Наццентр кібербезпеки попереджає про підвищений рівень кіберзагроз через кібератаку на FireEye

Провідна американська компанія FireEye, що спеціалізується на кібербезпеці, за повідомленням її керівника, зазнала потужної кібератаки. Внаслідок атаки були викрадені цифрові інструменти, за допомогою яких фахівці Red Team раніше виявляли уразливості в системах захисту інших компаній і урядів.

Наявні дані щодо атаки передані для розслідування в ФБР та ряду ключових партнерів компанії, також опубліковано індикатори, за допомогою яких можна виявляти ознаки використання викрадених інструментів (доступні за посиланням).

За повідомленням FireEye, викрадені інструменти варіюються від простих скриптів для автоматизації збору даних про ціль до цілих фреймворків, аналогічних засобам CobaltStrike і Metasploit, і не містять експлойтів нульового дня. Вони зазвичай використовуються для активної перевірки стану безпеки мереж та імітації кібератак під час проведення кібернавчань.

Такий інструментарій може бути використаний для втручання в мережі та інформаційні системи та за певних умов бути використаний в якості кіберзброї.

За даними FireEye характер злому вказує про високу ймовірність причетності до цієї кібератаки спецслужб Російської Федерації.

Зважаючи на зростаючу кількість інцидентів, що ми фіксуємо, це сигналізує про збільшення рівня кіберзагрози для українських інформаційних систем, особливо перед новорічними святами та імовірним введенням обмежень через карантинні заходи.

НКЦК разом з основними суб’єктами кібербезпеки здійснюють інформування органів державної влади та об’єктів критичної інфраструктури про способи виявлення та протидії викраденому інструментарію FireEye.

У разі виявлення кіберінцидентів чи ознак кібератаки просимо одразу повідомляти про це нам: report@ncscc.gov.ua

Джерело

Поділитися:

Попереджено масштабну кібератаку на комп’ютерне обладнання, що забезпечує роботу офіційного Інтернет-сайту ЦВК

Фахівці Ситуаційного центру забезпечення кібербезпеки ДКІБ СБУ у взаємодії зі співробітниками Центральної виборчої комісії попередили масштабну кібератаку на комп’ютерне обладнання, що забезпечує роботу офіційного Інтернет-сайту ЦВК.

За висновками експертів кібератака була спрямована на блокування доступу користувачів до інформації про підготовку до чергових виборів Президента України.

Спеціалісти спецслужби встановили, що атаку було проведено за технологією «http flood», через генерацію постійних запитів, які ускладнювали роботу інформаційної системи та блокували можливість доступу звичайних користувачів. Для проведення кібератаки зловмисники використовували розгалужену мережу сайтів на базі неоновленої версії системи «WordPress», що дозволило хакерам без відома власників використати їх для генерації об’ємних запитів.

З метою локалізації кібератаки та усунення її негативних наслідків фахівцями здійснено низку практичних заходів, що дозволили припинити негативний вплив на роботу веб-ресурсу Центральної виборчої комісії.

Фахівцями СБ України перевіряється можлива причетність до організації кібератаки російських спецслужб та підконтрольних їм хакерських угруповань.

Служба безпеки України у межах компетенції постійно реалізовує комплекс вичерпних заходів з метою захисту життєво важливих інтересів, суспільства та держави від протиправного кібернетичного та інформаційного впливу спецслужб РФ.

Джерело

Поділитися:

На Дніпропетровщині СБУ попередила кібератаку російських спецслужб на об’єкт критичної інфраструктури

Співробітники СБ України блокували спробу російських спецслужб провести кібератаку на мережеве обладнання товариства «Аульська хлоропереливна станція», яке є об’єктом критичної інфраструктури країни.

Фахівці спецслужби у сфері кібербезпеки встановили, що протягом декількох хвилин системи управління технологічними процесами та системи виявлення ознак аварійних ситуацій підприємства були умисно уражені комп’ютерним вірусом VPNFilter з території РФ. Продовження кібератаки могло призвести до зриву технологічних процесів та можливої аварії.

Задум кібератаки країни-агресора полягав у блокуванні сталого функціонування саме переливної станції, яке забезпечує рідким хлором для очищення води водопровідно-каналізаційних підприємств на всій території України.

У тісній взаємодії з адміністрацією товариства вдалося попередити потенційну техногенну катастрофу. Для блокування ураження комп’ютерним вірусом інших складових інформаційно-телекомунікаційних систем об’єкту критичної інфраструктури, недопущення можливих катастрофічних наслідків, фахівцями СБУ у взаємодії із працівниками провайдера та «Аульської хлоропереливної станції» шкідливе програмне забезпечення VPNFilter було локалізоване та знешкоджене.

У травні поточного року фахівцями СБУ вже фіксувались прояви підготовки російських спецслужб до проведення кібератаки на об’єкти державного та приватного секторів з використанням саме комп’ютерного вірусу VPNFilter.

VPNFilter — багаторівневе модульне шкідливе програмне забезпечення з універсальними можливостями, які забезпечують проведення як кіберрозвідки, так і деструктивних кібероперацій.

