Фото: buhbiz.com.ua
Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ і підприємств і просить дотримуватися розроблених рекомендацій. Про це повідомляє прес-центр СБУ.
"27 червня цього року Україна зазнала масштабної кібератаки з використанням шкідливого програмного забезпечення, ідентифікованого як комп'ютерний вірус "Petya". При аналізі наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України... з подальшим їх приховуванням в файлах cookies і відправкою на командний сервер. Фахівці СБУ припускають, що саме ця інформація і була метою першої хвилі кібератаки і може бути використана справжніми ініціаторами як для проведення кіберразвед і, так і з метою подальших деструктивних акцій", – йдеться в повідомленні.
Як наголошується, про це свідчить виявлена фахівцями в ході дослідження кібератаки Petya утиліта Mimikatz, яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні і верифікації так званих квитків доступу (TGT-квитків). У регламентах з інформаційної безпеки більшості закладів і організацій зміна пароля користувача krbtgt не передбачена.
"Таким чином, у зловмисників, які в результаті проведеної кібератаки Petya несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора (SID 500). Особливістю TGT-квитка є те, що в умовах відключення скомпрометованої облікової записи, аутентифікація по Kerberos буде легітимною і буде сприйматися системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні", – говориться в повідомленні.
У зв'язку з цим, а також враховуючи факт тривалого перебування в інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів управління доступом і політиками безпеки в ІТС, СБУ рекомендує системним адміністраторам в найкоротші терміни провести наступні дії в такому порядку:
- здійснити обов'язкову заміну пароля доступу користувача krbtgt;
- здійснити обов'язкову заміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
- здійснити зміну паролів доступу до серверного обладнання та програм, які функціонують в ІТС;
- на виявлених скомпрометованих ПЕОМ здійснити обов'язкову заміну всіх паролів, які зберігалися в налаштуваннях браузерів;
- повторно здійснити зміну пароля доступу користувача krbtgt;
- перезавантажити служби KDC ".
"Рекомендуємо надалі уникати збереження в ІТС аутентифікації даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення)", – йдеться в повідомленні спецслужби.