image

Backdoor in updates Oekraïense boekhoudsoftware M.E.Doc

dinsdag 4 juli 2017, 10:49 door Redactie, 8 reacties
Laatst bijgewerkt: 04-07-2017, 21:09

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben in updates van de Oekraïense belasting- en boekhoudsoftware M.E.Doc een backdoor gevonden die aanvallers hebben toegevoegd en gebruikt om de XData- en Petya-ransomware onder gebruikers van de kantoorsoftware te verspreiden.

Op 14 april, 15 mei en 22 juni verschenen er updates voor M.E.Doc waar aanvallers een module met de backdoor aan hadden toegevoegd. Het verschijnen van de updates valt samen met twee incidenten. Zo raakten op 18 mei systemen in voornamelijk Oekraïne besmet met de XData-ransomware en vond op 27 juni de uitbraak van de Petya-ransomware plaats. Hoewel M.E.Doc 400.000 klanten heeft infecteerde de XData-ransomware iets meer dan honderd systemen. De onderzoekers denken dat dit komt omdat op 17 mei een update verscheen die de backdoor niet bevatte.

Mogelijk kan dit het kleine aantal infecties verklaren, omdat de meeste gebruikers met de backdoor inmiddels de update van 17 mei hadden ontvangen waarin de backdoor niet aanwezig was. Deze update kwam volgens de onderzoekers als een verrassing voor de aanvallers, die op 18 mei besloten de XData-ransomware te verspreiden. Op 22 juni werd er weer een update verspreid met de backdoor, die vijf dagen later tot de uitbraak van Petya-ransomware leidde. De onderzoekers gaan ervan uit dat de aanvallers toegang tot de broncode van M.E.Doc hadden om de backdoor te ontwikkelen.

"Zoals ons onderzoek laat zien is dit een zeer goed geplande en uitgevoerde operatie", aldus onderzoeker Anton Cherepanov. "Ze hadden de tijd om de code te leren kennen en een zeer sluwe en vernuftige backdoor toe te voegen." Het is echter onbekend hoe lang de backdoor in gebruik is geweest en welke malware er op deze manier is verspreid. Cherepanov stelt dat ESET niet heeft kunnen controleren of er nog andere backdoors in de software aanwezig zijn. Het softwarebedrijf dat M.E.Doc ontwikkelde ontkent dat de software is gebruikt voor de verspreiding van de Petya-ransomware, ook al stelde Microsoft eerder al dat dit wel het geval is geweest.

Reacties (8)
04-07-2017, 12:09 door Anoniem
Interessant dat in een reeks van 14 upgrades er maar drie besmet waren, de eerste, de vijfde en de laatste.

Dat lijkt te suggereren dat de backdoor niet in de officiële broncode aanwezig is maar dat de dll een aantal keer in de build-resultaten is geïnjecteerd, en dat dat voldoende moeite kostte om het niet routinematig bij elke release voor elkaar te krijgen. ESET stelt dat de makers van de backdoor waarschijnlijk over de broncode beschikten. Dat doet vermoeden dat iemand die toegang had tot de systemen van het softwarebedrijf die dll vanuit een eigen build de officiële build in heeft weten te smokkelen.

Als de verklaring van het softwarebedrijf dat hun software geen sporen van manipulatie vertoont gebaseerd is op inspectie van de broncode dan zou het kunnen dat ze op de verkeerde plek hebben gezocht. Dat ze geen sporen van hacking op hun servers hebben gevonden zou erop kunnen duiden dat iemand die er legitieme toegang toe heeft bij betrokken is.
04-07-2017, 15:30 door Anoniem
Ze ontkennen wel meer in Oekraïne, en eveneens in Rusland. Daar kun je niet op af gaan.
Ergens heb ik gelezen dat M.E.Doc (updates) gehost worden op Wnet servers, en dat deze voor een korte tijd gekaapt zijn door een russiche hoster o.i.d. Ben alleen de link kwijt en kan dat bericht zo snel niet terugvinden.
Het is hoe dan ook lastig om fake news van de waarheid te onderscheiden.
04-07-2017, 15:36 door Anoniem
Al die onzinverhalen van beveiligingsoftware toko's moet je met een enorme bak zout nemen.

Het zijn aannames op basis van gokken op basis van aannames van geruchten.
Een gemiddeld vrouwen / roddelblad bevat meer waarheden.

