Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств і закликає дотримуватися рекомендацій своїх фахівців з питань кібербезпеки.
СБУ нагадує: 27 червня Україна зазнала масштабного кібернетичного нападу з використанням шкідливого програмного забезпечення, ідентифікованого як комп’ютерний вірус Petya.
"Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовують підприємства та їхні співробітники, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, якої немає у вільному доступі) з подальшим їхнім приховуванням у файлах cookies та відправленням на командний сервер. Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій", – ідеться у повідомленні СБУ.
Про те, що перша хвиля була "розвідувальною", свідчить виявлена фахівцями утиліта Mimikatz (інструмент, що у т. ч. реалізує функціонал Windows Credentials Editor і дає змогу отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), котра використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).
"Таким чином у зловмисників, які внаслідок проведеної кібератаки Petya несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису аутентифікація за Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні", – зазначили в СБУ.
"З огляду на наведене, а також враховуючи тривалий час перебування в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакувальних дій шляхом перехоплення реквізитів керування доступом та політиками безпеки в ІТС, системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем рекомендовано у найкоротший термін провести такі дії за наведеним порядком:
– здійснити обов’язкову зміну пароля доступу користувача krbtgt;
– здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
– здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
– на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
– повторно здійснити зміну пароля доступу користувача krbtgt;
– перезавантажити служби KDC", – порадили в СБУ.
18.08.2017