Oekraïense autoriteiten vallen binnen bij besmettingshaard van wereldwijde cyberaanval

05/07/17 om 11:08 - Bijgewerkt om 11:36

De Oekraïense cyberpolitie heeft de servers in beslag genomen van M.E Doc, de software die gezien wordt als 'patient zero' van de cyberaanval die vorige week veel bedrijven lam legde. Dankzij een achterdeur in een software-update zouden hackers al maandenlang toegang gehad hebben tot hun systemen.

Oekraïense autoriteiten vallen binnen bij besmettingshaard van wereldwijde cyberaanval

M.E. Doc kreeg van meerdere anti-virusfirma's waarschuwingen dat er iets mis was met haar beveiliging. © M.E. Doc

Het boekhoudkundige programma M.E. Doc wordt ervan verdacht de oorsprong te zijn van de (Not)Petya aanval die vorige week veel bedrijven platlegde. Het programma, gebruikt door tachtig procent van de Oekraïense bedrijven, laat haar 400.000 klanten toe om financiële documenten met elkaar te delen. Volgens de Cyberpolitie in Oekraïne kan het bedrijf achter de software nu aangeklaagd worden voor nalatigheid.

Zo hadden M.E. Doc's medewerkers meerdere waarschuwingen gekregen dat er iets mis was met de beveiliging. "Ze wisten ervan," zegt kolonel Serhiy Demydiuk, hoofd van de Oekraïense cyberpolitie, aan persbureau AP. "Meerdere anti-virusfirma's hadden het hen verteld. Voor die nalatigheid zullen we een proces-verbaal opmaken." Volgens Demydiuk werd de cyberaanval van vorige week vooral verspreid door een geïnfecteerde software-update van het programma. Dat is ondertussen bevestigd door Microsoft, Bitdefender, Kaspersky, Cisco en ESET.

Achterdeur

Zo hebben onderzoekers van het Slovaakse beveiligingsbedrijf ESET een achterdeur gevonden in minstens drie software-updates van M.E. Doc, waardoor hackers ongemerkt konden binnendringen. Volgens ESET hadden de hackers wellicht al toegang tot de broncode van M.E. Doc sinds begin dit jaar en konden ze zo hun aanval rustig voorbereiden. Volgens cyberbeveiligingsbedrijf ISSP zorgde een geïnfecteerde update in april ervoor dat 350 megabyte data van een onbekende bron gedownload werd.

Het bedrijfje zelf heeft al meerdere conflicterende visies gegeven over haar eigen rol in de aanval. Zo zei het in een mededeling op zijn website dat het gehackt was, maar werd die tekst later weer weggehaald. Het bedrijf zegt nu mee te werken met de FBI, Europol en de Britse NCA om de aanval te onderzoeken. De servers werden in beslag genomen.

Tweede aanval

Oekraïne zegt ondertussen dat er dinsdag een nieuwe aanval met de Petya-ransomware is geweest, maar dat die is tegengehouden voordat er grote schade kon worden aangericht. Ook deze aanval zou draaien rond een besmette update van boekhoudprogramma. Die werd afgeblokt. ''De aanval is gestopt'', schreef de Oekraïense minister van Binnenlandse Zaken Arsen Avakov woensdag op Facebook. Volgens de man zit Rusland achter beide aanvallen.

Volgens de website Bleepingcomputer zijn er ondertussen drie ransomwarecampagnes gelanceerd die door de M.E. Doc servers werden verspreid: NotPetya, een aanval met XData ransomware en eentje met een kloon van de WannaCry software die vorige maand ook al even de wereld rond ging. Elk van die aanvallen was gebouwd om in Oekraïne (en alleen Oekraïne) schade aan te richten. Zo zoekt de software volgens een rapport van ESET bijvoorbeeld naar het EDRPOU-nummer op de servers (het Oekraïense ondernemingsnummer, zeg maar) om bedrijven te identificeren waar de software is binnengeraakt.

Belastingaangifte uitgesteld

De Oekraïne regering heeft intussen ook een wetsvoorstel ingediend om de deadline voor de belastingaangifte uit te stellen tot 15 juli. Voor bedrijven die dat niet halen omdat ze nog steeds getroffen zijn door de aanval, zal afgezien worden van boetes.

Onze partners