СБУ попереджає про можливу кібератаку на установи та підприємства

Про це повідомляє Depo.ua з посиланням на прес-центр СБУ.

Як відомо, 27 червня цього року Україна зазнала масштабної кібератаки з використанням шкідливого програмного забезпечення ідентифікованого як комп'ютерний вірус "Petya".

Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.

Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.

Про це свідчить виявлена фахівцями під час дослідження кібератаки "Petya" утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену.

Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків). У регламентах з інформаційної безпеки більшості установ та організацій зміна паролю користувача krbtgt не передбачена. Таким чином у зловмисників, які внаслідок проведеної кібератаки "Petya" несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500).

Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

У зв'язку з цим Служба безпеки України просить дотримуватися розроблених рекомендацій, а саме:

1) здійснити обов'язкову зміну паролю доступу користувача krbtgt;

2) здійснити обов'язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;

3) здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;

4) на виявлених скомпрометованих ПЕОМ здійснити обов'язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;

5) повторно здійснити зміну паролю доступу користувача krbtgt; перезавантажити служби KDC.

Також СБУ рекомендує у подальшому уникати збереження в ІТС автентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).

Нагадаємо, вчора кіберполіція заявила, що кібератака на Україну (вірус "Petya") 27 червня була демонстрацією, а не пробною атакою.