Як відомо, 27 червня 2017 року Україна піддалася масштабній кібератаці з використанням шкідливого програмного забезпечення, ідентифікованого як комп'ютерний вірус Petya.
Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах й інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.
Фахівці СБУ припускають, що саме така інформація й була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і з метою подальших деструктивних акцій.
Про це свідчить виявлена фахівцями під час дослідження кібератаки Petya утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані із системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).
У регламентах з інформаційної безпеки більшості установ й організацій зміна пароля користувача krbtgt не передбачена.
Таким чином, у зловмисників, які внаслідок проведеної кібератаки Petya несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор убудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.
З огляду на наведене, а також беручи до уваги тривалий час знаходження в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів керування доступом та політиками безпеки в ІТС, системним адміністраторам або вповноваженим особам з інформаційної безпеки таких систем рекомендовано в найстисліший строк провести такі дії за наведеним порядком:
• здійснити обов'язкову зміну пароля доступу користувача krbtgt;
• здійснити обов'язкову зміну паролів доступу до всіх без винятку облікових записів у підконтрольній доменній зоні ІТС;
• здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
• на виявлених скомпрометованих ПЕОМ здійснити обов'язкову зміну всіх паролів, які зберігалися в налаштуваннях браузерів;
• повторно здійснити зміну пароля доступу користувача krbtgt;
• перезавантажити служби KDC.
Рекомендуємо надалі уникати збереження в ІТС автентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).
За повідомленням прес-центру СБУ
