Служба безопасности Украины предупредила о возможной новой кибератаке на сети украинских учреждений и предприятий. СБУ разработала специальные рекомендации и попросила системных администраторов их соблюдать.
Соответствующее сообщение опубликовала пресс-служба ведомства. Специалисты СБУ предполагают, что целью кибератаки 27 июня с использованием вируса Petya был сбор данных об украинских предприятиях, которые могут быть использованы как для проведения киберрозведки, так и с целью дальнейших деструктивных акций.
Подпишись на наш Viber: новости, юмор и развлечения!
Подписаться"Об этом свидетельствует обнаруженная специалистами в ходе исследования кибератаки "Petya" утилита Mimikatz (инструмент, в т.ч. реализует функционал Windows Credentials Editor и позволяет получить высокопривелегированные аутентификационные данные из системы в открытом виде), которая использует архитектурные особенности службы Kerberos в Microsoft Active Directory с целью скрытого сохранения привилегированного доступа над ресурсами домена. Работа службы Kerberos базируется на обмене и верификации так называемых билетов доступа (TGT-билетов) ", - сказано в сообщении.
Как пояснили в СБУ, в регламентах по информационной безопасности большинства учреждений и организаций смена пароля пользователя krbtgt не предусмотрена.
"Таким образом, у злоумышленников, которые в результате проведенной кибератаки "Petya" несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор встроенного администратора (SID 500). Особенностью упомянутого TGT-билета является то, что в условиях отключения скомпрометированного учтенного записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны", - добавили в спецслужбе.
Исходя из этого СБУ рекомендует сисадминам и уполномоченным лицам по информационной безопасности предприятий, которые попали под атаку систем, в кратчайшие сроки провести следующие действия:
осуществить обязательную смену пароля доступа пользователя krbtgt
осуществить обязательную смену паролей доступа ко всем без исключения учетных записей в подконтрольной доменной зоне ИТС
Популярные статьи сейчасСрочно бегите в супермаркет, пока не начались длительные отключения света: что нужно купить каждому украинцу Штрафы от ТЦК вырастут вдвое: уклонистов изрядно потрясут Многочасовые очереди в ТЦК отменяются: в "Резерв+" заработала долгожданная функция Штрафы за дрова: украинцам подсказали, как избежать наказания за древесину в своем двореПоказать ещеосуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС
на выявленных скомпрометированных ПЭВМ осуществить обязательную смену всех паролей, которые хранились в настройках браузеров
повторно осуществить смену пароля доступа пользователя krbtgt
перезагрузить службы KDC
Как сообщал портал "Знай.ua", эксперты предупредили, что ждать еще одной атаки вируса Petya, который атаковал накануне Дня Конституции, стоит перед следующим большим праздником - Днем Независимости.
