УкраїнськаУКР
EnglishENG
PolskiPOL
русскийРУС

Petya повертається: СБУ попередила про нову кібератаку на Україну

34,1 т.
Petya повертається: СБУ попередила про нову кібератаку на Україну

Служба безпеки України попередила про можливу нову кібератаку на мережі українських установ і підприємств і попросила дотримуватися розроблених рекомендацій.

Відповідне повідомлення опублікувала прес-служба СБУ.

Фахівці СБУ припускають, що метою кібератаки 27 червня з використанням вірусу Petya був збір даних про українські підприємства, які можуть бути використані справжніми ініціаторами як для проведення кіберрозвідки, так і з метою подальших деструктивних акцій.

Читайте: За підтримки спецслужб: кіберполіція назвала винних за атаку Petya на Україну

"Про це свідчить виявлена ​​фахівцями під час дослідження кібератаки "Petya" утиліта Mimikatz (інструмент, в т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos у Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні і верифікації так званих квитків доступу (TGT-квитків)", - сказано в повідомленні.

Як пояснили в СБУ, у регламентах з інформаційної безпеки більшості закладів і організацій зміна пароля користувача krbtgt не передбачена.

"Таким чином, у зловмисників, які в результаті проведеної кібератаки "Petya" несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора (SID 500). Особливістю згаданого TGT-квитка є те, що в умовах відключення скомпрометованого врахованого запису, аутентифікація по Kerberos буде легітимною і буде сприйматися системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні", - додали в спецслужбі.

Читайте: Вірус Petya: в кіберполіції розкрили мету атаки на Україну

Виходячи з цього СБУ рекомендувала системним адміністраторам або уповноваженим особам з інформаційної безпеки потрапили під атаку систем у найкоротші терміни провести такі дії:

  • здійснити обов'язкову зміну пароля доступу користувача krbtgt;

  • здійснити обов'язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;

  • здійснити зміну паролів доступу до серверного обладнання та програм, які функціонують в ІТС;

  • на виявлених скомпрометованих ПЕОМ здійснити обов'язкову зміну всіх паролів, які зберігалися в налаштуваннях браузерів;

  • повторно здійснити зміну пароля доступу користувача krbtgt;

  • перезавантажити служби KDC.

Нагадаємо, під час атаки 27 червня вірус Petya.А вразив комп'ютерні системи державних і комерційних підприємств: "Укренерго", "Київенерго", "Епіцентру", "Київстару", Vodafone, Lifecell, каналу ATR, "Укрзалізниці", Київського метрополітену, "Ощадбанку", "Нової пошти", аеропорту "Бориспіль", мережі заправок WOG, "Укргазвидобування" та інших.

СБУ заявила про те, що до кібератаки причетні спецслужби РФ. Російська влада всі звинувачення наполегливо заперечує.

Як повідомляв "Обозреватель", раніше стала відома можлива дата нової масштабної кібератаки на Україну.