Pull to refresh

Comments 134

Как в этом случае объясняются заражения за пределами Украины?
Это хороший вопрос, но не к данной статье :) Тут мы именно медок смотрели. Исследования продолжаются.
Возможно, там есть аналоги медка.
MEDoc это изначальный вектор, дальше как обычный вирус, например, через непропатченую samba, а там пошло-поехало.
ОН там несколькими способами распространяется. И ETERNALBLUE походу не самый основной, т.к. если не все, то многие патчи накатали.
А вот дамп паролей через Mimikatz с получением админских паролей — и дальше пошло-поехало. Причем если в одноранговых сетях с разрозненными юзерами и компами может ограничиться одной-парой машин с МеДком, то в домене, если зараза получает хоть один пароль домен-админа, начинается самая «веселуха». Причем легитимными способами системы с использованием WMI и PsExec.

По поводу выхода за пределы Украины — были сообщения, что первыми пострадали «материнские» компании, которым троян «прилетел» через VPN от украинских «дочек».
Как он вырвался in the wild к остальным — тут вопрос пока открытый, как я понял.
Вот еще в копилку:
[27/Jun/2017:13:02:03 +0300] "OPTIONS /admin$ HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
[27/Jun/2017:13:02:03 +0300] "PROPFIND /admin$ HTTP/1.1" 405 312 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
[27/Jun/2017:13:02:03 +0300] "PROPFIND /admin$/perfc HTTP/1.1" 405 318 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
[27/Jun/2017:13:02:03 +0300] "PROPFIND /admin$/perfc.dat HTTP/1.1" 405 322 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
Откуда дамп паролей через Mimikatz, вы там не просыхаете что-ли? Или просто умную слову вспомнили?
Да они скорее всего golden ticket генерили, а против него уже не попрёшь по сути.

От имени зараженных пользователей рассылка, у которой эффект в разы выше, чем у обычной рассылки с вредоносом

В компанию (российскую, не ведущую дел с Украиной), где работает мой тесть (естественно, говорить название не буду, они публично не заявляли о заражении) вирус пришел по почте в бухгалтерию под видом письма из налоговой. В итоге, люди неделю не могли зарплату получить. Да и везде говорят, что Медок — только один из векторов распространения.
UFO just landed and posted this here
Сервера обновлений сейчас вроде изъяты и изучают.
Тот же ESET утверждает, что был обнаружен PHP-дроппер на FTP-сервере обновлений.
Что именно и как поломали (а также поломали ли только FTP, или глубже залезли) — пока еще расследуют.
Сервера обновлений сейчас вроде изъяты и изучают.

Вчера мы попробовали установить его на изолированный компьютер и скачать обновления. Обновления скачались. Антивирус при этом ругнулся на полученный WannaCry. Я так и не понял, что это было, какое-то изощренное бизнес-самоубийство компании-разработчика Медка?
Неа. Мы не за вирусом охотились, а просто выясняли, можно ли воспользоваться Медком по назначению, т.к. необходимость своевременной регистрации налоговых накладных никто ж не отменял.
наши бухгалтера без MeDoc отчетность ваяют теперь. Благо 1С не затронуло. Как-то разрабы вируса не учли этот нюанс, или специально учли.
Судя по всему — 1с затронуло. Со вчерашнего дня сервер 1С Звіт не доступен. И прилетело письмо от партнера «не обновлять до выяснения»
А можно подробнее? Что за «1С Звіт»? Какой сервер у них?
Ну, по тому что я сравнивал, это ответвление от раннего МЕДКа. Исполняемые модули называются так же. Dll — ки похожи. Интерфесй — тот же МЕДОК, но баз красивостей (МЕДОК выглядит как Windows XP с «сине-зеленой темой», а 1С-Звіт как XP с отключенными красивостями ) Умеет только firebird из БД. Из «фишек» прямая интеграция с 1С (Бухгалтерия для Украины, УПП для Украины и т.д.). Можно отправлять отчеты прямо из 1С. Вроде как идет бесплатно, если есть подписка на ИТС. Интеграция, кстати, имеет и отрицательный эффект. Например для обновления нужно закрыть все работающие экземпляры 1С не зависимо от того подключена ли конфигурация к 1С Звіт. Версии обновлений и сервер — другие. Но само приложение обновления — такое же. Местами даже проскакивают логотипы МЕДКа (желтые соты)

Сервер — http://1c-sed.com.ua/ Но с вчерашнего дня он не отвечает.

