Beveiligingsbedrijf ESET heeft een analyse gepubliceerd van de MeDoc-software, die volgens verschillende organisaties werd gebruikt om de NotPetya-malware te verspreiden. In verschillende updates troffen zij backdoors aan. Het bedrijf achter de software ontkent verantwoordelijk te zijn.
ESET meldt dat verschillende MeDoc-updates een dll-bestand met een backdoor bevatten. Het is niet duidelijk hoe deze zijn aangebracht, maar volgens het bedrijf kan dit niet zonder toegang te hebben gehad tot de broncode. Updates met een achterdeur zouden op 14 april, 15 mei en 22 juni zijn verspreid, waarbij die laatste update vijf dagen voor de internetaanval van vorige week dinsdag plaatsvond. Niet alle updates waren van een backdoor voorzien, waaronder een zevental updates tussen 17 mei en 21 juni.
Het beveiligingsbedrijf legt uit dat elk bedrijf in Oekraïne een 'edrpou'-nummer heeft, dat wordt gebruikt voor registratie. Doordat de malware deze nummers verzamelt, kunnen de aanvallers zien welke organisaties zij hebben geïnfecteerd. Niet alleen het nummer werd verzameld, maar ook proxy- en e-mailconfiguraties, inclusief wachtwoorden en gebruikersnamen. Deze worden naar het Windows-register weggeschreven.
Communicatie met de c2-server verliep volgens ESET via de controle voor een nieuwe update en niet via een extern kanaal, waarbij de kwaadaardige code de verzamelde informatie doorstuurt in een cookie. Hoewel er geen diepgaande analyse van de server heeft plaatsgevonden, merkte ESET in zijn vorige analyse op dat ook daar een backdoor aanwezig was. Daaruit leidt het bedrijf af dat de aanvallers mogelijk controle hadden over de server en zo onderscheid konden maken tussen normaal verkeer en verkeer van geïnfecteerde systemen.
De backdoor kon meer dan alleen de eerder genoemde informatie verzamelen. Zo is het mogelijk om een blob te ontvangen en deze te ontsleutelen, waarna verschillende acties uitgevoerd kunnen worden. Bijvoorbeeld het ophalen van een bepaald bestand of het uitvoeren van een bepaald commando of payload. Daarnaast is er een functie die autopayload heet. Deze zou gebruikt zijn om de NotPetya-malware uit te voeren. Volgens ESET blijft er nog wel een aantal vragen over, bijvoorbeeld hoe lang de backdoor precies in gebruik was.
De mogelijkheden van de backdoor, volgens ESET
Het bedrijf achter de MeDoc-software, dat door onder meer ESET en Microsoft onder dezelfde naam is aangeduid, maar volgens Reuters Intellect Systems heet, ontkent tegenover Reuters iets te maken te hebben met de verspreiding van de malware. Het persbureau sprak met de directeur en zijn dochter, die het bedrijf runnen. Zij zouden hun eigen software onderzocht hebben en tot de conclusie zijn gekomen dat er geen sprake van kwaadaardige code is. Volgens Reuters is de boekhoudsoftware in Oekraïne zeer populair en wordt deze gebruikt bij tachtig procent van de Oekraïense bedrijven.
Het hoofd van de internetdivisie van de Oekraïense politie zei maandag tegen Associated Press dat het bedrijf wist dat zijn dienst onveilig was, maar geen stappen ondernam. Tegen Reuters zei het politiehoofd dat als dit wordt bevestigd, er een aanklacht zal worden ingediend.