Nul
På mandag, den Cyber Nationale Mission Force (CNMF), en underordnet enhed af US Cyber Command (USCYBERCOM), sat i bevægelse er et nyt initiativ, hvorigennem DOD ville dele malware prøver det opdagede på sine netværk med den bredere cybersecurity fællesskabet.
Den CNMF startede det nye projekt ved at oprette en konto på VirusTotal, en online-fil scanning service, der også fungerer som en online malware-repository, og ved at uploade to malware prøver.
Hertil kommer, at USCYBERCOM også skabt en ny Twitter-konto, hvor det ville tweet et link til alle nye VirusTotal malware uploads.
USCYBERCOM ‘ s beslutning blev mødt med universal ros af førende stemmer fra cybersecurity private sektor.
“Dette er et godt initiativ, og vi mener, at flere regeringer vil gøre det samme, ville verden være sikrere. Vi hilser på deres initiativ og er selvfølgelig meget opmærksomme på, hvad de uploader,” siger Costin Raiu, Direktør for Global Research & Analyse Team hos Kaspersky Lab.
“Vi mener, at have flere filer i VirusTotal øger værdien for hele samfundet,” sagde Mike Wiacek, CSO, og medstifter af Krønike, Alfabet ‘ s cyber-security division, og virksomheden bag VirusTotal.
“I virkeligheden er første indsendelse til LoJack malware, der indgår filer, som ikke tidligere var i VirusTotal,” Wiacek fortalte ZDNet i dag via e-mail.
At nye fil blev rpcnetp.dll en fil, der sammen med den anden –rpcnetp.exe– har været brugt til at inficere ofre med Computrace/LoJack/LoJax malware.
Craiu fortalte ZDNet, at Kaspersky har været at spore denne malware for år; malware, som kom tilbage til livet i år i nye kampagner, som påvist af Netscout og ESET.
LoJax er i øjeblikket den første dokumenterede tilfælde af en UEFI-rootkit, der bruges i naturen, og den malware har været bundet til APT28, et kodenavn, der bruges til at identificere en nation-state cyber-spionage gruppe, der har været forbundet med flere Vestlige lande til at Ruslands militære efterretningstjeneste GRU.
USCYBERCOM ‘ s beslutning om at gøre disse to malware prøver sine to første uploads ikke gå ubemærket af infosec fællesskabet. Nogle sharped-eye kloge hoveder umiddelbart kategoriseres det som et nyt navn-og-skam indsats på den del af de Vestlige regeringer, som har været meget aktive i år i at udstille og at rejse tiltale mod Kinesisk, russisk, Iranske, og nordkoreanske hackere.
“Det er stadig uvist, præcis hvordan dette nye initiativ vil udfolde sig,” John Hultquist, direktør for intelligens analyse på FireEye fortalte ZDNet i en e-mail i dag.
“Men hvad der er slående ved dette initiativ er, at det mangler mange af de kontekstuelle elementer af navn og skam strategi. Der henviser til, at denne strategi indebærer en enorm mængde af sammenhæng, som har at blive holdt øje med hele regeringen, at dette initiativ kan være mindre belastet af disse betragtninger,” Hultquist sagde.
“Der vil utvivlsomt stadig være en strategi bag disse oplysninger, da oplysninger altid har konsekvenser for efterretningsvirksomhed, men deres enkelhed kan give mulighed for en enklere, hurtigere handling, noget regeringen har historisk kæmpet med.”
På den anden side er der dem, sikkerheds-forskere, der med vilje holde sig væk fra de politisk ladede kategorier, når der beskæftiger sig med APT malware.
For eksempel, i et interview med ZDNet, Alexis Dorais-Joncas, Security Intelligence Team Lead hos ESET, var langt mere interesseret i, hvordan USCYBERCOM er VirusTotal uploads kan have indflydelse på en APT-gruppens kommende operationer, snarere end politiske undergang, der følger.
“Så langt som til at udsætte hacking redskaber, er det ikke nødvendigvis automatisk gøre de værktøjer, der er helt ubrugelig, men det er sandsynligt, at mindst forårsage angriberen til at tilpasse sig,” Dorais-Joncas fortalte os. “For eksempel, ESET har været at udsætte [APT28]’s toolset evolution for år, og alligevel er den gruppe, er der stadig bruger en masse af de samme værktøjer, men med yderligere forbedringer tilføjet over tid.”
“Jeg vil sige, at udsætte fuld [taktik, teknikker og procedurer] på toppen af de faktiske prøver ville være mere skadeligt for angribere, som de ville være nødt til at ændre hele deres angreb workflow (tror spredning og infektion mekanismer, vedholdenhed, kommunikationsprotokoller, etc),” Dorais-Joncas sagde. “Det ser ikke ud til USCYBERCOM er at give en sådan sammenhæng sammen med de prøver, de deler, så der kan begrænse det opadrettede af deres initiativ.”
“Kun tiden vil vise, om prøver, der deles af USCYBERCOM vil slå op med at være interessant for andre forskere eller ej – det er virkelig afhænger af, hvad de vælger at dele,” ESET forsker tilføjet. “Jeg er tilbøjelig til at give dem tvivlen komme til nu.”
Men infosec samfund havde også en anden brokke sig med USCYBERCOM ‘ s nye deling af praksis, og der er med, hvad DOD mener “uklassificerede malware prøver.”
Både ESET ‘ s Dorais-Joncas og FireEye er Hultquist delte samme mening om dette emne –at selv hvis agenturet brugte udtrykket “ikke-malware prøver,” at dette ikke nødvendigvis betyder, at vi vil få din køre-of-the-mill malware som adware og grundlæggende downloadet.
“Denne indsats kan meget vel udsætte os for nye trusler, som kræver en seriøs analyse,” Hultquist sagde.
“Jeg ville heller ikke antage, at ikke-malware automatisk vil allerede være kendt af forskere,” Dorais-Joncas også tilføjet.
“Generelt vil jeg sige, mere prøve at dele, kan kun føre til den samme eller en bedre beskyttelse, fordi nogen ny prøve sikkerhed leverandører kan opnå hjælper dem med at forbedre deres opdagelse databaser og dermed bedre beskytte deres respektive kunder.”
Som for Wiacek, Krøniken CSO ville mere end elsker at se andre efterretningstjenester og politimyndigheder til at følge i den DOD ‘ s fodspor.
“Vi inviterer andre AMERIKANSKE og internationale organisationer til at deltage i en lignende måde,” Wiacek sagde. “Vi er glade for at se nye medlemmer i VirusTotal samfund.”
Relaterede dækning:
Cisco fjernet sin syvende bagdør konto i år, og det er en god tingStater aktivere National Guard cyber enheder for OS midtvejsvalget
Hollandsk politi snoop om strafferetlige chats ved at opfange kryptering serverCIA Vault7 leaker at blive opkrævet for utæt flere fortrolige data, mens i fængsel
NSA leaker Virkeligheden Vinder dømt til 5 års fængsel CNETFjendtlige stater vil forsøge dødbringende angreb på STORBRITANNIEN, advarer NCSCBlackTech APT stjæler D-Link certifikater til at sprede bagdør TechRepublicOracle bekræfter, China Telecom, internet trafik ‘fejltagelser’
Relaterede Emner:
Regeringen – OS
Sikkerhed-TV
Data Management
CXO
Datacentre
0