Служба безопасности Украины предупредила о возможной новой кибератаке на сети украинских учреждений и предприятий. СБУ разработала специальные рекомендации и попросила системных администраторов их соблюдать.
Соответствующее сообщение опубликовала пресс-служба ведомства. Специалисты СБУ предполагают, что целью кибератаки 27 июня с использованием вируса Petya был сбор данных об украинских предприятиях, которые могут быть использованы как для проведения киберрозведки, так и с целью дальнейших деструктивных акций.
"Об этом свидетельствует обнаруженная специалистами в ходе исследования кибератаки "Petya" утилита Mimikatz (инструмент, в т.ч. реализует функционал Windows Credentials Editor и позволяет получить высокопривелегированные аутентификационные данные из системы в открытом виде), которая использует архитектурные особенности службы Kerberos в Microsoft Active Directory с целью скрытого сохранения привилегированного доступа над ресурсами домена. Работа службы Kerberos базируется на обмене и верификации так называемых билетов доступа (TGT-билетов) ", - сказано в сообщении.
Как пояснили в СБУ, в регламентах по информационной безопасности большинства учреждений и организаций смена пароля пользователя krbtgt не предусмотрена.
"Таким образом, у злоумышленников, которые в результате проведенной кибератаки "Petya" несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор встроенного администратора (SID 500). Особенностью упомянутого TGT-билета является то, что в условиях отключения скомпрометированного учтенного записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны", - добавили в спецслужбе.
Исходя из этого СБУ рекомендует сисадминам и уполномоченным лицам по информационной безопасности предприятий, которые попали под атаку систем, в кратчайшие сроки провести следующие действия:
осуществить обязательную смену пароля доступа пользователя krbtgt
осуществить обязательную смену паролей доступа ко всем без исключения учетных записей в подконтрольной доменной зоне ИТС
Популярные статьи сейчасПоказать еще"Бусификацию" обещают искоренить: ТЦК применят новый подход к мобилизации
Штрафы за дрова: украинцам подсказали, как избежать наказания за древесину в своем дворе
Не напутайте с показаниями счетчиков в этом месяце: Нафтогаз обратился к украинцам
Мобилизацию уравняли для всех: украинцам объявили вердикт по экономическому бронированию
осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС
на выявленных скомпрометированных ПЭВМ осуществить обязательную смену всех паролей, которые хранились в настройках браузеров
повторно осуществить смену пароля доступа пользователя krbtgt
перезагрузить службы KDC
Как сообщал портал "Знай.ua", эксперты предупредили, что ждать еще одной атаки вируса Petya, который атаковал накануне Дня Конституции, стоит перед следующим большим праздником - Днем Независимости.