27 июня Украина подверглась масштабной кибератаке с использованием вредоносного программного обеспечения идентифицированного как вирус Petya.A.
Как сообщают в пресс-службе СБУ, хакерской атаке предшествовал сбор данных о предприятиях Украины (электронные почты, пароли учетных записей, которые используются предприятиями и их сотрудниками, реквизиты доступа к командно-контрольным серверам, хэш-данные учетных записей пользователей в пораженных системах и другая информация, которая отсутствует в открытом доступе), с последующим их сокрытием в файлах cookies и отправлением на командный сервер.
Читайте также: НБУ предупредил о хакерской атаке на День Независимости
В СБУ предполагают, что именно эта информация будет использована в целях дальнейших деструктивных акций. Об этом свидетельствует обнаруженная специалистами во время исследования кибератаки Petya утилита Mimikatz, которая использует архитектурные особенности службы Kerberos в Microsoft Active Directory с целью скрытого сохранения привилегированного доступа над ресурсами домена.
Работа службы Kerberos базируется на обмене и верификации так называемых "билетов доступа" (TGT-билетов). В регламентах по информационной безопасности большинства учреждений и организаций смена пароля пользователя krbtgt не предусмотрена.
Таким образом у злоумышленников, которые в результате проведенной кибератаки Petya несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор администратора системы (SID 500).