Завдяки поетапному розгортанню роботи Ситуаційного центру забезпечення кібербезпеки СБУ гарантує сталий ефективний захист об’єктів критичної інфраструктури держави.

Джерело

Поділитися:

СБУ блокувала подальше розповсюдження комп’ютерного вірусу (рекомендації)

Співробітники Служби безпеки України оперативно проаналізували та блокували нові випадки ураження комп’ютерів вітчизняного сегменту мережі Інтернет шкідливим програмним забезпеченням.

Фахівці СБ України встановили, що доставка вірусу відбувається з використанням фішингових листів електронної пошти зі зворотною адресою, яка асоціюється зі службою технічної підтримки компанії Майкрософт. Сьогодні, 24 жовтня, кібератаки за цією схемою, зокрема, зазнав київський метрополітен та одеський аеропорт, де внаслідок дії вірусу типу шифрувальника було заблоковано функціонування служби реєстрації пасажирів. Наразі подальше розповсюдження вірусу припинено, загроз безпеці руху немає.

Для попередження несанкціонованого блокування інформаційних систем необхідно дотримуватись таких рекомендацій:

  • забезпечити щоденне оновлення системного програмного забезпечення, у т.ч. OS Windows усіх без винятку версій, також обов’язково встановити оновлення KB3213630 (для Windows 10);
  • у налаштуваннях мережевої безпеки заблокувати доступ до домену x90DOTim, з якого завантажується шкідливе програмне забезпечення. Не відкривати в браузері! DOT змінити на крапку;
  • не відкривати вкладення до електронної пошти, у тому числі форматів .doc та .rtf, що надійшли від неперевіреного відправника;
  • забезпечити дотримання загальних правил інформаційної безпеки, зокрема створення резервних копій, своєчасне оновлення антивірусного та прикладного програмного забезпечення.

Нагадаємо, що 12 жовтня СБУ попереджала про можливу масштабну кібератаку на державні структури та приватні компанії та надала відповідні рекомендації.

Джерело

 

Напад вірусу BadRabbit готували цілеспрямовано – російські фахівці

У Держспецзв’язку заявили про початок нової хвилі кібератак в Україні

Держспецзв’язку: в сьогоднішній кібератаці використовувалася техніка DDE (рекомендації)

Поділитися:

Держспецзв’язку: в сьогоднішній кібератаці використовувалася техніка DDE (рекомендації)

В атаці 24.10.2017 на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача.

Команда CERT—UA рекомендує:

  1. Заблокувати доступ до зазначених посилань.
  2. Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826).
  3. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
  4. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
  5. Не працювати під правами адміністратора.
  6. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
  7. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.

Джерело

 

У Держспецзв’язку заявили про початок нової хвилі кібератак в Україні

Поділитися:

У Держспецзв’язку заявили про початок нової хвилі кібератак в Україні

Команда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України повідомляє про можливий початок нової хвилі кібератак на інформаційні ресурси України 24.10.2017.

Встановлені поодинокі випадки враження (Одеській аеропорт та Київський метрополітен).

Просимо власників інформаційно-телекомунікаційних систем, інших інформаційних ресурсів, у першу чергу транспортної інфраструктури, а також пересічних інтернет-користувачів дотримуватися посилених вимог кібербезпеки (у т.ч. викладених раніше).

Джерело

 

Рекомендації від CERT-UA

 

Поділитися:

СБУ попереджає про можливу масштабну кібератаку на державні структури та приватні компанії

Служба безпеки України попереджає про підготовку нової хвилі масштабної кібератаки на державні структури та приватні компанії.

За інформацією спецслужби, цілями зловмисників визначені великі державні та приватні компанії. Основна мета ‒ порушити штатне функціонування інформаційних систем, що може дестабілізувати ситуацію в країні.

Фахівці СБ України отримали дані, що атака може бути здійснена з використанням оновлень, у тому числі загальнодоступного прикладного програмного забезпечення. Механізм її реалізації буде подібним до кібератаки, проведеної в червні 2017 року.

Для попередження несанкціонованого блокування інформаційних систем необхідно дотримуватись таких рекомендацій:

  • оновити сигнатури антивірусного ПЗ на серверах і робочих станціях;
  • здійснити резервування інформації, що оброблюється на комп’ютерному обладнанні;
  • забезпечити щоденне оновлення системного програмного забезпечення, у т.ч. OS Windows усіх без винятку версій.

Джерело

Поділитися:

СБУ попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій

Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій.

Як відомо, 27 червня цього року Україна піддалась масштабній кібератаці з використанням шкідливого програмного забезпечення ідентифікованого як комп’ютерний вірус «Petya».

Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.

Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.

Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).

У регламентах з інформаційної безпеки більшості установ та організацій зміна паролю користувача krbtgt не передбачена.

