СБУ попередила про нові кібератаки

Читать на русском
СБУ

Служба безпеки України попереджає про можливі нові кібератаки на мережі українських установ і підприємств та просить дотримуватися розроблених рекомендацій

Як відомо, 27 червня цього року Україна зазнала масштабної кібератаці з використанням шкідливого програмного забезпечення, ідентифікованого як комп’ютерний вірус «Petya».

СБУ зробила гучну заяву: будівлю Нацгвардії хотіли підірвати

Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі облікових записів, які використовуються підприємствами та їх працівниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх знищенням файлів cookies і відправленням на командний сервер.

Фахівці СБУ припускають, що саме ця інформація і була метою першої хвилі кібератаки і може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.

Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, в т. ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).

У регламентах з інформаційної безпеки більшості установ та організацій зміна пароля користувача krbtgt не передбачена.

Таким чином у зловмисників, які в результаті проведеної кібератаки «Petya» несанкціоновано отримали адміністративні дані, з’явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що в умовах відключення скомпрометованого врахованого запису, аутентифікація за Kerberos буде легітимною і буде сприйматися системою. Для завантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

Враховуючи наведене, а також враховуючи тривалий час перебування в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів управління доступом і політиками безпеки в ІТС, системних адміністраторів або уповноваженим особам з інформаційної безпеки таких систем рекомендовано в найкоротші терміни провести наступні дії по наведеним порядком:

здійснити обов’язкову зміну пароля доступу користувача krbtgt;
здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
здійснити зміну паролів доступу до серверного устаткування і програм, які функціонують в ІТС;
на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігалися у налаштуваннях браузерів;
повторно провести зміну пароля доступу користувача krbtgt;
перезавантажити служби KDC.
Рекомендуємо надалі уникати збереження в ІТС аутентифікаційних даних у відкритому вигляді (використовувати для цих цілей спеціалізоване програмне забезпечення).

Нагадаємо, СБУ спільно з Нацполицией викрила на хабарі керівництво та співробітників відділення поліції в міжнародному аеропорту «Харків».

А чоловіку, який з допомогою металошукача знайшов скарб і вирішив не ділитися ним з державою, загрожують виправні роботи на строк до двох років.

Джерело: Politeka


Всеукраїнський трек у рамках відновлення: Закарпаття заручилося важливою підтримкою Міндовкілля

Фотографії вас здивують: як покращити камеру телефону за допомогою однієї хитрощі

"Били саме туди": окупанти змінили тактику ракетних ударів, у чому небезпека

Як виростити ранні огірки хрусткими та солодкими поза теплицею: секрети досвідчених городників

"Потрібно з великою обережністю": експерт розкрив важливу інформацію про ракетні обстріли

Смартфон погано ловить Wi-Fi: що потрібно зробити, щоб вирішити цю проблему

"Намагаються просуватися убік": експерт розкрив, де окупанти готуються до нового прориву

Виросте пишна та ароматна: коли навесні потрібно висаджувати петрушку

Масова мобілізація та новий формат військ: розкрито план окупантів на 2024 рік

Нові масовані удари: ворог накопичив ракети, українців попередили, якими тепер будуть атаки

Втомитеся викликати майстра: названі місця в будинку, де не можна ставити холодильник

"Найближчим часом буде ліквідована": зʼявилися сумні новини з Лиманського напрямку

Ситуація на фронті різко змінилася: чим обернулися операції в Курській і Бєлгородській областях рф

Ситуація навколо Бахмута несподівано змінилася: окупанти знайшли собі дві нові цілі

Що зробити, якщо смартфон впав у воду: важливі поради, які врятують ваш пристрій

Названо шкідливий засіб, що міститься у горщиках магазинних орхідей: краще відразу пересадити

Як правильно виростити хрумкі та солодкі огірки в бочці: покрокова інструкція

Як перетворити смартфон на модем: простий лайфхак

Кротів на дачі та городі більше не буде: як позбутися непроханих гостей

Показати ще