Служба безпеки України попередила про можливу нову кібератаку на мережі українських установ і підприємств. СБУ розробила спеціальні рекомендації та попросила системних адміністраторів їх дотримуватися.
Відповідне повідомлення опублікувала прес-служба відомства. Фахівці СБУ припускають, що метою кібератаки 27 червня з використанням вірусу Petya був збір даних про українські підприємства, які можуть бути використані як для проведення кіберрозвідки, так і з метою подальших деструктивних акцій.
"Про це свідчить виявлений фахівцями в ході дослідження кібератаки "Petya" утиліт Mimikatz (інструмент, в т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні і верифікації так званих квитків доступу (TGT-квитків) ", - сказано в повідомленні.
Як пояснили в СБУ, в регламентах з інформаційної безпеки більшості закладів і організацій зміна пароля користувача krbtgt не передбачена.
"Таким чином, у зловмисників, які в результаті проведеної кібератаки "Petya" несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора (SID 500). Особливістю згаданого TGT-квитка є те, що в умовах відключення скомпрометованого врахованого запису, аутентифікація по Kerberos буде легітимною і буде сприйматися системою. Для підгрузки TGT-квитка в адресний простір операційної системи root-повноваження не потрібні ", - додали в спецслужбі.
Виходячи з цього СБУ рекомендує сисадмінам та уповноваженим особам з інформаційної безпеки підприємств, які потрапили під атаку систем, в найкоротші терміни провести такі дії:
- здійснити обов'язкову зміну пароля доступу користувача krbtgt
- здійснити обов'язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС
- здійснити зміну паролів доступу до серверного обладнання та програм, які функціонують в ІТС
- на виявлених скомпрометованих ПЕОМ здійснити обов'язкову зміну всіх паролів, які зберігалися в настройках браузерів
- повторно здійснити зміну пароля доступу користувача krbtgt
- перезавантажити служби KDC.
Як повідомляв портал "Знай.ua", експерти попередили, що ще однієї атаки вірусу Petya, який атакував напередодні Дня Конституції, варто чекати перед наступним великим святом - Днем Незалежності.