СБУ предупредила о возможной кибератаке на украинские серверы

Служба безопасности Украины предупредила о возможной новой кибератаке на сети украинских учреждений и предприятий и обнародовала некоторые рекомендации как можно защититься от вируса, передает ПрессОрг со ссылкой на UNN со ссылкой на пресс-службу СБУ.

В частности, при анализе последствий вируса "Petya" и предпосылок этой атаки было установлено, что ей предшествовал сбор данных о предприятиях Украины (электронные почты, пароли к учетным записям, которые используются предприятиями и их сотрудниками, реквизиты доступа к командно-контрольных серверов и хэш -данные учетных записей пользователей в пораженных системах и другая информация, которая отсутствует в открытом доступе), с последующим их сокрытием в файлах cookies и отправкой на командный сервер.

В СБУ предположили, что именно эта информация и была целью первой волны кибератаки и может быть использована настоящими инициаторами как для проведения киберразведку, так и в целях дальнейших деструктивных акций.

"Об этом свидетельствует обнаруженная специалистами в ходе исследования кибератаки" Petya "утилита Mimikatz (инструмент, в т.ч. реализует функционал Windows Credentials Editor и позволяет получить високопривилейовани аутентификационные данные из системы в открытом виде), которая использует архитектурные особенности службы Kerberos в Microsoft Active Directory с целью скрытого сохранения привилегированного доступа над ресурсами домена. Работа службы Kerberos базируется на обмене и верификации так называемых билетов доступа (TGT-билетов)", - говорится в сообщении.

В регламентах по информационной безопасности большинства учреждений и организаций изменение пароля пользователя krbtgt не предусмотрена.

Таким образом у злоумышленников, которые в результате проведенной кибератаки "Petya" несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор встроенного администратора (SID 500). Особенностью упомянутого TGT-билета является то, что в условиях отключения скомпрометированного учтенного записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны.

Учитывая это рекомендовано в кратчайшие сроки провести такие действия по приведенному порядке:

• осуществить обязательную смену пароля доступа пользователя krbtgt;
• осуществить обязательную смену паролей доступа ко всем без исключения учетных записей в подконтрольной доменной зоне ИТС;
• осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС;
• на выявленных скомпрометированных ПЭВМ осуществить обязательную смену всех паролей, которые хранились в настройках браузеров;
• повторно осуществить смену пароля доступа пользователя krbtgt;
• перезагрузить службы KDC.

В СБУ рекомендовали избегать сохранения в ИТС аутентификации данных в открытом виде (использовать для таких целей специализированное программное обеспечение).

Напомним, что хакерская атака вируса Petya началась 27 июня накануне Дня Конституции Украины. Больше атаке подверглись компьютеры нефтяных, банковских, энергетических, телекоммуникационных, фармацевтических компаний и сайты госорганов.

Служба безопасности Украины 1 июля установила причастность России к атаке.

Отмечается, что украинские чиновники до сих пор не могут назвать объем убытков от Petya.