В разборе бекдора от ESET в одном из листингов этот сервер проскакивает.
UFO just landed and posted this here

Я не знаком с украинскими реалиями, но подобные программы такой мелочью как массовое зарожение не убить. Уж слишком они востребованы. Может, конечно переименуют, но бизнес будет дальше жить.

Если бы он был один, то конечно. Но у него несколько крупных конкурентов есть, «Соната», iFin и т.д., для которых данная ситуация как бальзам на душу.
Медок стоит на серверах принимающих отчётность и у работников налоговой, пенсионки и т.д., так что его никаким дустом не вытравят.
Медок стоит на серверах принимающих отчётность и у работников налоговой, пенсионки и т.д., так что его никаким дустом не вытравят.

А по опыту сдачи отчетов могу сказать, что там сидит пенсионерка по имени Василиса, которая изучает через лупу распечатки со старого струйного принтера с надцатой заправкой картриджа :))

Пофиг, что стоит на том конце: спецификации протокола и бланки документов давно открыты, есть альтернативные продукты, чьи отчеты налоговая принимает. Ничего особенно сложного сделать отчет в Notepad++, только не быстро получится :)

PS
Любая монополия — зло. Особенно когда ее насаждают чиновники, да еще и за деньги. Медок должен умереть.
Пофиг, что стоит на том конце: спецификации протокола и бланки документов давно открыты


Вот лично у меня была ситуация в 2012 году когда налоговая не принимала отчет сделанный в лицензированном «Арт-Звіт». На все вопросы ответ — Попробуйте сделать в АРМ Звіт (Предшественник МЕДКа). Сделали — прошло. Вытащил и сравнил xml-ки из программ. Разница была ровно в одно поле. В «правильной» программе было поле «Сделано в АРМ Звіт версия ». И вот тут вся открытость закончилась. Попытки спросить «А почему?» натыкались на ответ: «Мы ничего не знаем. У нас программа не принимает и все.» Так медок стал монополистом. А теперь другие хорошие системы есть (та же Соната мне нравится), но бухгалтера и интеграторы знают только МЕДОК. Может сейчас ситуация сдвинется.
Вот лично у меня была ситуация в 2012 году когда налоговая не принимала отчет сделанный в лицензированном «Арт-Звіт». На все вопросы ответ — Попробуйте сделать в АРМ Звіт (Предшественник МЕДКа). Сделали — прошло.

Я ключевые данные в цитате выделил — как раз в 2012 году Клименковцы активно впендюривали нам все это. Тогда же и ключи не все и не везде подходили, МЕдок почему-то не хотел принимать бесплатные ключи от АЦСК ДФС и т.д. и т.п. Я отчет в ПФУ из EDZV с описанием с сайта ДФС в зубах в январе 2016 допиливал в Notepad++ — все прошло нормально.
В стране, где твой бизнес и проект могут взять и завалить через 3 года вот одним таким полем — не очень хочется вообще начинать бизнес.
Три года ты сходишь с ума в обстановке постоянных изменений в налоговом учете, а потом отчеты от твоего софта просто не принимают в налоговой, и ты пытаешься с этим разобраться в переписках с налоговой целую неделю, но из-за возможных штрафов, все клиенты, которых ты 3 года нарабатывал за эту неделю с тебя сбегают, и назад их уже не затащить. Потому что никто не хочет рисковать — ни клиенты, ни ты.
А я сегодня за минут 15 знакомому бухгалтеру откатил МЕдок до 188-ой версии за «чашку кофе». Фирмочка с мелкорозничной торговлей через несколько десятков ФОПов и годовым оборотом 100+ млн грн — в ней нет даже никакого жалкого подобия «компутерщика». И фирмочек таких тысячи и всем им приходится из-за убогости этого «ПО» привлекать сторонние силы для сопровождения.

