L’administration Obama, ainsi que le Département de la Sécurité intérieure et du Bureau Fédéral d’Enquête ont publié les détails techniques derrière en cours de cyber-attaques russes renseignement.
Obama jeudi défini une série de sanctions à la Russie de deux services de renseignement et les dirigeants en vue d’une campagne de piratage sur les cibles AMÉRICAINES. La Maison Blanche a également dit 35 russe de renseignement ont été éjecté et deux composés dans les états-UNIS étaient à l’arrêt.
Les détails des sanctions peuvent être trouvés dans la déclaration et de l’ordre exécutif, qui décrit les groupes impliqués. Les sanctions viennent après des mois de piratage allégations à l’encontre de la Russie au cours de l’élection AMÉRICAINE du cycle.
Alors que les sanctions retiendra le plus l’attention, de l’analyse à partir de l’EDS et le FBI est ce que la sécurité, des affaires et de la technologie les leaders devraient lire. En libérant les détails, les états-UNIS les entreprises privées et publiques seront en mesure de mieux défendre des attaques futures.
Dans une déclaration, le Président Obama a déclaré:
Le Ministère de la Sécurité intérieure et le Bureau Fédéral d’Investigation sont libérant l’objet d’une déclassification des informations techniques sur civile russe et le service de renseignement militaire cyber activité, à l’aide du réseau des défenseurs dans les États-unis et à l’étranger, d’identifier, de détecter et de perturber la Russie, la campagne mondiale de l’malveillantes de cyber-activités.
Selon l’analyse conjointe rapport de l’EDS et le FBI, l’armée russe des services de renseignement utilisé le “spear phishing” pour sonder les réseaux liés à l’élection AMÉRICAINE. Le gouvernement des états-UNIS regroupé l’activité sous le nom Grizzly Steppe.
Le “Spear phishing” se réfère à l’email frauduleux qui cible un groupe dans le but de recueillir de l’accès à des données confidentielles.
Tech Pro de la Recherche: Comment l’analyse des risques peut aider votre organisation plug failles de sécurité | Modèle: Information des incidents de sécurité de politique d’information | sensibilisation à la Sécurité et de la politique de formation | Rapport Spécial: la Cyberguerre et de l’Avenir de la Cybersécurité | les Gouvernements et les états-nations sont maintenant officiellement formation pour cyberwarfare: Un aperçu de l’intérieur | de la Cybercriminalité et de la cyberguerre: Un spotter guide pour les groupes qui sont dehors pour vous obtenir
Maintenant, le rapport n’est pas d’attribuer directement les attaques de la Russie ou de tout autre pays, mais ne remarque indicateurs techniques indiquent la Russie.
Selon l’EDS et le FBI, le spear phishing est utilisée contre les organisations gouvernementales, les entités d’infrastructure, de think tanks, groupes politiques et les entreprises. Le rapport a noté que les acteurs russes “camouflés comme des tiers, se cachant derrière de faux en ligne personas conçus pour causer à la victime de misattribute la source de l’attaque.”
Voici l’organigramme de deux attaques à l’été 2015 et printemps 2016.
Parmi les principaux plats à emporter:
Lance campagnes de pêche utilisé des liens web pour le code qui est exécuté et peut éviter les défenses.Domaines dans les campagnes imiter les organisations ciblées.De commandement et de contrôle des nœuds de la récolte des informations d’identification.Ces attaques les plus récemment apparus en novembre, après les élections AMÉRICAINES.
Le rapport fournit également une signature qui peut être utilisé pour peigner les réseaux.
Qu’est ce qu’un administrateur réseau? Le rapport dit:
DHS recommande que les administrateurs de réseau en revue les adresses IP, les hachages de fichier, et Yara signature et ajouter les adresses ip à leur liste de surveillance afin de déterminer si l’activité malveillante a été observée au sein de leurs organisations. L’examen de réseau de périmètre netflow ou journaux de pare-feu aidera à déterminer si votre réseau a connu une activité suspecte.
Lors de l’examen du périmètre du réseau des journaux pour les adresses IP, les organisations peuvent trouver de nombreux exemples de ces adresses ip de tenter de se connecter à leurs systèmes. Après avoir examiné le trafic en provenance de ces IPs, un peu de trafic, peut correspondre à une activité malveillante, et certains peuvent correspondre à l’activité légitime. Une partie du trafic qui peuvent sembler légitimes, est réellement malveillants, tels que l’analyse de la vulnérabilité ou de la navigation du public légitime face à des services (par exemple, HTTP, HTTPS, FTP). Les connexions à partir de ces adresses ip peuvent effectuer des analyses de vulnérabilité de tenter d’identifier les sites web qui sont vulnérables à la ” cross-site scripting (XSS) ou Structuré Langage de Requête (SQL) les attaques par injection. Si la recherche a identifié des sites vulnérables, tente d’exploiter les vulnérabilités peuvent être expérimentés.
En fin de compte, le rapport recommande que les groupes utilisent la cybersécurité des meilleures pratiques, y compris la formation, l’analyse des risques, la numérisation et l’application de correctifs et d’intervention en cas d’incident.