Zero
Lunedì, con il Cyber Missione Nazionale di Forza (CNMF), un subordinato unità dell’US Cyber Command (USCYBERCOM), mettere in moto una nuova iniziativa con la quale il ministero della DIFESA avrebbe condivisione di campioni di malware scoperto sulle sue reti con la più ampia sicurezza informatica comunità.
Il CNMF dato il via a questo nuovo progetto con la creazione di un account su VirusTotal, un file on-line il servizio di scansione che raddoppia anche come un malware online repository, e caricando due campioni di malware.
Inoltre, USCYBERCOM anche creato un nuovo account Twitter, dove sarebbe tweet un link a tutti i nuovi VirusTotal malware upload.
USCYBERCOM la decisione è stata accolta con lode corale da parte delle principali voci dalla sicurezza informatica settore privato.
“Questa è una grande iniziativa e crediamo che, anche se più che i governi avrebbero fatto lo stesso, il mondo sarebbe un posto più sicuro. Salutiamo la loro iniziativa e, naturalmente, prestando attenzione a ciò che si carica”, ha detto Costin Raiu, Direttore di Global Research & Analysis Team di Kaspersky Lab.
“Crediamo che avere più file a VirusTotal aumenta il valore di tutta la comunità,” ha detto Mike Wiacek, CSO, e co-fondatore di Cronaca, l’Alfabeto di cyber-security division e la società dietro VirusTotal.
“Infatti, la prima presentazione, per LoJack di malware, inclusi i file che non erano precedentemente in VirusTotal,” Wiacek detto a ZDNet oggi via e-mail.
Il nuovo file è stato rpcnetp.dll un file che, insieme con la seconda –rpcnetp.exe– è stato utilizzato per infettare le vittime di Computrace/LoJack/LoJax malware.
Craiu detto a ZDNet che Kaspersky ha tracciato questo malware per anni, il malware che è tornato a vivere quest’anno in nuove campagne, come rilevato da Netscout e ESET.
LoJax è attualmente il primo caso documentato di un UEFI rootkit utilizzato in natura, e il malware è stato legato a APT28, un nome in codice utilizzato per identificare una nazione-stato di cyber-spionaggio gruppo che è stata associata da diversi paesi Occidentali alla Russia, i militari dell’agenzia di intelligence GRU.
USCYBERCOM la decisione di rendere questi due campioni di malware suoi primi due caricamenti non è passato inosservato da infosec comunità. Alcuni sharped occhi esperti immediatamente classificato come un nuovo nome-e-vergogna sforzo da parte dei governi Occidentali, che sono stati molto attivi in questo anno di esporre e indicando il Cinese, il russo, Iraniano, e a Nord il coreano hacker.
“Resta da vedere esattamente come questa nuova iniziativa si svolgerà,” Giovanni Hultquist, direttore di intelligence analisi FireEye detto a ZDNet in una e-mail oggi.
“Ma ciò che colpisce di questa iniziativa è priva di molti elementi contestuali del nome di vergogna e di strategia. Considerando che tale strategia comporta un enorme quantità di contesto che deve essere esaminato, tutto il governo, questa iniziativa potrebbe essere meno gravato da tali considerazioni,” Hultquist detto.
“Ci sarà senza dubbio ancora essere una strategia dietro a queste informazioni, poiché informativa hanno sempre conseguenze per operazioni di intelligence, ma la loro semplicità possono permettere il modo più semplice, veloce azione, qualcosa che il governo ha storicamente lottato.”
D’altra parte, ci sono coloro i ricercatori di sicurezza che, volutamente, stare lontano da politicamente carica attribuzioni quando ha a che fare con APT malware.
Per esempio, in un’intervista a ZDNet, Alexis Dorais-Joncas, informazione per la Sicurezza, responsabile del Team di ESET, era molto più interessato a come USCYBERCOM del VirusTotal upload potrebbe influenzare un APT gruppo prossime operazioni, piuttosto che la caduta politica che segue.
“Per quanto riguarda l’esposizione di hacking set di strumenti, non necessariamente rende automaticamente gli strumenti totalmente inutile, ma è probabile che almeno causare l’attaccante adattare,” Dorais-Joncas ci ha detto. “Per esempio, ESET è stata esponendo [APT28]’s set di strumenti di evoluzione per anni, e ancora il gruppo sta ancora utilizzando un sacco di gli stessi strumenti, sia pure con ulteriori miglioramenti aggiunti nel corso del tempo.”
“Direi di esporre piena [tattiche, tecniche e procedure] in cima a campioni reali sarebbe più dannoso per gli hacker, come si avrebbe bisogno di cambiare l’intero attacco del flusso di lavoro (si pensi diffusione dell’infezione e meccanismi di persistenza, protocolli di comunicazione, ecc),” Dorais-Joncas detto. “Non guardare come USCYBERCOM è la fornitura di tale contesto, insieme con i campioni che sono la condivisione, in modo che potrebbe limitare la testa di loro iniziativa.”
“Solo il tempo dirà se i campioni condivisa da USCYBERCOM di accensione essere interessante per i ricercatori o non – realtà dipende da ciò che scegli di condividere,” ESET ricercatore aggiunto. “Io sono propenso a dare loro il beneficio del dubbio, per ora.”
Ma infosec comunità aveva anche un’altra lamentela con USCYBERCOM nuova pratica di condivisione, e che con ciò che il DOD considera “non classificati campioni di malware.”
Sia ESET Dorais-Joncas e FireEye del Hultquist condiviso la stessa opinione su questo tema-che, anche se l’agenzia ha utilizzato il termine “non classificati campioni di malware,” questo non significa che siamo di ottenere il vostro run-of-the-mill malware come adware e di base downloader.
“Questo sforzo potrebbe esporci a nuove minacce, che richiedono un’analisi seria,” Hultquist detto.
“Vorrei, inoltre, non presumere che non classificati malware automaticamente essere già noto ai ricercatori,” Dorais-Joncas anche aggiunto.
“In generale, direi di condivisione del campione può solo portare alla pari o meglio di protezione, perché ogni nuovo campione di fornitori di software di sicurezza può ottenere li aiuta a migliorare il loro database di rilevamento e, quindi, proteggere meglio i loro rispettivi clienti.”
Come per Wiacek, la Cronaca CSO sarebbe più che l’amore per vedere di intelligence e le forze dell’ordine per seguire il DOD orme.
“Invitiamo gli altri stati UNITI e le agenzie internazionali a partecipare in un modo simile,” Wiacek detto. “Siamo felici di vedere nuovi membri nel VirusTotal comunità”.
Relativi copertura:
Cisco tolto il suo settimo backdoor conto di questo anno, e che è una buona cosaStati attivare Guardia Nazionale cyber unit elezioni di medio termine
La polizia olandese spiare penale chat intercettando la crittografia serverCIA Vault7 leaker a pagare per perdite più dati classificati, mentre in carcere
NSA leaker Realtà Vincitore condannato a 5 anni di carcere CNETstati Ostili tenterà mortali attacchi informatici nel regno UNITO, avverte NCSCBlackTech APT ruba D-Link certificati di diffondere backdoor TechRepublicOracle conferma China Telecom traffico internet ‘errori’
Argomenti Correlati:
Governo – NOI
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0