Я очень уважаю данного конкретного бухгалтера, но спустя 3 минуты попыток понять что ей будет проще усвоить: периодически оптимизировать БД МЕдка или попробовать разные бродилки для захода в «электронный кабинет плательщика», я предпочел забить. В Системе, где насаждаемое чиновниками платное «ПО» типа МЕдка корысти ради, возводится в Абсолют, рассчитывать на спокойную жизнь глупо :)
Ничего подобного. Сформировав как-то «вручную» отчёт и кое-как его подписав, после отправки его, скажем, в налоговую, вы получите что-то типа «документ не принято, неизвестное программное обеспечение». Потому что для отправки вы должны пройти сертификацию отправляющего ПО. Я даже наблюдал как из-за необновления медока были отказы принять отчёт с указанием, что требуется версия медока не ниже такой-то.
Более того, обмен электронными документами с контрагентами, возможен, только при условии, что у контрагента установлено то же ПО, что и у вас.
Вы путаете теплое с мягким :)

Руками можно подготовить XML, а вот подписать (и отправить) его — это уже требуется сертифицированное ПО, коего есть вагон и маленькая тележка. Я подписывал и отправлял «Сонатой». Сертификацию проводит ДСЗТИ. ДФС и ее прилипалы к этому процессу отношения не имеют (?).

Насколько сложно подготовить и сертифицировать свое ПО для подписи? Я не знаю.
Не вижу смысла делать руками то, для чего есть программы. И вся сложность существующего положения в том, что медок, несмотря на свою ущербность, лучшее ПО для полного цикла создания и отправки отчётности. Прямо как винда в плане осей.
медок, несмотря на свою ущербность, лучшее ПО для полного цикла создания и отправки отчётности

Извините, но я уполз под стол.

PS
Любая монополия — зло. Особенно когда ее насаждают чиновники, да еще и за деньги. Медок должен умереть.
Насколько сложно подготовить и сертифицировать свое ПО для подписи? Я не знаю.

Достаточно геморройно. Выпуск софта со средствами криптографии в Украине — это вид деятельности, подлежащий лицензированию. И если вы там пишете что-то за рубеж на аутсорсинге, никто об этом заморачиваться не будет, конечно же. Но когда вы вытащите на свет божий приложение для обмена документами с фискальными органами Украины, помимо его сертификации, с вас спросят ещё и лицензию. Её получить уже сложнее, вам нужно и подтверждать наличие в штате дипломированных специалистов по криптографии, и соответствовать минимальным требованиям по оснащенности и т.д.
Учитывая, что шлюз к серверам ДФС держит Медок, то все эти альтернативы обязаны работать через сервер медка, так что компания не уйдет с рынка.
Ждем когда государство свою ИТ службу напряжет для переноса всего этого добра в руки гос-ва
.
У принимающих отчетности стоят шлюзы всех разработчиков.
Пруф будет? Есть единое описание структуры документов и все разработчики должны их соблюдать.
Как вы думаете, для чего в стандарте на файлы отчётности присутствует поле «SOFTWARE»?

Ровно для того же, для чего в HTML страницах стоят теги с указанием CMS, которая сгенерировала данную страницу — XML-отчет в ДФС должен соответствовать стандарту независимо от «изготовителя». «Войны стандартов» оставьте браузерам под Windows.
Вот тут тоже непонятная вещь. Анализ говорит о бекдоре, то есть возможности скачать вредоносный код. И тертически в обновлении самого вредоносного кода в конкретный момент может и не быть, но он может быть вам доставлен в любой момент.
И тут самый интересный момент — командные сервера, с которых скачиваются полезные нагрузки — где?
Да, уже почитал в новости Есета. Абалдеть. Но это пожалуй ставит крест на версии заражения какой внешней силой. Слишком палевно из-за невозможности замести все следы.

А палево-то в чем, пока вирус спит? Мне кажется, так хостить такие вещи на своих официальных серверах — и есть то самое "палево".

