдиного державного реєстру підприємств та організацій України и не существует нигде кроме как в Украине.
2) Организаторы атаки занимались не заработком денег, и весьма возможно даже не блекаутом(или обрушением). Это скорее выяснение уязвимости всей украинской системы - куда еще доберется заражение, какая будет реакция ну и в процесса потащить кучу инфы, которую теперь наверняка разгребают тысячи человек.
3) Соответственно, из этого поста мы таки смотрим вариант номер три.
4) Я даже близко не могу представить, что они успели узнать и про кого и каких дырок успели понавертеть до того как все посыпалось.
І ще коментарі:
там вообще изначально в проге "маяк" для вирусни стоял... почитайте статью по ссылке (ахтунґ, фаш.ресурс) Статья написана так, как-будто сервера M.E.Doc взломали (причём сразу все — и с кодом, и билд-сервера, и сервера обновлений), всунули в код вирус, собрали, выкатили в релиз и так 4 раза.К чему такие дикие теории, если сам M.E.Doc — детище беглого министра доходов и сборов Клименко, который со своим шефом (Януковичем) нынче на России, полностью контролирует созданную им контору.
Раньше, во времена Януковича ее навязывали всем. Альтернативы не признавались в налоговой, так как отчет чаще всего не доходил, и впаивался штраф сразу. Только Медок мог гарантировать получение налоговой отчетности вовремя.
Никто их не ломал, они сами всё это и написали. Ну или отдали контроль и не вмешивались в процесс. Бритва Оккама, знаете ли.
С учетом того, что первая версия бэкдора от 14 апреля, он за эти три месяца тихо собрал всю нужную информацию, и был запущен в горячую фазу. Заражение по 445 и так далее скорее всего было сделано для маскировки, шифрование MBR и файлов - для проверки деструктивности. На одном из форумов человек приводит диалог с чатом поддержки Медка:_________________________________
Вот переписка в чате медка, 17 мая
Тамара Здравствуйте!
09:11 Вы
Здравствуйте,
При попытке загрузить обновление ezvit.10.01.179-10.01.180.exe скачаный файл распознается антивирусом Microsoft Defender, как опасный вирус и перемещается в карантин.
Malware Name: Trojan:Win32/Azden.A!cl
Number of infections: 2
Last detection time(UTC time): 5/17/2017 11:59:04 AM
Соответственно мы не можем получить последние обновления для M.E.DOC
Заранее спасибо за быстрый ответ
09:12 Тамара
В обновлениях нет вирусов. Вы можете временно отключить антивирус, или я могу Вам выслать обновление на электронную почту
09:12 Вы
Извините, но мы не можем отключить антивирус.
09:19 Тамара
или я могу Вам выслать обновление на электронную почту
09:21 Вы
Я понимаю, но тот же дефендер НЕ ДАСТ распаковать и загрузить обновления. Еще раз, это антивирус от Майкрософт и он интегрирован в операционную систему.
09:29 Тамара
На данный момент разработчик ищет контакты для предоставление наших файлов для добавления в исключение Вашего антивируса
За результатами незалежної експертної оцінки компанія М.E.Doc підтвердила, що зараження відбулося через їхній сервер. За словами CEO компанії розробника Олесі Білоус, їхній сервер було зламано. Раніше у компанії відхрещувалися від закидів, що їхня програма була розповсюдником вірусу. // Починають частково визнавати — зважаючи на репутацію, можна стверджувати, що це автоматично означає, що винні вони у чомусь більшому.
Підписатися на RSS