Служба безпеки України попереджає про можливі нові кібератаки на мережі українських установ і підприємств та просить дотримуватися розроблених рекомендацій
Як відомо, 27 червня цього року Україна зазнала масштабної кібератаці з використанням шкідливого програмного забезпечення, ідентифікованого як комп’ютерний вірус «Petya».
СБУ зробила гучну заяву: будівлю Нацгвардії хотіли підірватиПід час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі облікових записів, які використовуються підприємствами та їх працівниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх знищенням файлів cookies і відправленням на командний сервер.
Фахівці СБУ припускають, що саме ця інформація і була метою першої хвилі кібератаки і може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.
Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, в т. ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).
У регламентах з інформаційної безпеки більшості установ та організацій зміна пароля користувача krbtgt не передбачена.
Таким чином у зловмисників, які в результаті проведеної кібератаки «Petya» несанкціоновано отримали адміністративні дані, з’явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що в умовах відключення скомпрометованого врахованого запису, аутентифікація за Kerberos буде легітимною і буде сприйматися системою. Для завантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.
Враховуючи наведене, а також враховуючи тривалий час перебування в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів управління доступом і політиками безпеки в ІТС, системних адміністраторів або уповноваженим особам з інформаційної безпеки таких систем рекомендовано в найкоротші терміни провести наступні дії по наведеним порядком:
здійснити обов’язкову зміну пароля доступу користувача krbtgt;
здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
здійснити зміну паролів доступу до серверного устаткування і програм, які функціонують в ІТС;
на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігалися у налаштуваннях браузерів;
повторно провести зміну пароля доступу користувача krbtgt;
перезавантажити служби KDC.
Рекомендуємо надалі уникати збереження в ІТС аутентифікаційних даних у відкритому вигляді (використовувати для цих цілей спеціалізоване програмне забезпечення).
Нагадаємо, СБУ спільно з Нацполицией викрила на хабарі керівництво та співробітників відділення поліції в міжнародному аеропорту «Харків».
А чоловіку, який з допомогою металошукача знайшов скарб і вирішив не ділитися ним з державою, загрожують виправні роботи на строк до двох років.
Джерело: Politeka