сеть большая, слишком велика вероятность, что где-то что-то останется в файлах, логах и тд на самой компании. Это же получается постоянный, неоднократный доступ — вредоносный код то добавляли в апдейты, то убирали
Арендованного/взломанного сервера на территории нужной страны скорее
Есть еще одно расследование от Talos Intelligence, они сотрудничали с Медком для анализа ситуации.

http://blog.talosintelligence.com/2017/07/the-medoc-connection.html

Подтверждается все, что нашли сотрудники ДрВеб — и про бэкдор и про компроментацию медка. Возможно изначально даже внутренней атакой.
Кто не читает английский, я вкратце переводил основные факты в комментах.

В общем основной момент — подпатчили конфиг nginx сервера обновлений, и проксировали траффик на внешний сервер, с которого видимо и раздавали поддельные обновления. Поэтому внутри Медка следов очень мало.
Шикарно, просто шикарно. Спасибо за перевод!

Но вообще атака производит впечатление какое-то странное. С одной стороны нормальное сокрытие, следы обрываются, но с другой — ошибки при правке вебконфигов, непочищенные логи, ошибки в коде трояна, ошибки в реализации алгоритма шифрования

Проба пера в ожидании рецензий на проведенную атаку. Как узнать все свои ошибки и получить бесплатно рекомендации по их устранению
Ну… диванная аналитика дает множество версий.

Например, можно предположить, что над разработкой плана работали достаточно шарящие граждане. Но вот палиться при непосредственном проведении атаки они отказались, оставшись консультантами.
И непосредственным исполнителем был продвинутый проинструктированный юзер (возможно даже один из заказчиков), который делал мелкие ошибки, а про подчистить за собой логи даже не знал.

Или как вариант, заказчик-исполнитель нанимал разных специалистов для разных задач, таким образом, что они не видели всю картинку — например длл делали для взлома конкретной фирмы, не подозревая, что ее будут распространять массово, через официальный сервер обновлений.

Или просто нервы, алкоголь для храбрости и бобро.
или сделали что-то нужное, а потом грохнули следы и зацепили еще с сотню-тысячу «счастливчиков» чтобы замести основную деятельность. На это наталкивает шифровальщик без возможности расшифровки…
Дааа, диванная аналитика рулит! )))
Они также говорили, что у них договора с антивирусными компаниями, которые проверяют их обновления и исключают их детект. Названий компаний, заключивших договора с медком о таких вопиющих делах я ни разу ни видел, как и названия компании-аудитора кода

«Так вы тоже говорите, что можете» (Известный анекдот)
Источник — собственное расследование компании «Доктор Веб»: https://news.drweb.ru/show/?i=11363&lng=ru&c=14 Есть скрины кода, есть лог антивируса.
image
Ну вот что на это сказать? И это на сервере, правда петю не словили ))

M.E.doc — программа для подачи отчетности, а 1С — ERP. Не понимаю какая связь между 1С и M.E.doc?

Спасибо за разъяснение. То что я слышал — «типа украинский аналог 1С'а»
Есть 1С Звіт. — модуль отчетности для 1С. Но по сути — ребрендинг МЕДКа. Один в один не сравнивал, но название исполняемых модулей, организация обновлений и структура программы похожа на МЕДОК но в «легком» исполнении. Версии обновлений и сервер — другие. И с вчерашнего дня их сервера не доступны. От партнеров пришло предупреждение «Не ставить обновления»
UFO just landed and posted this here
Отчеты из 1С парсятся в Медок и отправляются в налоговую. Не нужно ничего делать руками.
А так — это разные вещи.
Тем временем сервера M.E.Doc изъяты, и соответственно сайт их недоступен (если только он не лег от трафика после таких постов и новостей). А жаль, хотелось посмотреть на аналог 1С за авторством украинских программистов.
А жаль, хотелось посмотреть на аналог 1С за авторством украинских программистов.

Медок — это не аналог 1С, это приложение для электронного документооборота между предприятиями и госорганами.
Это не аналог 1С, это программа сдачи отчетности в налоговую.
M.E.Doc не аналог 1С, даже близко.
Ребят, я и с первого раза понимаю :-) ОК, не аналог так не аналог, в новостях ее просто так представили в каком-то из СМИ.
Что-то ни eset, ни drweb не упомянули, имела ли бэкдорная либа цифровую подпись?
Если да, то внедрить коня без доступа к билд-серверу или полным исходникам не получилось бы. А если подписи нет… то бардак и несоблюдение базовых правил публикации, привели к возможности вот так влёгкую заразить всё и вся…
Не было там подписи. И добавить в DLL-ку в бэкдор можно только имея доступ к сорцам. Что как бы намекает…

Управляемые сборки можно модифицировать и без доступа к сорцам — они, как правило, прекрасно декомпилируются.

