У СБУ попередили про можливу нову кібератаку на мережі українських установ та підприємств

У відомстві просять дотримуватися розроблених рекомендацій

Открытый источник

Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій, повідомляє прес-служба відомства.

Як відомо, 27 червня цього року Україна зазнала масштабної кібератаки з використанням шкідливого програмного забезпечення, ідентифікованого як комп'ютерний вірус Petya.

Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, якої нема у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.

Новини за темою: В Україні потерпілих від кібератаки звільнено від штрафів за невчасну сплату податків

Фахівці СБУ припускають, що саме ця інформація і була метою першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і для подальших деструктивних акцій.

Про це свідчить виявлена фахівцями під час дослідження кібератаки Petya утиліта Mimikatz (інструмент, що реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).

Новини за темою: НБУ попередив банки про можливу кібератаку за допомогою Word у День незалежності

У регламентах з інформаційної безпеки більшості установ та організацій зміна паролю користувача krbtgt не передбачена.

Таким чином у зловмисників, які внаслідок проведеної кібератаки Petya несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація за Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

Новини за темою: НБУ попередив банки про можливу кібератаку за допомогою Word у День незалежності

З огляду на наведене, а також враховуючи тривалий час перебування в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів керування доступом та політиками безпеки в ІТС, системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем рекомендовано у найкоротший термін провести такі дії за наведеним порядком:

  1. Здійснити обов'язкову зміну паролю доступу користувача krbtgt;
  2. Здійснити обов'язкову зміну паролів доступу до всіх без винятку облікових записів у підконтрольній доменній зоні ІТС;
  3. Здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
  4. На виявлених скомпрометованих ПЕОМ здійснити обов'язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
  5. Повторно здійснити зміну паролю доступу користувача krbtgt;
  6. Перезавантажити служби KDC.

Джерело: 112.ua

відео по темі

Новини за темою

Новини партнерів

Загрузка...

Віджет партнерів

d="M296.296,512H200.36V256h-64v-88.225l64-0.029l-0.104-51.976C200.256,43.794,219.773,0,304.556,0h70.588v88.242h-44.115 c-33.016,0-34.604,12.328-34.604,35.342l-0.131,44.162h79.346l-9.354,88.225L296.36,256L296.296,512z"/>