Таким чином у зловмисників, які внаслідок проведеної кібератаки «Petya»  несанкціоновано отримали адміністративні відомості, з’явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

З огляду на наведене, а також враховуючи тривалий час знаходження в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів керування доступом та політиками безпеки в ІТС, системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем рекомендовано у найкоротший термін провести такі дії за наведеним порядком:

  1. здійснити обов’язкову зміну паролю доступу користувача krbtgt;
  2. здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
  3. здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
  4. на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
  5. повторно здійснити зміну паролю доступу користувача krbtgt;
  6. перезавантажити служби KDC.

Рекомендуємо у подальшому уникати збереження в ІТС автентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).

Джерело

Поділитися:

У МВС презентували Тренінгову програму EUAM у галузі інформаційних технологій

У Міністерстві внутрішніх справ сьогодні, 18 серпня, відбулося відкриття Тренінгової програми EUAM, спрямованої на зміцнення інституційної спроможності МВС у галузі інформаційних технологій. Проект презентували заступник міністра внутрішніх справ України Тетяна Ковальчук та керівник операційного Департаменту EUAM Удо Моллер.

Як підкреслила заступник глави МВС Тетяна Ковальчук, міністерство вважає інформатизацію одним з основних підходів у реалізації своєї стратегії розвитку. Йдеться про підвищення ефективності роботи і взаємодії через максимальне використання інформаційно-комунікаційних технологій у реалізації завдань органами системи МВС.

«Ефективне управління інформаційними ресурсами, їх надійний захист від кібератак, уміння використовувати аналітичні інструменти це основа для підтримки управлінських рішень керівництва міністерства», – зазначила Тетяна Ковальчук.

Своєю чергою Удо Моллер зазначив, що Консультативна Місія ЄС приділяє значну увагу розвитку структури управління ІТ-сервісами, кібербезпеці та менеджменту інформації в рамках реформи сектора цивільної безпеки України. Мета започаткованого проекту – професійна підготовка керівників та ключових фахівців усіх ІТ-служб системи органів МВС в контексті розвитку єдиної ІТ-інфраструктури та її захисту від зовнішніх загроз.

Представник EUAM також додав, що до проведення тренінгів у МВС вдалося залучити найкращих фахівців та експертів міжнародного рівня. Зокрема, перший семінар-тренінг щодо реагування на кіберінциденти провів президент ГО ISACA Олексій Янковський.

Цей проект EUAM спрямований на підтримку персоналу Міністерства внутрішніх справ України, експертів з кібербезпеки, системних адміністраторів та розробників програмного забезпечення. Тренінгова програма передбачає проведення 11 семінарів з метою зміцнення інституційної спроможності в галузі інформаційних технології, ІТ-інфраструктури, систем, сервісів та розробки програмного забезпечення.

Джерело

Поділитися:

Міненерговугілля опрацьовує модель та механізми захисту від кібератак в енергетичному секторі

Сьогодні під час круглого столу за участю представників енергетичних та IT компаній обговорено проблемні питання щодо захисту від кібератак на об’єкти паливно-енергетичного комплексу України.

В.о. державного секретаря Ю. Підкоморна зазначила про потребу діяти відповідно із затвердженою Стратегією кібербезпеки України та працювати на випередження. «Ми вже зараз маємо розуміти, з якими загрозами/наслідками можемо зіткнутись, а головне – підготувати чіткий алгоритм реагування у критичних ситуаціях», – наголосила вона.

Водночас Ю. Підкоморна акцентувала на потребі врегулювання низки проблем організаційного характеру, серед яких відсутність єдиного інформаційного простору, нормативно-правових документів, які мають регламентувати дії, спрямовані на захист інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури.

В.о. державного секретаря повідомила, що Міністерство започатковує низку організаційно-технічних заходів щодо вироблення ефективної на сучасної моделі протидії кіберзагрозам.

Зокрема, опрацьовується можливість створення Операційного центру безпеки (SOC), завданнями якого є отримання інформації від учасників та/чи виявлення нових загроз доступними технічними чи організаційними засобами (моніторинг, комунікація з розробниками засобів безпеки тощо).

Проводиться робота щодо можливого створення високо кваліфікованої команди реагування (галузевий CERT), завданнями якої є допомога підприємствам в усуненні їх причин та наслідків, а також, розслідування інцидентів.

Розробляється та планується впровадження галузевих нормативних стандартів щодо забезпечення кібербезпеки для технологічних систем (критичної інфраструктури).

За словами Ю. Підкоморної, наразі переглядаються вимоги безпеки до технологічних систем, які планується спрямувати підприємствам галузі як рекомендовані до впровадження

Учасники заходу підтримали ініціативу Міненерговугілля щодо створення експертної групи (за участю представників підприємств та холдингів, Міністерства, НКРЕКП) для поширення досвіду, обміну інформацією щодо інцидентів та актуальних загроз, експертизи технологій, впровадження прикладів виявлення та реагування на загрози для підвищення загального рівня інформованості підприємств галузі.

«Спільно ми знайдемо механізми попередження та протидії кіберзагрозам задля стабільної роботи енергетики України», – підсумувала Ю. Підкоморна.

Джерело

Поділитися: