ГоловнаПолітика

СБУ виклала інструкцію для захисту від повторної кібератаки

Спецслужба рекомендує змінити пароль користувача krbtgt.

СБУ виклала інструкцію для захисту від повторної кібератаки
Фото: http://mignews.com.ua

Служба безпеки України попереджає про загрозу нової кібератаки на мережі українських установ і підприємств і просить дотримуватися розроблених нею рекомендацій.

Спецслужба нагадує, що 27 червня Україна зазнала масштабної кібератаки з використанням шкідливого програмного забезпечення, ідентифікованого як комп'ютерний вірус Petya.

"Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер", - сказано в повідомленні СБУ.

Фахівці служби вважають, що саме ця інформація була метою першої хвилі кібератаки і може бути використана для нових деструктивних акцій.

"Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків)", - зазначає СБУ.

У регламентах з інформаційної безпеки більшості закладів і організацій зміна пароля користувача krbtgt не передбачена.

Тож у зловмисників, які в результаті проведеної кібератаки Petya несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора (SID 500). Особливістю згаданого TGT-квитка є те, що в умовах відключення скомпрометованого облікового запису аутентифікація за Kerberos буде легітимною і буде сприйматися системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

"З огляду на наведене, а також враховуючи тривалий час знаходження в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів керування доступом та політиками безпеки в ІТС, системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем рекомендовано у найкоротший термін провести такі дії за наведеним порядком:

  1. Здійснити обов’язкову зміну паролю доступу користувача krbtgt;
  2. Здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
  3. Здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
  4. На виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
  5. Повторно здійснити зміну паролю доступу користувача krbtgt;
  6. Перезавантажити служби KDC".

СБУ рекомендує надалі уникати збереження в ІТС автентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).

Нагадаємо, голова кіберполіції Сергій Демедюк допускає можливість повторної масштабної хакерської атаки на Україну на День Незалежності - 24 серпня.

27 червня Україна була атакована комп'ютерним вірусом Petya. Жертвами вірусної атаки стало багато компаній, близько 30 банків і держоргани. 5 липня голова МВС Арсен Аваков повідомив, що правоохоронці запобігли черговій атаці вірусу Petya.A.

Читайте головні новини LB.ua в соціальних мережах Facebook, Twitter і Telegram