Как уже сказали выше, без подписи исходники не нужны для того, чтобы скомпилировать модифицированную версию.
А тут ни подписи, ни обфускации… никакой защиты.
Бардак с обновлениями там постоянный. Перед каждым обновлением приходилось курить форум поддержки на предмет — чего поломали и как не поломать у себя. Им за это много раз притыкали. Но у них один ответ — у нас ресурсов хватает только на внедрение обновлений законодательства. На доработку софта появятся только когда перестанут массово законы менять. С одной стороны я их понимаю. 3-5 обновлений в месяц по формам и документам и в каждом обновлении целые списки изменений. С другой — есть подозрение что проблема в архитектуре программы. Если меняются только формы (xml), то зачем каждый раз патчить БД?
С одной стороны я их понимаю. 3-5 обновлений в месяц по формам и документам и в каждом обновлении целые списки изменений. С другой — есть подозрение что проблема в архитектуре программы.


При работе с филиальной сетью в пару десятков филиалов или с сотней-другой ФОПов убогость архитектуры Медка сразу вылазит на первый план. Не забываем, что в 2012 году под названием Медок в анальные отверстия субъектов хоздеятельности Клименко засовывал для дальнейшего распила, а не облегчения жизни налогоплательщика. Поэтому после провала схемы по распилу они и не смогли нормально жить на просто поддержании актуальности инсталляций. Отсюда и тот бардак с обновлениями — неожиданно пришлось работать.
Персональные ключи из АЦСКК «Украина» (тоже «Интеллектсервис») в кабинете плательщика на сайте налоговой не принимаются. Скомпромитирован сервер? Тогда можно ожидать немного потных нервных очередей в немногих оставшихся бесплатных АЦСКК в налоговых администрациях…
Если я правильно понял, их сайт http://uakey.com.ua и он сейчас в глубоком дауне…
Говорят, что вроде бы уже ожил. И даже со старым корневым сертификатом.
Силовики, судя по кадрам современным и прошлым, вполне могли заниматься шантажом, лазить по компам бухгалтеров. Это кланы коррумпированные. Надгосударственные структуры между собой воюют.

Так что надо ждать независимого расследования, и даже не с Украинской стороны ( могут сливать ложную информацию через зависимых разработчиков), а международной.

Думаю, независимое расследование теперь почти невозможно: сервера изъяты украинскими силовиками…
Представим теперь что пробивают сервера wsus майкрософта и закидывают Петя3 на машины — Пандемия.
И админы учатся не только своевременно обновлять серверы и компьютеры в сети, но и делать это только после тестирования обновлений.
Домашние пользователи десятки страдают, на остальных осях автоматические обновления почти все выключают.
Тестирование не спасает. По сообщению от Авакова, заражение бэкдором было ещё 15 мая. Поскольку бэкдор «безобидный», вируса ещё нет, то никакое тестирование не выявит вредоносности — пока бэкдору не поступит команда в «час икс».
Бэкдор был как минимум с середины апреля…
SHA1 7b051e7e7a82f07873fa360958acc6492e4385dd, метка времени в заголовке.
Ну в Майкрософт, я думаю, быстро просекут, что пакет обновления подменили. У них там защита всё же не тривиальная и не ограничивается одной лишь цифровой подписью.
Но если надеть шапочку из фольги, то можно сказать, что в любом обновлении Майкрософт сам добавляет бэкдоры для АНБ.
Поэтому как только начались санкции против российских банков распространенной практикой стало отключение систем обновления вообще
хм, хотите сказать что WannaCry-2 было «принуждение к обновлению»?
По исследованию — есть бекдор с функцией скачивания. Тоесть полезной нагрузки в определенный момент может и не быть. Может быть злоумышленники заменяли вредоносный код в обновлениях, может быть всегда в них был только бекдор и действительно загрузка вредоносных модулей начиналась по команде с управляющего центра после загрузки обновления. Как-то все запуталось
а что тулза на скринах? схема понравилась
Доброго времени!

