Глобальная кибер-атака, которая затрагивала компании во всем мире, возможно, началась через поврежденные обновления на части программного обеспечения для бухгалтерского учета.
Пальцы все чаще указывают на часть украинского программного обеспечения для подачи налогов, MEDoc, в качестве источника инфекции, хотя компания отрицает это.
Вредоносное ПО обычно инфильтрирует сети через вложения электронной почты, которые пользователи щелкают по ошибке.
Microsoft описала этот метод как «недавнюю опасную тенденцию».
Кибер-атака вызвала срыв во всем мире и зараженных компаний в 64 странах, включая банки в Украине, российский нефтяной гигант «Роснефть», британскую рекламную компанию WPP и американскую юридическую фирму DLA Piper.
Автоматические обновления
Судоходный гигант Maersk сказал, что он не смог обработать новые заказы и ожидал отсрочки по грузам, в то время как один из крупнейших в Европе операторов порта в Роттердаме сказал, что ему приходится использовать ручные процессы, а голландская глобальная служба по посылке TNT заявила, что работает с ограничениями.
По словам австралийского государственного секретаря по промышленности и промышленности Джона Шорта, завод Кэдбери на островном штате Тасмания остановился, когда упали компьютерные системы.
Украина сильно пострадала, предполагая, что нападение может быть политически мотивированным.
По данным антивирусного поставщика ESET, 80% всех инфекций приходится на Украину, а в Германии наибольшее влияние на Германию составляет около 9%.
Все большее число экспертов по безопасности, в том числе британский эксперт по вредоносным программам Маркус Хатчинс, которому приписывают прекращение вспышки WansCry, заявляют, что у него есть журналы, которые показывают, что MEDoc является источником.
В электронной переписке с BBC г-н Хатчинс сказал: «Похоже, система автоматического обновления программного обеспечения была скомпрометирована и использовалась для загрузки и запуска вредоносных программ, а не обновлений для программного обеспечения».
Пока еще не ясно, как это было скомпрометировано, добавил он.
MEDOC отрицает претензии в сообщении Facebook, но в блоге, анализируя, как заразился вирус на компьютерах Windows, Microsoft также указывает пальцем на бухгалтерское программное обеспечение.
«Активные инфекции выкупа первоначально начались с законного процесса обновления MEDOC», - пишет он.
Возможный канал
Алан Вудворд, компьютерный ученый из Университета Суррея, сказал: «Ирония в этой ситуации (если это подтверждается) заключается в том, что мы всегда советуем пользователям постоянно обновлять свое программное обеспечение, в идеале используя автоматические обновления.
«Тем не менее, предполагается, что хакеры не могут перенести процесс обновления и не использовать его.
«Этот процесс обычно является очень жестко контролируемым процессом, поэтому это необычно.
«Я могу представить, что многие продавцы теперь тройной проверки, чтобы убедиться, что они не оказались в качестве вектора атаки».
Он сказал, что он показал, что «хакеры будут исследовать все возможные каналы», чтобы найти маршрут в системы.
Что касается распространения инфекции за пределы Украины, он добавил: «Я бы не стал сомневаться, что многие из этих транснациональных корпораций, таких как Maersk и Merck, установили это программное обеспечение».
Микко Гиппонен, эксперт по безопасности F-Secure, изучил страницы найма многих затронутых компаний и обнаружил, что некоторые из них действительно используют программное обеспечение MeDoc.
«Если вы занимаетесь бизнесом в Украине, программное обеспечение, по-видимому, де-факто», - сказал он.
В атаке были другие аномалии, указывающие на то, что они были нацелены, сказал профессор Вудворд.
«Программное обеспечение было сложным, но злоумышленники предоставили только один адрес электронной почты, и это было очень быстро закрыто, поэтому трудно не заключить, что речь идет не о деньгах, а о том, что они нацелены на Украину или тех, кто ведет с ней дело», - сказал он.
Кошмарный сценарий
Пресс-секретарь Кремля сказал, что вредоносная атака не нанесла серьезного ущерба в России.
«Системы защиты были достаточно эффективными как на государственном, так и на корпоративном уровнях», - сказал президент пресс-службы Дмитрий Песков.
Он добавил, что происхождение атаки остается неясным.
Большинство экспертов по безопасности согласны с тем, что вирус, который, как считается, является новым вариантом рецессии Petya, был распространен с использованием уязвимости Windows, известной как Eternal Blue, обнаруженной Агентством национальной безопасности и просочившейся в Интернете.
Г-н Hypponen сказал BBC, что было «совершенно ясно», что хакеры в WannaCry и Petya outbreaks использовали эксплойт NSA.
Тот факт, что он теперь просочился и использовался преступными или политическими хакерами, был «кошмарным сценарием» для разведывательного агентства, сказал он.
«Он решил использовать этот эксплойт, не рассказывать об этом Microsoft и не использовать его, а теперь он просочился, стал общедоступным и использовался в атаке», - сказал он.
NSA не публично признал, что его инструменты использовались при любых хакерских атаках, но это также не отрицало.
Комментариев нет