Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств, у зв'язку з чим закликає дотримуватися розроблених рекомендацій, інформує прес-центр спецслужби.

"27 червня цього року Україна зазнала масштабної кібератаки з використанням шкідливого програмного забезпечення, ідентифікованого як комп'ютерний вірус Petya. Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України... з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер. Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і з метою подальших деструктивних акцій", - йдеться в повідомленні прес-центру СБУ в п'ятницю.

За інформацією спецслужби, про це свідчить виявлена фахівцями під час дослідження кібератаки Petya утиліта Mimikatz, яка використовує архітектурні особливості служби Kerberos у Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків). У регламентах з інформаційної безпеки більшості установ та організацій зміна пароля користувача krbtgt не передбачена.

Таким чином, як наголошують у СБУ, у зловмисників, які внаслідок проведеної кібератаки Petya несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора (SID 500).

Як зазначає СБУ, особливістю TGT-квитка є те, що за умов відключення скомпрометованого облікового запису аутентифікація через Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

З огляду на це, а також враховуючи факт тривалого перебування в інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів керування доступом та політиками безпеки в ІТС, СБУ рекомендує системним адміністраторам у найкоротші терміни провести такі дії за наведеним порядком:

- здійснити обов'язкову заміну пароля доступу користувача krbtgt;

- здійснити обов'язкову заміну паролів доступу до всіх без винятку облікових записів у підконтрольній доменній зоні ІТС;

- здійснити зміну паролів доступу до серверного обладнання і програм, які функціонують в ІТС;

- на виявлених скомпрометованих ПЕОМ здійснити обов'язкову заміну всіх паролів, які зберігались у налаштуваннях браузерів;

- повторно здійснити зміну пароля доступу користувача krbtgt;

- перезавантажити служби KDC.

"Рекомендуємо у подальшому уникати збереження в ІТС аутентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення)", - йдеться в повідомленні спецслужби.