L’amministrazione Obama, insieme con il Dipartimento di Homeland Security e il Federal Bureau of Investigation ha rilasciato i dettagli tecnici dietro di continui attacchi informatici da russo intelligenza gruppi.
Obama il giovedi ha delineato una serie di sanzioni nei confronti della Russia, due servizi di intelligence e funzionari per un corso di hacking campagna U.S. obiettivi. La Casa Bianca ha anche detto 35 russo intelligence sono stati espulsi e due composti negli USA sono stati chiusi.
I dettagli delle sanzioni possono essere trovati nella dichiarazione e ordine esecutivo, che delinea i gruppi coinvolti. Le sanzioni arrivano dopo mesi di hacking accuse contro la Russia durante l’elezione degli stati UNITI ciclo.
Mentre le sanzioni garner l’attenzione, l’analisi dalla DHS e l’FBI è ciò che di sicurezza, business e tecnologia, leader dovrebbe leggere. Rilasciando i dettagli, UNITI alle aziende pubbliche e private saranno in grado di difendere al meglio i futuri attacchi.
In una dichiarazione, il Presidente Obama ha detto:
Il Dipartimento di Homeland Security e il Federal Bureau of Investigation stanno rilasciando declassificati informazioni tecniche sul russo civili e militari di servizio cyber attività, per aiutare la rete di difensori negli Stati Uniti e all’estero, identificare, individuare e distruggere la Russia campagna globale di dannoso cyber attività.
Secondo l’analisi congiunta relazione della DHS e l’FBI, i servizi di intelligence militare russa utilizzato spear phishing per sonda reti legato alla elezione degli stati UNITI. Il governo degli stati UNITI considerano l’attività sotto il moniker Grizzly Steppa.
Spear phishing si riferisce email fraudolente che gli obiettivi di un gruppo con l’obiettivo di raccogliere l’accesso ai dati riservati.
Tech Pro Ricerca: Come l’analisi del rischio può aiutare la vostra organizzazione a spina di buchi di sicurezza | Modello: Information security incident reporting | criterio di Protezione di sensibilizzazione e di formazione politica | Relazione Speciale: Cyberwar e il Futuro della sicurezza informatica | Governi e gli stati-nazione sono ora ufficialmente di formazione per la guerra cibernetica: Uno sguardo all’interno | Cybercrime e cyberwar: Uno spotter guida per i gruppi che sono fuori per ottenere
Ora il rapporto non direttamente attributo attacchi alla Russia o in altri paesi, ma non si nota indicatori tecnici punto di Russia.
Secondo il DHS e FBI, spear phishing è stato usato contro di organizzazioni di governo, infrastrutture, enti, gruppi di riflessione, gruppi politici e multinazionali. La relazione ha rilevato che attori russi “travestiti da parte di terzi, di nascondersi dietro falsi profili online progettato per causare la vittima misattribute l’origine dell’attacco.”
Ecco il diagramma di flusso di due attacchi nell’estate del 2015 e la primavera 2016.
Tra i principali punti:
Lancia campagne di pesca utilizzati collegamenti web un codice che viene eseguito e può evitare di difese.Domini nelle campagne di imitare organizzazioni mirate.Di comando e controllo, i nodi di raccolta credenziali.Questi attacchi, più di recente, è apparso nel mese di novembre, dopo le elezioni presidenziali in america.
La relazione, inoltre, ha fornito una firma che può essere usato per pettinare le reti.
Che cosa è un amministratore di rete? Il rapporto ha detto:
Il DHS raccomanda agli amministratori di rete di rivedere gli indirizzi IP, gli hash dei file, e Yara firma fornito e aggiungere gli indirizzi ip per la loro lista di controllo per determinare se le attività dannose che è stato osservato all’interno delle loro organizzazioni. La revisione del perimetro della rete netflow o registri del firewall aiuteranno a determinare se la rete ha sperimentato le attività sospette.
Quando la revisione del perimetro della rete dei registri per gli indirizzi IP, le organizzazioni possono trovare numerosi esempi di questi ip che tenta di connettersi ai loro sistemi. Analizzando i dati di traffico da questi IPs, un po ‘ di traffico può corrispondere ad attività dannose, e alcuni possono corrispondere ad attività legittima. Un po ‘ di traffico che può apparire legittimo è in realtà dannoso, come la scansione di vulnerabilità o della navigazione del pubblico legittimo di fronte a servizi (ad esempio, HTTP, HTTPS, FTP). I collegamenti da queste IPs possibile eseguire scansioni di vulnerabilità tentativo di identificare i siti web che sono esposti alla vulnerabilità di cross-site scripting (XSS) o SQL (Structured Query Language) gli attacchi di iniezione. Se la scansione identificati siti vulnerabili, i tentativi di sfruttare la vulnerabilità può essere sperimentato.
Alla fine, il rapporto raccomanda che l’uso dei gruppi di cybersecurity migliori pratiche tra cui la formazione, analisi del rischio, analisi e applicazione di patch e di risposta agli incidenti.