Служба безпеки України заявила про можливу нову кібератаку на мережі українських установ і підприємств і попросила дотримуватися розроблених рекомендацій.
Про це йдеться на сайті відомства.
Так, фахівці СБУ припускають, що метою кібератаки 27 червня з використанням вірусу Petya був збір даних про українські підприємства, які можуть бути використані справжніми ініціаторами як для проведення кіберрозвідки, так і з метою подальших деструктивних акцій.
"Про це свідчить виявлена фахівцями в ході дослідження кібератаки "Petya" утиліта Mimikatz (інструмент, в т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні і верифікації так званих квитків доступу (TGT-квитків)", - сказано в повідомленні.
Відзначається, в регламентах з інформаційної безпеки більшості закладів і організацій зміна пароля користувача krbtgt не передбачена.
"Таким чином, у зловмисників, які в результаті проведеної кібератаки "Petya" несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора (SID 500). Особливістю згаданого TGT-квитка є те, що в умовах відключення скомпрометованого врахованого запису аутентифікація по Kerberos буде легітимною і буде сприйматися системою. Для підгрузки TGT-квитка в адресний простір операційної системи root-повноваження не потрібні", - додали в спецслужбі.
У зв'язку з цим СБУ рекомендувала системним адміністраторам або уповноваженим особам з інформаційної безпеки, які потрапили під атаку систем, в найкоротші терміни провести ряд дій.
Як повідомляв "Апостроф", раніше під Черніговом кіберполіція викрила розповсюджувача вірусу Petya.