Die Obama-administration zusammen mit dem Department of Homeland Security und der Federal Bureau of Investigation freigegeben haben die technischen details hinter die laufende cyber-Angriffe von Russischen Geheimdienst-Gruppen.
Obama am Donnerstag skizzierte eine Reihe von Sanktionen gegen Russland die beiden Geheimdiensten und Offiziere für eine andauernde Hacker-Kampagne auf US-Ziele. Das Weiße Haus sagte auch 35 Russischen Intelligenz wurden ausgeworfen, und zwei verbindungen in die USA wurden geschlossen.
Die details der Sanktionen gefunden werden kann, in der Anweisung und executive order, die Umrisse der beteiligten Gruppen. Die Sanktionen kommen nach Monaten der hacking-Vorwürfe gegen Russland im US-Wahlzyklus.
Während die Sanktionen garner die meisten der Aufmerksamkeit, die Analyse von der DHS und FBI ist, was security -, business-und Technologie-Führer Lesen sollte. Durch die Veröffentlichung der details, US öffentlichen und privaten Unternehmen wird in der Lage sein, besser zu verteidigen zukünftige Angriffe.
In einer Erklärung sagte Präsident Obama:
Das Department of Homeland Security und der Federal Bureau of Investigation freigegeben freigegeben technische Informationen über russische zivile und militärische Nachrichtendienst cyber-Aktivität, helfen, Netzwerk-Verteidiger in den Vereinigten Staaten und im Ausland zu identifizieren, zu erkennen und stören Russlands weltweite Kampagne, die von bösartigen cyber-Aktivitäten.
Nach dem gemeinsamen Analyse-Bericht von der DHS und FBI, des Russischen militärischen Nachrichtendienstes verwendet spear-phishing zu untersuchen, die Netzwerke geknüpft, um die US-Wahl. Die US-Regierung in einen Topf geworfen, die Aktivität, die unter dem Namen Grizzly Steppe.
Spear-phishing bezieht sich auf die betrügerische E-Mail, dass die Ziele einer Gruppe mit dem Ziel zu sammeln, sich Zugang zu vertraulichen Daten.
Tech Pro Research: Wie Risiko-Analysen können helfen, Ihre Organisation zu stecken Sicherheitslücken | Vorlage: Information security incident-reporting policy | Security awareness und Schulungen policy | Sonderbericht: Cyberwar und die Zukunft der Cyber-Sicherheit | Regierungen und Nationalstaaten sind jetzt offiziell die Ausbildung für cyberwarfare: Ein Insider-Blick | Cybercrime und cyberwar: A spotter ‘ s guide zu den Gruppen, die darauf aus sind, erhalten Sie
Jetzt den report nicht direkt auf attribute der Angriffe auf Russland oder andere Länder, aber nicht beachten technische Indikatoren deuten auf Russland.
Laut der DHS und FBI, spear phishing verwendet wurde, gegen Staatliche Organisationen, Infrastruktur, Personen, think tanks, politischen Gruppen und Unternehmen. Der Bericht erwähnt, dass die Russischen Akteure “maskierten als Dritte versteckt sich hinter falschen online-personas entwickelt, um zu verursachen, das Opfer zu misattribute die Quelle des Angriffs.”
Hier ist das Flussdiagramm des zwei Angriffe, die im Sommer 2015 und Frühjahr 2016.
Zu den zentralen take-aways:
Speer Angeln Kampagnen, web-links zu code, der ausgeführt wird, und vermeiden kann-Verteidigung.Domains in der Kampagnen imitieren zielgerichtete Organisationen.Kommando-und Kontroll-Knoten Ernte Anmeldeinformationen.Diese Angriffe zuletzt erschien im November nach den US-Wahlen.
Der Bericht lieferte eine Signatur, die verwendet werden können, zu kämmen Netzwerke.
Was ist ein Netzwerk-admin zu tun? Der Bericht sagte:
DHS empfiehlt, dass Netzwerk-Administratoren überprüfen die IP-Adressen, Datei-hashes und Yara Signatur zur Verfügung gestellt, und fügen Sie die IP-Adressen Ihrer watchlist um zu ermitteln, ob schädliche Aktivität beobachtet wurde, innerhalb Ihrer Organisationen. Die überprüfung von Netzwerk-perimeter netflow-oder firewall-logs helfen bei der Bestimmung, ob Ihr Netzwerk erlebt hat verdächtige Aktivitäten.
Bei der überprüfung der Netzwerk-perimeter-Protokolle für die IP-Adressen der Organisationen finden Sie zahlreiche Beispiele, die diese IPs versucht, eine Verbindung zu Ihren Systemen. Bei der überprüfung der Datenverkehr von diesen IP-Adressen, Datenverkehr entsprechen möglicherweise schädliche Aktivität, und einige können durchaus legitim Aktivität. Einige Besucher, die angezeigt werden können legitim ist tatsächlich bösartig, wie Schwachstellen-Scans oder surfen legitimer öffentlicher zugewandten Dienste (z.B. HTTP, HTTPS, FTP). Verbindungen von diesen IPs werden kann, Durchführung von vulnerability scans versucht, zu identifizieren, websites, sind anfällig für cross-site-scripting (XSS) oder Structured Query Language (SQL) – injection-Angriffe. Wenn das Scannen identifiziert, anfällig Webseiten, das ausnutzen der Schwachstellen kann erlebt werden.
Am Ende empfiehlt der Bericht, dass sich die Gruppen verwenden cybersecurity best practices, einschließlich der Ausbildung, Risiko-Analyse, scanning und Patch-und incident response.