A vizsgálat során kiderült, hogy a vírus alkotóinak szándéka nyilvánvalóan a rombolás volt, így mindent megtettek azért, hogy az adatok visszafejtésére ne kerülhessen sor. Az ESET szakembereinek véleménye szerint nagyon valószínű, hogy a támadók hozzáfértek az M.E.doc forráskódjához, és a DiskCoder.C kártevő terjesztéséhez az akció kezdeti szakaszában egy backdoor (hátsó ajtó) programot illesztettek az M.E.doc szoftver egy hivatalos moduljába.
Ezt később az ukrán kiberrendőrség hivatalos Facebook oldalán is megerősítette.
Eddig nem derültek ki pontos részletek arról, hogyan tudták mindezt véghez vinni a bűnözők. A szakemberek szerint a kiberbűnözők egy igen jól rejtőzködő és kifinomult backdoor (hátsó ajtó) programot illesztettek az M.E.Doc rendszerébe, ám ehhez hozzá kellett férniük a számviteli program forráskódjához.
Az elemzések szerint a backdoor programmal fertőzött modult (ZvitPublishedObjects.dll.) a .NET Framework használatával készítették. Az 5 megabájtos fájl számos hivatalos kódot tartalmaz, amelyet más komponensek is meghívhattak, beleértve az M.E.Doc végrehajtó fájlját, az ezvit.exe-t is. A 2017-es frissítéseket megvizsgálva az ESET szakemberei legalább 3 frissítésben találták meg a backdoor modult:
- 10.01.175-10.01.176, kiadva 2017. április 14-én
- 10.01.180-10.01.181, kiadva 2017. május 15-én
- 10.01.188-10.01.189, kiadva 2017. június 22-én
Az XData fertőzés kitörése három nappal az első fent említett frissítés után történt, a DiskCoder.C terjedése pedig 5 nappal az utolsó (10.01.188-10.01.189) frissítés megjelenése után kezdődött. Érdekes adat, hogy az április 24. és május 10. között, illetve május 17. és június 21. között kiadott frissítések viszont nem tartalmazták a backdoor programot.
Az Ukrajnában üzleti tevékenységet végző szervezetek rendelkeznek egy egyedi azonosítóval, az úgynevezett EDRPOU számmal. Ez kiemelten fontos a támadóknak, mert ha megszerzik egy vállalkozás EDRPOU számát, akkor pontosan be tudják azonosítani, hogy mely szervezetek használják a fertőzött modulokat, majd az akció céljától függően különféle személyre szabott taktikákkal támadhatják az adott cég számítógépes rendszerét.
Az M.E.Doc programot széles körben használják Ukrajnában, az EDRPOU adatai pedig megtalálhatók a szoftvert használó gépek alkalmazásadatai (application data) között. Az IsNewUpdate módba bejuttatott kód összegyűjt minden EDRPOU-val kapcsolatos információt az alkalmazásadatokból, begyűjti a proxy és levelező beállításokat, illetve az M.E.Doc programban található felhasználóneveket és jelszavakat.
A program egyik érdekes tulajdonsága, hogy a backdoor programmal fertőzött modul nem használ semmilyen külső C&C szervert, amelytől új távoli parancsokat várna, illetve ahová az ellopott adatokat küldhetné. Ehelyett a kártevő az M.E.Doc program rendszeres frissítéseket kereső kérését használja, amely a hivatalos M.E.Doc szerverhez kapcsolódik (upd.me-doc.com[.]ua).
Az egyetlen különbség a hivatalos lekérdezés és a fertőzött üzenetkód között az, hogy az utóbbi az összegyűjtött információt sütikbe (cookies) tárolva küldi el.
Bár az ESET szakemberei nem végeztek teljes körű igazságügyi elemzést az M.E.Doc szerverén, azonban egy korábbi blogposztban már kiemelték, hogy voltak egyértelmű jelek a szerver fertőzöttségére. Gyanítható, hogy a támadók olyan programot telepítettek a szerverre, amely lehetővé tette számukra, hogy különbséget tegyenek a fertőzött vagy tiszta gépekről érkező kérések között.
Természetesen a támadók hozzáadták a fertőzött gépek irányításának lehetőségét is a programhoz: a kód fogad egy bináris objektumot (blob) a hivatalos M.E.Doc szervertől, dekódolja a Triple DES algoritmus révén, majd a GZip segítségével kitömöríti azt. Az eredmény egy olyan XML fájl, amely számos szerverparancsot tartalmaz. Ez a távoli irányítási funkció a backdoor programot egy teljes értékű kiberkémkedési és szabotázs platformmá alakítja.
Következtetések:
Az ESET elemzői szerint ez egy alaposan megtervezett és profin végrehajtott akció. A szakemberek szerint a támadók már régóta hozzáférhettek az M.E.Doc forráskódjához, így volt elegendő idejük megismerni azt, majd megalkotni a konkrét támadáshoz szükséges backdoor programot. Az M.E.Doc teljes telepítői csomagja nagyjából 1.5 gigabájt, és a szakemberek nem tudják kizárni, hogy ez még jelenleg is tartalmazhat valamilyen rejtett rosszindulatú backdoor programot.
Az incidens kapcsán számos további kérdés is felmerülhet: vajon mióta használják ezt a backdoor programot, a DiskCoder.C vagy a Win32/Filecoder.AESNI.C kártevőkön kívül milyen más vírusokat juttattak át a rendszeren, milyen más frissítési láncok lehetnek még a bűnözők tulajdonában, amelyek megfertőztek rendszereket, de még nem használták fel őket?
Az ESET szakemberei azt javasolják, hogy az M.E.Doc szoftver felhasználói azonnal változtassák meg a proxy és az e-mail fiókokhoz tartozó jelszavakat.
Az esetleges fertőzöttség ellenőrzéséhez pedig mivel a kártevő beírja a begyűjtött adatokat a Windows registry-be, a HKEY_CURRENT_USERSOFTWAREWC kulcsba, a Cred és Prx nevet használva, így ha ezek az bejegyzések megtalálhatók a számítógépünkön, akkor nagyon valószínű, hogy azon a backdoor programmal fertőzött modul futott, vagy fut még jelenleg is.