Сайт для бухгалтеров №1 в Украине

Получайте
новости почтой!


18.08.17
16818 13 Печатать

СБУ попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій

Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій.

Як відомо, 27 червня цього року Україна піддалась масштабній кібератаці з використанням шкідливого програмного забезпечення ідентифікованого як комп’ютерний вірус «Petya».

Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.

Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.

Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків). 

У регламентах з інформаційної безпеки більшості установ та організацій зміна паролю користувача krbtgt не передбачена.

Таким чином у зловмисників, які внаслідок проведеної кібератаки «Petya»  несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

З огляду на наведене, а також враховуючи тривалий час знаходження в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів керування доступом та політиками безпеки в ІТС, системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем рекомендовано у найкоротший термін провести такі дії за наведеним порядком:

  1. здійснити обов’язкову зміну паролю доступу користувача krbtgt;
  2. здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
  3. здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
  4. на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
  5. повторно здійснити зміну паролю доступу користувача krbtgt;
  6. перезавантажити служби KDC.

Рекомендуємо у подальшому уникати збереження в ІТС автентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).

Інформація по темі:
Нацбанк попередив: українські комп'ютери збираються атакувати за допомогою Word

По материалам Прес-центр СБ України

Бухгалтер 911 подчеркивает: содержание авторских материалов может не совпадать с политикой и точкой зрения редакции. Среди авторов материалов, которые публикуются, есть не только представители редакционной команды.

Информация, представленная в конкретной публикации, отражает позицию автора. Редакция не вмешивается в авторские материалы, не редактирует тексты и, следовательно, не несет ответственности за их содержание.

Комментарии
  • ВВВ
18.08.17 20:03

... интересно, до Нового Года доживем?

Ответить
  • SHADOW
18.08.17 21:22

видимо зп хотят поднять себе любимым или документы какие то уничтожить. вот и выдумывают всякую хрень.

Ответить
  • Oleg7
19.08.17 09:11

SHADOW, хрень или не хрень, думаю, только айтишники могут сказать

Ответить
  • Саша
19.08.17 19:42

Oleg7, без обид вы уже нас всех задрали. После пети это особенно. Я в отпуск не уехал. Кого-то с отпуска вернули. Короче мраки. А специалистов знающее своё дело с каждым годом меньше и меньше. Всем ит спецам.удачи в этом не легком деле!!!

Ответить
  • Юра Г.
19.08.17 05:33

SHADOW, а может и оправдать утечки.

Ответить
  • Оля
19.08.17 09:25

Зар. плату "высокие" чиновники программисты, себе подымут мы не будем опять знать с чего начать восстанавливать, тут прошлую атаку не восстановили до конца. А они молодцы. "попередили "т.е. что значит, они уже придумали план, что есть вирус, и я уверенна ,что это не последняя атака в этом году, еще много интересного впереди. Я конечно еще может молодая. и не понимаю смысла этого бреда, но зачем нас доводить до "ручки". Чем им не нравится. что у людей есть работа, она и так не спокойная а эти дебилы еще придумали вирусняк какой-то.... пправильно себе зар.платы различным образом поднимают, а мы бухгалтера должны и днями и ночами сидеть на работе и получать 5000.. очень справедливо. Обидно, накипело(

Ответить
  • Оля
19.08.17 09:27

это в лучшем случае 5000,а то и меньше

Ответить
  • Татьяна
19.08.17 10:00

Полностью с вами солидарна!

Ответить
  • Ираидка
19.08.17 11:30

Какой ужас, все норм люди понимают что это все дела рук наших "дорогих " чиновников и ничего поделать нельзя(((( грусть просто

Ответить
  • ксена
19.08.17 19:13

я вообще не понимаю что мне делать,как бухгалтеру ,из этих шести пунктов,програмиста в штате нет...ни тебе не дебета ни кредита по тексту

Ответить
  • SHADOW
19.08.17 20:09

я не сисадмин, но насколько понял, это для тех компов, которые в домене и в сети. если комп отдельно стоящий, то там проще этого нет.

Ответить
  • keeldg
20.08.17 13:15

я вообще с ужасом думаю от тех, кто работает на малышах, да там бухам памятники нужно при жизни ставить, когда в штате бух один на один с компом и всей этой хренью, а отчетность и регистрацию никто не отменял. Просто зашибись!

Ответить
  • Дутф
20.08.17 19:20

keeldg, та не, можно пережить какось. Я вот пошла в отпуск с четырёх мп и тупо проспала 28 часов. Со студенческих времён со мной такого не было.

Ответить
Спасибо, что читаете нас Войдите и читайте дальше
Для того, чтоб распечатать текст необходимо оформить подписку
copy-print__image
Данная функция доступна только
авторизованным пользователям