De Obama-administratie is samen met het Ministerie van Homeland Security en het Federal Bureau of Investigation hebben uitgebracht, de technische details achter de lopende cyber aanvallen van russische intelligence groepen.
Obama op donderdag geschetst van een reeks van sancties op Rusland de twee inlichtingendiensten en de officieren voor een doorlopende hacken campagne te voeren op AMERIKAANSE doelen. Het Witte Huis zei ook 35 russische inlichtingendienst werden uitgeworpen en twee stoffen in de VS werden stilgelegd.
De details van de sancties die kunnen worden gevonden in de instructie en executive order, waarin een overzicht gegeven wordt van de betrokken groepen. De sancties komen na maanden van hacking beschuldigingen tegen Rusland tijdens de AMERIKAANSE verkiezingen cyclus.
Terwijl de sancties garner meest van de aandacht, de analyse van de DHS en de FBI is wat security, business en technologie leiders moeten lezen. Door het vrijgeven van de gegevens, de AMERIKAANSE publieke en private ondernemingen in staat zullen zijn om beter te verdedigen toekomstige aanvallen.
In een verklaring van de amerikaanse President Obama zei:
Het Department of Homeland Security en het Federale Bureau van Onderzoek zijn het vrijgeven van declassified technische informatie op russische civiele en militaire inlichtingendienst cyber-activiteit, om te helpen het netwerk van de verdedigers in de Verenigde Staten en in het buitenland te identificeren, op te sporen, en te verstoren Rusland wereldwijde campagne van schadelijke cyber-activiteiten.
Volgens de gezamenlijke analyse rapport van de DHS en de FBI, russische militaire inlichtingendiensten gebruikt spear phishing sonde netwerken gekoppeld aan de AMERIKAANSE verkiezingen. De AMERIKAANSE regering scheerde de activiteit onder de naam Grizzly Steppe.
Spear phishing ‘ verwijst naar een frauduleuze e-mail die is gericht op een groep met het doel van het verzamelen van de toegang tot vertrouwelijke gegevens.
Tech Pro Onderzoek: Hoe risico analytics kan uw organisatie helpen sluit gaten in de beveiliging | Sjabloon: Information security incident reporting policy | Security awareness en training beleid | Special Report: Cyberwar en de Toekomst van Cybersecurity | Regeringen en nationale staten zijn nu officieel training voor cyberwarfare: Een inside look | Cybercrime en cyberwar: Een spotter, de gids voor de groepen die erop uit zijn om u te krijgen
Nu het rapport niet direct kenmerk van de aanslagen in Rusland of andere landen, maar er technische indicatoren wijzen naar Rusland.
Volgens de DHS en de FBI, spear phishing werd gebruikt tegen de overheid, infrastructuur entiteiten, denktanks, politieke groepen en bedrijven. Het rapport merkte op dat de russische acteurs “masqueraded als derde partijen, zich te verschuilen achter valse online persona’ s ontworpen voor het veroorzaken van het slachtoffer te misattribute de bron van de aanval.”
Hier is de flow chart van twee aanslagen in de zomer van 2015 en het voorjaar van 2016.
Onder de kern afhaalrestaurants:
Speervissen campagnes gebruikt web links te-code die wordt uitgevoerd en kan voorkomen verdediging.Domeinen in de campagnes na te bootsen gerichte organisaties.Commando en controle knooppunten oogst referenties.Deze aanvallen meest recent verscheen in November na de AMERIKAANSE verkiezingen.
Het rapport gaf ook een handtekening die gebruikt kan worden om kam netwerken.
Wat is een netwerk admin te doen? Het rapport zei:
DHS raadt netwerkbeheerders review van de IP-adressen, bestands-hashes, en Yara handtekening voorzien en voeg de IPs op hun volglijst te bepalen of er schadelijke activiteit is waargenomen binnen hun organisaties. De review van de netwerk perimeter netflow-of firewall-logs zal helpen bij het bepalen of uw netwerk heeft ervaren verdachte activiteit.
Bij het bekijken van de netwerk perimeter logboeken voor de IP-adressen van organisaties kan vinden talrijke exemplaren van deze ip-adressen die verbinding probeert te maken van hun systemen. Na controle van het verkeer van deze ip-adressen, wat verkeer kan overeenkomen met schadelijke activiteit, en sommige kunnen overeenkomen met de legitieme activiteit. Sommige verkeer dat lijkt legitiem is eigenlijk kwaadaardige, zoals kwetsbaarheid scannen of zoeken van legitieme openbare diensten (bijvoorbeeld, HTTP, HTTPS, FTP). Verbindingen van deze ip-adressen kunnen uitvoeren van een vulnerability scans poging om het identificeren van websites die zijn kwetsbaar voor cross-site scripting (XSS) of Structured Query Language (SQL) injectie aanvallen. Als het scannen van kwetsbare sites, probeert om misbruik van de kwetsbaarheden kan worden ervaren.
In het einde, het rapport beveelt aan dat de groepen gebruik maken van cybersecurity best practices, zoals opleiding, risico-analyse, het scannen en het patchen en incident response.