Портал оперативних новин Varta1 Портал оперативних новин Varta1
Меню

СБУ попередила про можливу хвилю кібератаки на мережі українського бізнесу. Що потрібно знати, щоб "не попастися"

СБУ попередила про можливу хвилю кібератаки на мережі українського бізнесу. Що потрібно знати, щоб "не попастися" СБУ попередила про можливу хвилю кібератаки на мережі українського бізнесу. Що потрібно знати, щоб "не попастися"

СБУ попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій. Про це інформує прес-служба СБУ.


У найкоротший термін за наведеним порядком провести такі дії:

  1. здійснити обов’язкову зміну паролю доступу користувача krbtgt;

  2. здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;

  3. здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;

  4. на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;

  5. повторно здійснити зміну паролю доступу користувача krbtgt;

  6. перезавантажити служби KDC.


Рекомендуємо у подальшому уникати збереження в ІТС автентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).


Нагадаємо, що, 27 червня цього року Україна піддалась масштабній кібератаці з використанням шкідливого програмного забезпечення ідентифікованого як комп’ютерний вірус «Petya».


Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.

Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.


Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків). 


У регламентах з інформаційної безпеки більшості установ та організацій зміна паролю користувача krbtgt не передбачена.

Таким чином у зловмисників, які внаслідок проведеної кібератаки «Petya»  несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.