Dat stelt cybersecurityfirma ESET dinsdag na analyse van de aanval, die verliep via de Oekraïense boekhoudsoftware MeDoc.
Al in april werd een officiële update voor MeDoc uitgebracht waarin de ‘achterdeur’ van de aanvallers verborgen was. Sinds dat moment konden zij onder meer wachtwoorden stelen of de controle over computers overnemen, stellen onderzoekers van ESET. Het is niet duidelijk of er ook daadwerkelijk informatie is buitgemaakt voor de Petya-aanval.
Opvallend genoeg kwamen tussen april en juni ook elf updates voor MeDoc uit die de achterdeur niet bevatten. In drie updates, waaronder de meest recente van 22 juni, was de achterdeur wel aanwezig.
Bijzonder is dat de aanvallers geen aparte controleserver gebruiken om te communiceren met de geïnfecteerde systemen. In plaats daarvan werd informatie meegestuurd bij reguliere controles naar nieuwe updates van MeDoc.
Zorgen
Voor getroffen bedrijven zal de nieuwe vondst extra zorgen betekenen, denkt directeur Dave Maasland van ESET Nederland.
“Het gevaar is dat de aanvallers drie maanden praktisch volledig toegang hebben gehad en wachtwoorden hebben gestolen”, zegt hij. “De aanval is niet klaar met het terugzetten van systemen en het updaten van MeDoc.”
Maandag zei het hoofd van de cyberafdeling van de Oekraïense politie al dat het bedrijf achter MeDoc op de hoogte was van beveiligingsproblemen. Waarschuwingen daarover zouden echter zijn genegeerd.
In een interview met Reuters zeggen de twee makers van MeDoc, een Oekraïense vader en dochter, dat hun software niet verantwoordelijk was voor de cyberaanval. Volgens de twee is er geen bewijs dat met MeDoc-updates schadelijke software is meegeleverd. Beveiligingsexperts van diverse bedrijven hebben daar wel bewijs voor gevonden.
Rotterdam
De aanval met het Petya-virus trof vooral bedrijven in Oekraïne, maar ook daarbuiten. Ook het in Rotterdam actieve havenbedrijf APM Terminals en pakketbezorger TNT Express werden getroffen. Volgens ESET heeft de TeleBots-groep eerder aanvallen uitgevoerd in Oekraïne. Dat land heeft Rusland beschuldigd van de aanval, maar daarvoor is nog geen sluitend bewijs gepresenteerd.
TNT zei dinsdag dat vooruitgang wordt geboekt in het oplossen van de cyberaanval. Een zegsman stelt dat nationale en regionale diensten van TNT grotendeels weer operationeel zijn, maar dat er nog vertragingen zijn.