На порозі кібервійни: як M.E.Doc монополізував ринок бухгалтерської звітності

2














На думку експертів ринку, ймовірність другої хвилі вірусу дуже велика. З наслідками кібератаки 27 червня, коли вірус проник у сотні тисяч комп’ютерів по всій країні через програму бухгалтерського обліку M.E.Doc багато компанії розбираються досі. Разом з тим велика ймовірність, що ця атака була тільки розвідкою, а справжня кібервійна попереду.

Розробка вірусу коштувала мінімум $300 тисяч

Експерти в один голос попереджають про наслідки наступної вірусної атаки. Технічний директор «Майкрософт-Україна» Михайло Шмельов ще 30 червня заявив, що інфікування відбулося більше 200 днів тому і ті, хто створював цей вірус, навряд чи обмежаться лише першою хвилею атаки. Глава профільного комітету з інформатизації і зв’язку ВР України, депутат Олександр Данченко висловив думку, що це — лише перші дитячі прояви того вірусу, закладеного в оновлення «Медку» і спрямований конкретно проти держави України. В інші країни, на його думку, долетіли тільки «бризки» цієї вірусного штурму. Експертна оцінка вартості розробки і реалізації такої атаки від 300 тисяч до декількох мільйонів доларів.

На сьогоднішній день ніхто не знає, які саме віруси були поширені через програмне забезпечення M.E.Doc і скільки з них знаходиться в «сплячому» режимі, чекаючи своєї години.

Експерти ESET (однієї з найбільш авторитетних організацій з аналізу загроз від шкідливих програм. — Авт.) у своєму докладному звіті від 4 липня 2017 року зафіксували наступні висновки: «Як показує наш аналіз, це ретельно спланована і добре виконана операція. Ми припускаємо, що зловмисники мали доступ до вихідного коду програми M.E.Doc. У них був час вивчити код та включити дуже скритний і хитрий бекдор».

«Діряве» програмне забезпечення

Ключових момент цих висновків — припущення про те, що такий бекдор (тобто «задні двері», яка на сленгу програмістів називається «діркою») могли зробити тільки фахівці, що мають доступ до вихідних текстів програм «Медку». Тобто діяли не кваплячись і зсередини. Дане припущення повинно стати дуже тривожним сигналом для всіх спецслужб, які відповідають за кібербезпека України. Справа не тільки в тому, що інформація зникла у сотень тисяч користувачів-бухгалтерів. І навіть не в тому, що зупинилися аеропорт «Бориспіль», «Нова пошта» і безліч банків. Виявляється, M.E.Doc (і афілійований з ним ТОВ «Інтелект-сервіс») контролюють багато принципово важливі сервіси всередині самого ГФС.

По-перше, програмне забезпечення для Реєстру податкових накладних — справа рук саме цих «солодких» компаній. Кількість зловживань і крадіжок за рахунок маніпулювання з Реєстром податкових накладних завдало державі багатомільйонних збитків, і «діряве» програмне забезпечення є ідеальним інструментом для таких маніпуляцій, оскільки дозволяє приховати сліди втручання зловмисників.

По-друге, програмне забезпечення для приймання звітних документів від платників податків, яке фахівці називають «шлюз», розроблено компанії M.E.Doc. І, як показує практика, повністю контролюється фахівцями цієї компанії. Точніше, одним фахівцем .Це єдиний експерт, який має доступ до програмного забезпечення шлюзу прийому звітності і може змінити його роботу в будь-яку секунду. Він же може зупинити роботу ресурсу, заблокувати роботу всіх операторів здачі звітності, крім самого M.E.Doc, або внести зміни в процеси обробки звітності і не повідомити про них нікому, природно, крім своєї власної програми M.E.Doc.

Три дні простою

Така монополізація доступу і управління роботою програмного забезпечення прийому звітності дуже небезпечна для роботи ДФС. Наприклад, починаючи з 19 червня, прийом звітності в ГФС повністю зупинився і не запускався кілька днів. За три дні, з 19 по 21 червня, ситуація в ДФС дійшла до «точки кипіння», а нерви бухгалтерів в черговий раз були на межі. Але ніхто в структурі ГФС не зміг визначити причину, ні виправити ситуацію.

Мабуть, ні в документації, ні вихідних текстів, ні авторських прав на так званий «шлюз» у ГФС немає. Інакше не можна пояснити той факт, що працездатність шлюзу була відновлена тільки після приїзду фахівця з Медку, який за кілька годин усунув поломку. Хоча причина відмови програмного забезпечення шлюзу так і не була встановлена.

Не можна не відзначити дивний збіг триденного простою шлюзу з ще однією подією — відстороненням від посади керівника IT-департаменту ДФС Дмитра Лук’янова. Цей фахівець по «захисту інформації», який раніше працював у Нацбанку, підтримує давні зв’язки з Сергієм Линником — власником ТОВ «Інтелект-Сервіс».

Лук’янов та Линник неодноразово в парі виступали на різних експертних столах і ходили в державні органи — наприклад, на наради до голови комітету Верховної Ради України з питань податкової та митної політики ВР Ніні Южаниной. При цьому провідну роль відігравав Линник, а Лук’янов його підтримував.

Натисніть на стрілку що б перейти до наступної сторінки