Bijvoorbeeld de aanname dat de source code beschikbaar was op basis van niets, waar dan weer een andere aanname komt dat iemand toegang had tot de systemen (ook weer een aanname van niets, ik heb ook de source code van Windows en ik kan echt niet in alle systemen van Microsoft)...

Geen sporen van hacking is niet bewijs dat er geen hacking heeft plaatsgevonden. En zeker niet bewijs dat iemand aan de binnenkant heeft meegeholpen. Goede hackers laten geen sporen na, degene die niet door landen gesponsord worden... die laten immers false-flag sporen na om anderen te impliceren.

Echt een hoop onzin, geen bewijs, alleen maar aanname gestapeld op verzinsels op basis van andere aannames en conclusies die niet getrokken kunnen worden uit het luttele "bewijs" dat wel getoond wordt..

Er is dan ook maar 1 conclusie... ESET is zwaar onder de paplepel van de NSA/CIA whatever 3 letter afkorting in de VS.
Mogelijk gevalletje van "hey, jullie publiceren dit verhaal, anders zorgen we dat jullie nooit meer een product in de VS verkopen"...
Of misschien zijn het wel gewoon echte prutsers met een anti rusland of anti korea sentiment. Heel oost europa zit er vol mee.
04-07-2017, 16:39 door Anoniem
Door Anoniem: Al die onzinverhalen van beveiligingsoftware toko's moet je met een enorme bak zout nemen.
Zie de technische analyse van ESET. De backdoor zit in de drie genoemde updates. Dat is geen onzinverhaal. Dit is door andere onderzoekers ook bevestigd.
04-07-2017, 17:32 door Anoniem
Door Anoniem: Ze ontkennen wel meer in Oekraïne, en eveneens in Rusland. Daar kun je niet op af gaan.
Ergens heb ik gelezen dat M.E.Doc (updates) gehost worden op Wnet servers, en dat deze voor een korte tijd gekaapt zijn door een russiche hoster o.i.d. Ben alleen de link kwijt en kan dat bericht zo snel niet terugvinden.
Het is hoe dan ook lastig om fake news van de waarheid te onderscheiden.
Lees je eigen reactie nog eens na op constatering en onderbouwing.
Vage reacties van anoniemen met niet onderbouwde argumenten, kunnen we daar dan wel op afgaan?
Niet bepaald heel sterk allemaal hè?
04-07-2017, 18:16 door Anoniem
Een backdoor is een vooraf, met opzet, geintegreerde toegang tot een apparaat en/of software. Als deze toegang verkregen wordt middels malware praten we niet over een backdoor maar een exploit. En deze malware maakt meestal gebruik van open kwetsbaarheden.

Beste Security.nl let eens op de door U gebruikte termen. U beschuldigt nu de fabrikant van deze software. Tevens geeft U een nieuwe draai aan de mogelijke oorzaak / besmetting zonder enige onderbouwing.
04-07-2017, 20:20 door Anoniem
We moeten weten wie er nu eigenlijk achter deze cyberaanval zit. Zijn dat de eigenaren van dat bedrijf M.E.Doc (dachten ze slim te zijn en ff veel geld binnen te krijgen? Is het bedriif danwel de eigenaren persoonlijk in financieele problemen? Of is er toch een land bij betrokken en zo ja welk (e) landen?Oekraine,Rusland,Noord-Korea,China,of de VS? Zodra bekend is welk land erachter zit moeten er vergeldingsaanvallen worden uitgevoerd.
04-07-2017, 21:12 door Anoniem
Door Anoniem: Een backdoor is een vooraf, met opzet, geintegreerde toegang tot een apparaat en/of software. Als deze toegang verkregen wordt middels malware praten we niet over een backdoor maar een exploit. En deze malware maakt meestal gebruik van open kwetsbaarheden.

Beste Security.nl let eens op de door U gebruikte termen. U beschuldigt nu de fabrikant van deze software. Tevens geeft U een nieuwe draai aan de mogelijke oorzaak / besmetting zonder enige onderbouwing.
Een exploit maakt gebruik van een kwetsbaarheid in software. Een kwetsbaarheid die door programmeurs is veroorzaakt.
In dit geval is er een backdoor door aanvallers aan een update toegevoegd. Duidelijk dus GEEN exploit, maar een achterdeur.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.