Спасибо за обзор.

Единственно, что непонятно — почему ESET, выпустивший свой обзор утром (https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/, By Anton Cherepanov posted 4 Jul 2017 — 10:00AM) говорит о трёх файлах бэкдора, а Dr.Web, выпустивший свой обзор вечером, только об одном: файле с SHA1: 3567434E2E49358E8210674641A20B147E0BD23C (очевидно, BackDoor.Medoc.1).

Данная запись перекрывает и два других файла бэкдора, упомянутых в работе ESET (SHA1: 7B051E7E7A82F07873FA360958ACC6492E4385DD и SHA1: 7F3B1C56C180369AE7891483675BEC61F3182F27), или следует ожидать появления записей BackDoor.Medoc.2 и BackDoor.Medoc.3 и, соответственно, обновления текста данного обзора? Спасибо!
Это разные сборки одной и той же DLL-ки с разными датами компиляции. Рассмотренная нами в статье — самая свежая, с наиболее полным функционалом.
И .2 и .3 были добавлены, просто описание делается по конкретному семплу.
WNet (украинский интернет-провайдер) сейчас главный подозреваемый в подмене обновления для M.E.Doc на обновление, которое содержит вирус.
Подмены со стороны провайдера скорее всего не было. Аваков заявляет, что взломали комп одного из разработчиков, получили доступ к исходникам и внедрили прямо в них бэкдор.
WNet (украинский интернет-провайдер) сейчас главный подозреваемый в подмене обновления для M.E.Doc на обновление, которое содержит вирус.

Тот самый WNet, которого совсем недавно щимили СБУ за коммутацию трафика (и госорганов в том числе!) через россию?

UFO just landed and posted this here
Посему, я желаю чтобы медок закрыли и вместо нее появились аналоги.

Дык, аналогов навалом, некоторые существуют дольше медка, и многие работают лучше.
Мы сейчас перешли на Сонату. Я не могу судить по поводу секьюрности, но что касается стабильности и быстродействия, мне она за год эксплуатации нравится намного больше. По платформе, там явно что-то VCLное, или Delphi, или Билдер. Локальная СУБД — SQLite. Это уже несекьюрно, но решается настройкой прав на файловую систему.
Для интеграции — она ест обычные XML-ки в формате OPZ, ну и из Медка умеет импортировать данные/профили.
И ещё, она просто крохотная в сравнении с Медком. Меня сам этот факт радует :)
UFO just landed and posted this here
ifin, артзвит — из того что вспомнилось быстро
Причем убивает базу наповал. Было уже не раз.
А благодаря Firebird, база со временем начинает тормозить. И надо раз в пару месяцев, делать бекап и восстановление.
Но это мелочь. Можно было простить и даже автоматизировать.
Если бы не одно но… время восстановление может быть разное.
Так в последние раз восстановление у меня заняло 4 дня!!! 4 гребанных дня.

Попутный вопрос:
А в МЕдке все так же для подключения к базе используются дефолтные login SYSDBA и pass masterkey, как и в предыдущем БестЗвит? Если да, то у меня руки устанут набивать рукалицо.
UFO just landed and posted this here
Это же какой бардак должен быть чтобы такое допустить. Мне сложно представить процесс разработки, при котором можно так просто втулить код и компилит его в каждом релизе.
Кто из МЕДка? Расскажите, что там у вас происходит?
Бабы у руля :) А вообще вся эта тема с Медком уж больно попахивает, как бы не заказуха все это. Завалить контору, у которой на обслуживании минимум 60-70% клиентов от общего рынка данного типа ПО в Украине, это кому-то очень сильно на руку.

Повод действительно весомый, первая претендующая на реальность версия.

Нет явных конкурентов, как по мне, версия маловероятна. Также атака хорошо спланирована и подготовлена, что в свою очередь подразумевает большие затраты на подготовку и наличие группы профессионалов, тут явно причина или мотив посерьезнее. Выбивание конкурентов можно было бы провести с меньшими потерями для предприятий и большей ориентацией на "нужные" сми и поддержку "нужными" органами и организациями.

