#NotPetya : l’Ukraine accuse la Russie et MeDoc

Un éditeur dans l’œil du cyclone

The ME Doc servers are all dead, but I would urge law enforcement to image them and work with int'l partners to figure out WTF was happening

— Kevin Beaumont (@GossiTheDog) July 3, 2017

Selon les autorités locales, les équipes de MeDocs ont ignoré des avertissements répétés et savaient leurs infrastructures vulnérables : « pour cette négligence, les personnes concernées vont voir leur responsabilité pénale engagée ». De fait, elles semblent avoir été mises à profit par des attaquants fin mai pour diffuser le ransomware Xdata, puis fin juin, tout juste avant NotPetya/ExPeter/EternalPetya, pour un clone de WannaCry. Mais MeDoc aurait déjà été victime d’une importante brèche en 2015, et le code source de son logiciel comptable serait accessible en ligne depuis l’an dernier. « Beaucoup de temps pour étudier ses mécanismes de mise à jour », estime Peter Kruse, fondateur du groupe CSIS Security. 

This company has long history of security breaches. Here is their statement from 2015 about different attack: https://t.co/zU4FrbWLID

— Anton Cherepanov (@cherepanov74) July 3, 2017

La Russie officiellement accusée

Dans un billet de blog, Fujitsu s’attache de son côté à étudier l’infrastructure serveurs de MeDoc. Et de lever le voile sur ce qui ressemble à une passoire. Le serveur de mises à jour du logiciel exécute la version 1.3.4c de ProFTPD, vieille de plus de deux ans et pour laquelle il existe « des exploits triviaux d’exécution de code à distance permettant d’obtenir les privilèges root ». Et c’est sans compter avec OpenSSH v5.4, une version « obsolète » et minée elle aussi par de multiples exploits de vulnérabilités publiquement accessibles.

Parallèlement, les autorités ukrainiennes, par la voix du SBU, ont accusé la Russie d’être à l’origine de l’attaque NotPetya lancée la semaine dernière. Dans un communiqué, le SBU semble reprendre à son compte les conclusions présentées par Eset, selon lesquelles l’attaque ExPeter impliquait le groupe Telebots et estime que « cela témoigne de l’implication des services spéciaux de la Fédération de Russie ». Moscou a nié toute implication.

Déjà ce 30 juin, le SBU a accusé la Russie d’être à l’origine d’une attaque ciblée avancée lancée fin mai contre « les systèmes d’informations d’installations d’infrastructure critique de notre Etat et d’autres pays ».

Des reprises d’activité laborieuses

Parallèlement, le retour à une activité normale dans les entreprises affectées se fait lentement. Selon nos confères d’AP, les collaborateurs de la banque publique Oschadbank s’attendaient hier, lundi 3 juillet, à une première journée de bureau normale. Et DLA Piper a indiqué de son côté avoir réussi à remettre en route son système de messagerie électronique « de manière sûre », tout en précisant s’attacher à faire de même pour « d’autres systèmes ». Le transporteur Maersk a annoncé pour sa part la remise en ligne de son portail en ligne, de nouveau pleinement fonctionnel.

Mais à l’aéroport de Kiev, un tiers des ordinateurs seraient indisponibles. FedEx ne donne que peu de détails sur la situation au sein de sa filiale TNT, mais il indiquait tout de même, ce 30 juin, que la situation n’était pas encore revenue à la normale : « les équipes réalisent de solides progrès en remettant en ligne méthodiquement des systèmes critiques, dont mytnt.com ».

Enfin, Saint Gobain assurait hier que « la majorité de nos activités fonctionnent d’ores et déjà normalement », et faisait état de « nets progrès ». Toutefois, un retenu complet à la normale n’est pas attendu avant le début de la semaine prochaine.