На українські компанії готуються нові кібератаки

Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств.

Про це повідомляється на сайті СБУ.

Як відомо, 27 червня цього року Україна зазнала масштабної кібератаки з використанням шкідливого програмного забезпечення, ідентифікованого як комп’ютерний вірус «Petya». При аналізі наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їх працівниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies і відправкою на командний сервер.

Фахівці СБУ припускають, що саме ця інформація і була метою першої хвилі кібератаки і може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і з метою подальших деструктивних акцій.

Про це свідчить виявлена фахівцями в ході дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, який в т. ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену.

Читатйте також: СБУ викрила злочинців, які підробляли ID-картки для перетину кордону

Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків). У регламентах з інформаційної безпеки більшості установ та організацій зміна пароля користувача krbtgt не передбачена.

Популярне: Це не їдять навіть таргани: які продукти вбивають настрій

Таким чином, у зловмисників, які в результаті проведеної кібератаки «Petya» несанкціоновано отримали адміністративні дані, з’явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора (SID 500).

Особливістю згаданого TGT-квитка є те, що в умовах відключення скомпрометованого врахованого запису аутентифікація за Kerberos буде легітимною і буде сприйматися системою. Для завантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

У зв’язку з цим Служба безпеки України просить дотримуватися розроблених рекомендацій, з повним списком яких можна ознайомитися на сайті СБУ.