Да где вы тут увидели что-то хорошо спланированного и подготовленного? Для произошедшего достаточно одного крота в компании, взяли уже давно существующий софт червя, шифровальщика, поменяли его для большего ущерба, добавили в медок дырку, протолкнули шифровальщик, все. Если бы действительно все хорошо подготовлено и спланировано ни кто-бы не нашел что проникновение прошло через медок, зачем профессионалам оставлять ниточки?
Удачный выбор жертв и способ влияния на них это уже один главных шагов правильно спланированной атаки. Все остальное действительно дело техники, но и это требовало значительных затрат денег, времени и теребовалось наличие знаний. И не понятно зачем для обычного шантажа или выведения конкурента проводить сбор данных?
Если судить из Вашего предположения, что спланирована и проведена атака была неважно, то зачем заказчику рисковать своим именем и репутацией (если это конкурент), зная что ты сам себя можешь этим опорочить и также останешься у «разбитого корыта»?
вот вы видите значительные затраты, а я нет, уровень знаний — студенческий, нет ничего сложного взять готовое и внести изменения, да, судя по статьям тут, они были корявые.
откуда взяли что был сбор данных? была техническая возможность через дыру в медоке, а шифровальщик наоборот был лишен связи, где написано что был зарегистрирован сбор данных?
а где заказчик рискнул именем и репутацией? вы знаете заказчика? а если заказчик расследует это дело?
суть то, версии, в том что конкурентов крышуют и эта крыша организовала дело дабы приподнять своих, да возможно перестаралась, но ущерб, судя по статьям (сам я не в курсе), минимальный из возможного.
как-то так.
Есть упоминания, что проводился сбор ЕГРПОУ, учеток почты, прокси (заявление некоторых антивирусных компаний). Хотя я не понимаю, что страшного в сборе ЕГРПОУ, это и так доступная информация. Будет печальнее если собиралась дополнительно информация про ЭЦП, обороты предприятий, контрагентов и т. д.
И да, кто заказчик непонятно, я конкурентов реальных не наблюдаю (может быть пока что). Если хотят кем-то заменить, то пора бы кандидата выдвигать, а то вся шумиха уляжется и толку никакого не будет.
Что значит упоминания? На первом скрине в этом посте четко видно что данные почты собирались :-)
Это «не тот» сбор информации (ну окромя ЕГРПОУ конечно), это работа штатного механизма распространения шифровальщика, была ли зарегистрирована передача («наружу») этой информации, какой-то дополнительной в крайнем инциденте?

На счет ЕГРПОУ, все (которые я посмотрел) ссылаются на статью ESET, но что-то я там этого не нашел.

Хотя я не понимаю, что страшного в сборе ЕГРПОУ, это и так доступная информация.

— коллекция связанных данных ЕДРПОУ+email+адрес+директор+главбух;
— фактически «связанные лица», отчеты которых готовятся на одном и том же рабочем месте; особенно целые коллекции ФОПов, через которых ведется фактическая хоздеятельность многими ритейлерами;
— коллекции ФОПов, через которых выплачивают «конверты» сотрудникам;
— коллекции контрагентов (отчет СТК включает только крупных с лимитом по обороту);
— еще куча всякого разного, что я сходу не смог придумать.

Все эти массивы информации имеют колоссальное значение для финансовой и еще какой разведки.

Моя версия: бэкдор сделали спецслужбы — судя по функционалу и себестоимости, у них были средства и мотивы. А потом кто-то ушлый декомпилировал в каких-то других целях DLL-ки, обнаружил халяву и неумело воспользовался, спалив контору.

