Petya возвращается: СБУ предупредила о новой кибератаке на Украину

17.7тЧитать новость на украинском

Служба безопасности Украины предупредила о возможной новой кибератаке на сети украинских учреждений и предприятий и попросила соблюдать разработанные рекомендации.

Соответствующее сообщение опубликовала пресс-служба СБУ.

Специалисты СБУ предполагают, что целью кибератаки 27 июня с использованием вируса Petya был сбор данных об украинских предприятиях, которые могут быть использованы настоящими инициаторами как для проведения киберразведки, так и в целях дальнейших деструктивных акций.

"Об этом свидетельствует обнаруженная специалистами в ходе исследования кибератаки "Petya" утилита Mimikatz (инструмент, в т.ч. реализует функционал Windows Credentials Editor и позволяет получить высокопривелегированные аутентификационные данные из системы в открытом виде), которая использует архитектурные особенности службы Kerberos в Microsoft Active Directory с целью скрытого сохранения привилегированного доступа над ресурсами домена. Работа службы Kerberos базируется на обмене и верификации так называемых билетов доступа (TGT-билетов)", – сказано в сообщении.

Как пояснили в СБУ, в регламентах по информационной безопасности большинства учреждений и организаций изменение пароля пользователя krbtgt не предусмотрено.

"Таким образом, у злоумышленников, которые в результате проведенной кибератаки "Petya" несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор встроенного администратора (SID 500). Особенностью упомянутого TGT-билета является то, что в условиях отключения скомпрометированного учтенного записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны", – добавили в спецслужбе.

Исходя из этого СБУ рекомендовала системным администраторам или уполномоченным лицам по информационной безопасности попавших под атаку систем в кратчайшие сроки провести такие действия:

  • осуществить обязательную смену пароля доступа пользователя krbtgt

  • осуществить обязательную смену паролей доступа ко всем без исключения учетных записей в подконтрольной доменной зоне ИТС

  • осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС

  • на выявленных скомпрометированных ПЭВМ осуществить обязательную смену всех паролей, которые хранились в настройках браузеров

  • повторно осуществить смену пароля доступа пользователя krbtgt

  • перезагрузить службы KDC

Напомним, во время атаки 27 июня вирус Petya.А поразил компьютерные системы государственных и коммерческих предприятий: "Укрэнерго", "Киевэнерго", "Эпицентра", "Киевстара", Vodafone, Lifecell, канала ATR, "Укрзализныци", Киевского метрополитена, "Сбербанка", "Новой почты", аэропорта "Борисполь", сети заправок WOG, "Укргаздобычи" и других.

СБУ заявила о том, что к кибератаке причастны спецслужбы РФ. Российские власти все обвинения упорно отрицают.

Как сообщал "Обозреватель", ранее стала известна возможная дата новой масштабной кибератаки на Украину.

Читайте все новости по теме "Кибератака на Украину" на Обозревателе.

Присоединяйтесь к группе "УкрОбоз" на Facebook, читайте свежие новости!

Наши блоги