Obama-administrationen sammen med Department of Homeland Security og Federal Bureau of Investigation har udgivet de tekniske detaljer bag igangværende it-angreb fra russiske intelligens grupper.
Obama på torsdag, der er skitseret en række sanktioner mod Rusland to efterretningstjenester og officerer til en løbende hacking kampagne på AMERIKANSKE mål. Det Hvide Hus sagde også, 35 russiske intelligens blev skubbet ud og to forbindelser i USA blev lukket ned.
Oplysninger om de sanktioner, der kan findes i oversigten og bekendtgørelse, der beskriver de involverede grupper. De sanktioner, der kommer efter måneders hacking beskyldninger mod Rusland i løbet af det AMERIKANSKE valg cyklus.
Mens de sanktioner, der vil samle de fleste af den opmærksomhed, analyse fra DHS, og FBI er hvad sikkerhed, business og teknologi-ledere bør læse. Ved at frigive de oplysninger, AMERIKANSKE offentlige og private virksomheder vil blive i stand til bedre at forsvare fremtidige angreb.
I en erklæring, at Præsident Obama sagde:
Department of Homeland Security og Federal Bureau of Investigation er at frigive deklassificeret tekniske oplysninger om russiske civile og militære efterretningstjeneste cyber-aktivitet, at hjælpe nettet forkæmpere i de Forenede Stater og i udlandet identificere, opdage og ødelægge Rusland ‘ s globale kampagne af ondsindede cyber aktiviteter.
I henhold til den fælles analyse rapport fra department of homeland security og FBI, russiske militære efterretningstjeneste, der anvendes spear phishing at sonden netværk er bundet til det AMERIKANSKE valg. Den AMERIKANSKE regering slået den aktivitet under tilnavnet Grizzly Steppe.
Spear phishing refererer til svigagtige e-mail, der er rettet mod en gruppe med det formål at indsamle adgang til fortrolige data.
Tech Pro Forskning: Hvordan risiko analytics kan hjælpe din organisation med plug sikkerhedshuller | Skabelon: Information security incident rapportering politik | Sikkerhed bevidsthed og uddannelse | Særlig Rapport: Cyberkrig og Fremtiden for Cybersikkerhed | Regeringer og nationalstater er nu officielt uddannelse for cyberwarfare: Et kig | it-kriminalitet og cyberwar: En spotter ‘ s guide til de grupper, der er ude på at få dig
Nu er rapporten ikke direkte attribut angreb på Rusland eller andre lande, men gør opmærksom på tekniske indikatorer peger på Rusland.
Ifølge department of homeland security og FBI, spear phishing blev brugt mod offentlige organisationer, infrastruktur, virksomheder, tænketanke, politiske grupper og virksomheder. I rapporten bemærkes, at russiske aktører “forklædte sig som tredjemand, der gemmer sig bag falske online personas designet til at få offeret til at misattribute kilden til angrebet.”
Her er flow chart for to angreb i sommeren 2015 og foråret 2016.
Blandt de centrale takeaways:
Spear fiskeri kampagner, der anvendes links til kode, der er udført og kan undgå forsvar.Domæner i kampagner efterligne målrettet organisationer.Kommando-og kontrol noder høst legitimationsoplysninger.Disse angreb for nylig dukkede op i November, efter at den AMERIKANSKE valgkamp.
Rapporten gav også en signatur, der kan bruges til at kam-netværk.
Hvad er et netværk admin at gøre? Rapporten sagde:
DHS anbefaler, at netværksadministratorer gennemgå de IP-adresser, hashværdier, og Yara underskrift og tilføje ip ‘ er til deres overvågningsliste at afgøre, om ondsindet aktivitet er blevet observeret i deres organisationer. Gennemgangen af netværk omkreds netflow eller firewall-logfiler vil hjælpe med at afgøre, om dit netværk har oplevet mistænkelig aktivitet.
Når du gennemgår netværk omkreds logs for de IP-adresser, organisationer, kan finde mange forekomster af disse IPs forsøger at oprette forbindelse til deres systemer. Ved gennemgang af trafikken fra disse ip-adresser, nogle trafik kan svare til ondsindet aktivitet, og nogle kan svare til legitim aktivitet. Nogle af trafik, der kan fremstå som legitime, er faktisk ondsindet, såsom sårbarhed scanning af eller browsing på legitime offentlige tjenster (fx, HTTP, HTTPS, FTP). Forbindelser fra disse IPs kan være at udføre sårbarhed scanninger, der forsøger at identificere websteder, der er sårbare over for cross-site scripting (XSS) eller Structured Query Language (SQL) injection-angreb. Hvis scanning af identificerede udsatte steder, forsøg på at udnytte sårbarheder kan opleves.
I sidste ende, anbefaler rapporten, at grupper bruger cybersecurity bedste praksis, herunder uddannelse, risiko analyse, scanning og patching og incident response.