у меня на медке 20 юр лиц висит) благо был на больничном с 24 и к моему ноуту доступ только у меня)) через vpn скачал веб, сижу гляжу что выплывет, на компе в место антив. штатно стоит Spyware Process Detector (есть ряд подозрений уже замороженых) кто то в курсе о номерах ID зловредных процессов?
Если целью злоумышленников была кража данных из предприятий, то тогда «дымовая завеса» чтобы скрыть следы, возможно. Хотя судя по масштабам это попытка сжечь город, чтобы скрыть кражу пяти копеек. Но не суть. Другой вопрос — чего именно хотели злоумышленники? Данные? Бред. Ценность любой информации при наличии факта возможности ее кражи снижается на порядки — хозяева должны перестраховаться. Будь то доступ к банкингу или «ноухау». Поэтому не стоит строить «гипотезы» и воспользоваться скальпелем Окама. Цель злоумышленников именно то что и произошло. Кратковременный выход из строя нормальной работы атакованных предприятий. Финансовые и материальные потери. Паника у обывателей. Делайте выводы.
«выгрузка произвольных файлов на удаленный сервер.»
На сервере вместе с медком лежат же ключи цифровой подписи? То есть их могли украсть и использовать в своих целях? Или я что-то путаю?
MEDoc — как по мне, это программа с самым не юзер-френдли интерфейсом из виденных мною. А тут еще и вирусы…
Это вам ещё не довелось готовить и отправлять отчетность в домедковую эпоху, через OPZ
О, да я еще помню как в минздох на флешке отчет возил)) набор «пытомой ваги» то еще удовольствие… а потом захерячили SKPZ і настал лютий пииизз...)
Вот такое письмо нам пришло на почту ( Доброго дня, шановний клієнт!

Повідомляємо, що безпечною для роботи вважається версія ПЗ M.E.Doc 10.01.188. Якщо Ви встигли оновити програму до останньої версії 10.01.189 — рекомендуємо конвертувати базу Вашої програми у попередню версію (10.01.188). В цьому Вам можуть допомогти наші конультанти.

Щоб зекономити Ваш час і попередити перевантаження консультаційної лінії просимо Вас попередньо завантажити інсталяційний файл програми M.E.Doc та програму для віддаленої підтримки.

Після того, як завантаження завершиться зателефонуйте до нас або зверніться на сайті онлайн, і ми допоможемо Вам у подальших діях.
Осталось понять не было ли в 188-м билде того же бэкдора :-)
Вы даже не представляете насколько довелось )). Я пришел в налоговую работать как раз когда началось массовое внедрение электронной отчетности. И первые полгода только тем и занимался что консультировал по установке/работе с OPZ, а еще генерация ключей на дискеты(!), даже кликер написал, чтоб он все делал, а я только дискеты переставлял. Эх, было времячко )))
Но сравнивать OPZ и MEDoc, имхо, немного не корректно. OPZ лишь для генерации правильного XML использовалась, а МЕДок как решения для организации электронного документооборота.
Но интерфейс у OPZ был более прост для освоения «методом тыка»
Тогда у них была отдельная программа, тоже авторства каких-то энтузиастов из налоговой, которая позволяла подписывать и отправлять документы. Т.е. какой-никакой документооборот был. С подпорками и педалями.
Но интерфейс у OPZ был более прост для освоения «методом тыка»

Там были нюансы. Валидация форм делалась тупо по схеме средствами XML-парсера, и бухгалтеры были счастливы получать сообщения об ошибках вида «Field NPMFDZ is required». При этом в штате ещё желательно было иметь админа, который знал, что такое XML, и был в состоянии найти поле NPMFDZ.
бухгалтеры были счастливы получать сообщения об ошибках вида «Field NPMFDZ is required»
Ну это да. Было интересное занятие, найти неправильное поле )) Но со временем у нас почти все бухгалтера уже знали что это за поле. Пришлось)))
в последнем обновлении там был кривой аналог TeamViewer для удалённой поддержки, причём насторожило то что галочка на прямое подключение была активирована по умолчанию, а еще там был список фирм и фопов какие могли подключатся для «помощи»…
Отрывок в инструкции к медку (http://www.medoc.ua/pdf/M_E_Doc_instr_NEW4.pdf) стр.3 абз.3 в теперешних реалиях звучит словно издевка — «Будьте обережні: ЗАХОПЛЕННЯ «М.Е.Dоc» СПРИЧИНЯЄ НЕЗВОРОТНІ ПРОЦЕСИ!!! » Перевожу — Осторожно, увлечение «М.Е.Dоc» приводит к необратимым процесам!!!
Sign up to leave a comment.