Фахівці СБУ припускають, що під час атаки вірусу «Petya» метою був збір даних про підприємства України, і тепер ця інформація може бути використана для подальших деструктивних акцій.
Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств. Про це повідомляється на сайті СБУ.
Як відомо, 27 червня цього року Україна зазнала масштабної кібератаки з використанням шкідливого програмного забезпечення ідентифікованого як комп'ютерний вірус «Petya».
Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.
Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.
Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).
У регламентах з інформаційної безпеки більшості установ та організацій зміна паролю користувача krbtgt не передбачена.
Таким чином у зловмисників, які внаслідок проведеної кібератаки «Petya» несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.
У зв'язку з цим Служба безпеки України просить дотримуватися розроблені рекомендації, з повним списком яких можна ознайомитися на сайті СБУ.