Интересный разбор (не мой)

[tranquiler]

С.Прач:
Решил поковыряться в сетевой структуре сервиса M.E.Doc, через который был заряжен вирус #Petya, поразивший значительную часть компаний в Украине.
Для начала посмотрел какие IP-адреса стоят за сервисом обновлений upd.me-doc.com.ua. Оказалось что такую большой банк инсталлированных приложений обслуживает только один хост:
____________
$dig -t any upd.me-doc.com.ua
; <<>> DiG 9.8.2rc1-RedHat-9.8.2–0.62.rc1.el6_9.2 <<>> -t any upd.me-doc.com.ua
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 10
;; QUESTION SECTION:
;upd.me-doc.com.ua. IN ANY
;; ANSWER SECTION:
upd.me-doc.com.ua. 59 IN A 92.60.184.55
;; AUTHORITY SECTION:
com.ua. 66991 IN NS ho1.ns.com.ua.
com.ua. 66991 IN NS nix.ns.ua.
com.ua. 66991 IN NS ba1.ns.ua.
com.ua. 66991 IN NS k.ns.com.ua.
com.ua. 66991 IN NS sns-pb.isc.org.
______________
Ой, что это? Для обновления сотен тысяч копий инсталляций Медка используется всего один хост — 92.60.184.55. Я конечно понимаю, что за одним хостом может стоять целый парк серверов. Но есть еще один важный момент — TTL записи равен всего 60 секунд ( на скрине видно 59 сек, потому что 1 сек заняло получение ответа от dns-сервера). Такой маленький TTL будет провоцировать огромное количество запросов на dns-сервера, потому что он практически не кэшируется — срок жизни в памяти кэширующего dns-сервера будет составлять всего 30 сек.
В мире Интернета не принято критически важные сервисы вешать на один хост. Например, для обслуживания dns-записей должно быть не менее 2х хостов, и желательно физическое расстояние между ними — не менее 200 км.
Вітекающий обощенный вопрос: зачем такому критичному сервису использовать такие очень критичные для стабильности показатели — всего 1 хост и с таким коротким временем достоверности 30 сек (половина от TTL 60 сек)?
Ответ пока в голове только один — что бы в случай чего быстро закрыть хост и отказать в обслуживании, попросту — быстро смыться и унести ноги.
Ок, идем дальше, а на чьей площадке располагается этот хост для обновления такого критичного приложения, как M.E.Doc:
_____________________
whois 92.60.184.55
[Querying whois.arin.net]
[Redirected to whois.ripe.net]
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the “-B” flag.
% Information related to ‘92.60.184.0–92.60.184.255’
% Abuse contact for ‘92.60.184.0–92.60.184.255’ is ‘abuse@wnet.ua’
inetnum: 92.60.184.0–92.60.184.255
netname: Wnet-Kiev-COLO
descr: Kiev colocation
country: UA
admin-c: WNET2-RIPE
tech-c: WNET2-RIPE
status: ASSIGNED PA
mnt-by: WNET-MNT
created: 2011–01–04T13:40:08Z
last-modified: 2011–01–04T13:40:08Z
source: RIPE
role: W NET NOC
address: Wnet LLC
address: Bohdana Khmelnitskoho 50-b
address: Kyiv, 01030
address: Ukraine
phone: +380 44 5900800
fax-no: +380 44 2892817
abuse-mailbox: abuse@wnet.ua
remarks: troubles: http://support.wnet.ua
remarks: troubles: noc@wnet.ua
____________________
Ба, знакомые все лица — это же WNet, которого недавно трусило СБУ )))
Именно тот WNet, которого поймали на левых интернет-канал в Крым.
Ну конечно мы верим что это чисто коммерческий контракт был и ФСБ абсолютно никакого отношения к этому интернет-каналу отношения не имел, а WNet никакого сотрудничества с ФСБ РФ не вел ))).
Ау, WNet — неужели мы давали повод считать себя идиотами?
Интелект-Сервис «крест на пузе» клянется, что никаких апдейтов с вирусами он не выкладывал. Окей, я лично — верю. Потому что им и не надо было выкладывать. За них это сделали админы дата-центра WNet.
Они просто в нужный момент перекинули трафик с одного хоста на другой, подставной.
Всего на 2–3 часа. А потом вернули маршруты в изначальное состояние.
Могли даже перебрасывать не весь трафик, а только тот, который касался выгрузки файлов с завирусяченным апдейтом. Тогда даже статистика запросов к серверу upd.me-doc.com.ua ничего не выдаст.
Итого: идеальное кибер-преступление.
Никаких следов, никаких взломов, никаких логов, предьявлять — нечего.
Идеально, но кроме одной мелочи. Если сопоставить лог обновления медка с зараженного, но восстановленного компьютера, с логами на серверах обновления медка, то легко будет выявить разницу — на бухгалтерском компьютере будут записи о скачке апдейта с вирусом, а на серверах медка таких обращений не будет. А это будет однозначным подтверждением того, что WNet «вмочил свои рога» в эту атаку по полной.
Напомню, что во второй половине марта Украина уже пережила одну атаку вируса XData. И тогда словацкая компания ESet обвинила в распространении этого вируса M.E.Doc через свои апдейты.
Подробнее читайте здесь: https://ain.ua/2017/05/24/vse-pro-xdata-poka
Скорее всего то была пробная попытка использовать их сервис обновлений для распространения вируса.
После этого они просто решили «поднакопить силы», что бы ударить массово, в строго определенное время.

