СБУ попереджає про можливість нової кібератаки

СБУ попереджає про можливість нової кібератаки

Фото: Reuters

Дані, отримані за допомогою віруса Petya, зловмисники можуть використати для нової атаки.

Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та компаній.

Про це повідомили на офіційному сайті СБУ.

СБУ нагадує про атаку 27 червня вірусом Petya і зазначає, що їй передував збір даних про підприємства (електронні пошти, паролі до облікових записів, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів) з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.

"Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій", – йдеться у повідомленні.

Про це свідчить виявлена під час дослідження попередньої кібератаки утиліта Mimikatz (інструмент, що реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді). Утиліта використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків). У регламентах з інформаційної безпеки більшості установ та організацій зміна пароля користувача krbtgt не передбачена.

Таким чином у зловмисників з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи. При цьому за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

СБУ рекомендує системним адміністраторам установ та фірм найближчим часом зробити таке:

  1. здійснити обов'язкову зміну пароля доступу користувача krbtgt;
  1. здійснити обов'язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
  2. здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
  3. на виявлених скомпрометованих ПЕОМ здійснити обов'язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
  4. повторно здійснити зміну пароля доступу користувача krbtgt;
  5. перезавантажити служби KDC.

Також СБУ радить в подальшому уникати збереження автентифікаційних даних у відкритому вигляді і використовувати задля цього спеціалізоване програмне забезпечення.

Нагадаємо, 8 серпня про повторну кібератаку заявили в "Укрпошті". "Уже другу добу сайт Укрпошти перебуває під атакою, яка найбільше націлена на сервіс відстеження", - повідомила компанія.

Своєю чергою, у Cisco дійшли висновку, що Petya був запущений не з метою отримання грошей, а для знищення файлів.

Експерти Кіберполіції повідомляли про можливість наступної масштабної атаки ще 20 липня.

Розробник вірусу "Петя" готовий до співпраці, аби зупинити хакерські атаки

Розробник вірусу "Петя" готовий до співпраці, аби зупинити хакерські атаки

Повʼязані теми:

Наступна публікація