СБУ предупреждает о возможности новой кибератаки

Дата публикации
Поделиться:
WhatsApp
Viber
СБУ предупреждает о возможности новой кибератаки

Reuters

Данные, полученные с помощью вируса Petya, злоумышленники могут использовать для новой атаки.

Служба безопасности Украины предупреждает о возможной новой кибератаке на сети украинских учреждений и компаний.

Об этом сообщили на официальном сайте СБУ.

СБУ напоминает об атаке 27 июня вирусом Petya и отмечает, что ей предшествовал сбор данных о предприятиях (электронные почты, пароли к учетным записям, реквизиты доступа к командно-контрольных серверов и хэш-данные учетных записей пользователей) с последующим их сокрытием в файлах cookies и отправлением на командный сервер.

"Специалисты СБУ предполагают, что именно эта информация и была целью первой волны кибератаки и может быть использована настоящими инициаторами как для проведения киберрозведки, так и в целях дальнейших деструктивных акций", – говорится в сообщении.

Об этом свидетельствует обнаруженная во время исследования предыдущей кибератаки утилита Mimikatz (инструмент, который реализует функционал Windows Credentials Editor и позволяет получить високопривилегированные аутентификационные данные из системы в открытом виде). Утилита использует архитектурные особенности службы Kerberos в Microsoft Active Directory с целью скрытого сохранения привилегированного доступа над ресурсами домена. Работа службы Kerberos базируется на обмене и верификации так называемых билетов доступа (TGT-билетов). В регламентах по информационной безопасности большинства учреждений и организаций смена пароля пользователя krbtgt не предусмотрена.

Таким образом у злоумышленников появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор администратора системы. При этом в условиях отключения скомпрометированной учетной записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны.

СБУ рекомендует системным администраторам организаций и фирм в ближайшем времени сделать следующее:

  1. осуществить обязательную смену пароля доступа пользователя krbtgt;
  1. осуществить обязательную смену паролей доступа ко всем без исключения учетным записям в подконтрольной доменной зоне ИТС;
  2. произвести смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС;
  3. на выявленных скомпрометированных ПЭВМ осуществить обязательную смену всех паролей, которые хранились в настройках браузеров;
  4. повторно произвести смену пароля доступа пользователя krbtgt;
  5. перезапустить службы KDC.

Также СБУ советует в дальнейшем избегать сохранность аутентификационных данных в открытом виде и использовать для этих целей специализированное программное обеспечение.

Напомним, 8 августа об ответную кибератаку заявили в "Укрпочте". "Уже вторые сутки сайт Укрпочты находится под атакой, которая более всего нацелена на сервис отслеживания", – сообщила компания.

В свою очередь, в Cisco пришли к выводу, что Petya был запущен не с целью получения денег, а для уничтожения файлов.

Эксперты Киберполиции сообщали о возможности последующей масштабной атаки еще 20 июля.

Разработчик вируса "Петя" готов к сотрудничеству, чтобы остановить хакерские атаки

Разработчик вируса "Петя" готов к сотрудничеству, чтобы остановить хакерские атаки

Следующая публикация