ССЫЛКА

Comments

[vera_croose]

Атака ради спорта, ради атаки и драйва - не делается никогда!
Это в 2000-м студент мог завалить вирусом тысячи машин, обнулив им BIOS. Сделал рекламу себе лично и избежал суда, получив работу в спецслужбах.
Этим такое не нужно.
Эти - отвлекали.
(Реального ущерба парку машин в общем-то ноль. Может даже показаться что просто проводились учения, чтоб подтянуть самых расхлябанных, ага. ЦРУ и Госдеп, ага-ага! :) )
Сейчас надо провести ревизию по банкам: куда и какие, и скорее всего - очень немаленькие средства были переведены под шумок.
А кому интернет пофигу - тех отвлекли убийством Шаповала...

[ratomira]

Я в этих всех технических программистких вещах не шарю, но скажу такое:

Кому очень выгодно запустить вирус через Медок? Конечно, конкуренту Медок - компании 1С. Которую еще недавно и запретили в Украине (понятное дело, все продолжают пользоваться, но все же).

Теперь многие начнут бояться пользоваться Медок. А куда переходить с Медок? Вариантов мало. Только на 1С.

[bytebuster]

А от +1, до речі. Мою увагу також привернуло, що одразу усі на медок вказали.

[https://openid-provider.appspot.com/eto.totje]

1С і медок, то не конкуренти, вони різні за функціоналом, як автопарк та фронтальний навантажувач.
Але якщо розцінювати це у сенсі "навіть не міркуй"...

[ratomira]

Еще как конкуренты.
Для сдачи электронной отчетности есть:
1) 1С:ЗВИТ
2) М.Е.Док.

Программы-конкуренты.
И 1С выгодно, чтобы пользовались 1С:Звит, а не М.Е.Док. Так понятнее?

[https://openid-provider.appspot.com/eto.totje]

Розкажіть мені, будь-ласка, як вести облік руху коштів у медку, або складський облік?

[ratomira]

а) Есть небольшие фирмы, которым это не нужно, и достаточно функционала М.Е.Дока.

б) Есть фирмы, которые ведут учет в 1С, но потом отправляют отчеты в налоговую из М.Е.Дока, а не из 1С:Звит.

1С выгодно, чтобы М.Е.Дока не было.

[https://openid-provider.appspot.com/eto.totje]

Отож: "1С і медок, то не конкуренти, вони різні за функціоналом, як автопарк та фронтальний навантажувач.
Але якщо розцінювати це у сенсі "навіть не міркуй"..."

[ratomira]

В плане электронной сдачи отчетности они как раз конкуренты, потому что можно сдавать как через 1С:Звит, так и через М.Е.Док.

Есть небольшие фирмы с небольшим количеством работников и небольшим количеством операций в месяц, которым достаточно каждый месяц отчет по ЕСВ, раз в квартал - 1ДФ и по прибыли. Для этого всего 1С не надо. Всё делается в М.Е.Док (плюс еще можно Сонату использовать).

Теперь, эти фирмы могут испугаться, что М.Е.Док с вирусами и перейти на 1С.

[jurgen]

Да ну, глупо как-то.
Перейти на 1с, который тоже российская контора (вспоминаем сотрудничество Касперского с ФСБ), который тоже может какаху подбросить.

[mamasha_muller]

"А куда переходить с Медок? Вариантов мало. Только на 1С. "

хотела спросить про Сонату
пробовали?
если да, насколько удобно при заполнении больших отчетов с многими строками по 1ДФ или другими?

[ratomira]

Я пользовалась только бесплатной версией Сонаты для подписания отчетов электронными ключами и отправки в налоговую. А для бесплатной версией смысл такой, что надо сделать в другом приложении отчеты, а уже в Сонате подписать и отправить.

То есть делала, например, в OPZ отчет по 1ДФ, импортировала в Сонату и из нее отправляла.

[mamasha_muller]

я так тоже пользовалась, сейчас отправляю сразу из "особистого кабінету" на сайте ДФС
там сразу и заполняешь, и отправляешь отчет 1ДФ

интересует именно насколько удобен полный функционал Сонаты
там и лицензия для ФОП 280 грн/год, можно и попробовать
нужно купить будет :)

[https://openid-provider.appspot.com/eto.totje]

"Місія «Інтелект-Сервісу» -
бути кращою українською IT-компанією,
що працює за світовими стандартами."

[https://openid-provider.appspot.com/eto.totje]

Там ще смішніше. me - doc.com.ua учора стояв на мережі 92.60. очевидно на
тій же машині де і апдейти. І на https в корені був забутий phpinfo();
Тобто народ про безпеку і не думав.

[chabapok]

а у медка апдейты не подписаны ключом, что ли?

[juan_gandhi]

Любопытная тема. Вот именно.

[https://openid-provider.appspot.com/eto.totje]

Там могла бути атака типу "переповнення буферу".

[jurgen]

Мутноватый анализ.

Ответ пока в голове только один — что бы в случай чего быстро закрыть хост и отказать в обслуживании
Это можно сделать даже если хоста 2-3, ну подумаешь, секунд на 10 дольше затянется.

Вообще это похоже всё на какие-то учения. Пару месяцев назад уже ж было нечто подобное, но большого ущерба не нанесло и по-тихому свалило. Сейчас уже грохнуло нормально, и кто с прошлого раза не забекапился - я не виноват.
Ну может ещё пару раз пнут перед чем-то действительно серьёзным.