Obama-administrationen tillsammans med Department of Homeland Security och fbi har släppt de tekniska detaljerna bakom pågående it-angrepp från den ryska underrättelsetjänsten grupper.
Obama på torsdagen presenterat en rad sanktioner mot Ryssland två underrättelsetjänster och tjänstemän för ett pågående dataintrång kampanj på AMERIKANSKA mål. Vita Huset sade också att 35 den ryska underrättelsetjänsten utkastade och två föreningar i USA lades ned.
Information om de påföljder som kan hittas i uttalande och executive order, som redogör för de grupper som berörs. De sanktioner kommer efter månader av dataintrång anklagelser mot Ryssland under det AMERIKANSKA valet cykel.
Medan sanktionerna kommer att samla det mesta av uppmärksamheten, analys från DHS och FBI är vad som säkerhet, ekonomi och teknik ledarna ska läsa. Genom att släppa detaljer, AMERIKANSKA offentliga och privata företag kommer att bättre kunna försvara framtida attacker.
I ett uttalande att President Obama sade:
Department of Homeland Security och fbi släpper hemligstämplade teknisk information på ryska civila och militära underrättelsetjänsten it-verksamhet, för att hjälpa till att skapa nätverk försvarare i Usa och utomlands identifiera, upptäcka och störa Ryssland global kampanj av skadlig it-verksamhet.
Enligt en gemensam analys, rapport från DHS och FBI, ryska militära underrättelsetjänsten som används spear phishing att söka nätverk knutna till det AMERIKANSKA valet. Den AMERIKANSKA regeringen klumpas ihop verksamheten under namnet Grizzly Stäppen.
Spear phishing hänvisar till bedrägliga e-post som riktar sig till en grupp med syfte att samla tillgång till konfidentiella uppgifter.
Tech Pro Forskning: Hur risk analytics kan hjälpa din organisation att koppla säkerhetshål | Mall: Information security incident rapportering politik | Säkerhet medvetenhet och utbildning policy | Särskild Rapport: Cyberkrig och Framtiden för Cybersäkerhet | Regeringar och stater är nu officiellt utbildning för cyberwarfare: En insida blick | it-Brottslighet och cyberkrig: En spotter guide till de grupper som är ute efter att få dig
Nu är rapporten inte direkt attribut attackerna mot Ryssland eller andra länder, men inte notera tekniska indikatorer pekar på att Ryssland.
Enligt DEPARTEMENTET för hemlandets säkerhet och FBI, spear phishing användes mot statliga organisationer, infrastruktur enheter, tankesmedjor, politiska grupper och företag. I rapporten noteras att ryska aktörer “maskerade som tredje part, som gömmer sig bakom falska online personas för att orsaka offret att misattribute källan till attacken.”
Här är flödesschemat i två attacker i sommaren 2015 och våren 2016.
Bland de centrala hämtställen:
Spjut fiske kampanjer som används för länkar till kod som körs och kan undvika försvar.Domäner i kampanjer efterlikna inriktade organisationer.Kommandot och styra noder skörd referenser.Dessa attacker nyligen dök upp i November efter det AMERIKANSKA valet.
Rapporten gav också en signatur som kan användas för att kamma nätverk.
Vad är ett nätverk admin att göra? Rapporten sade:
DHS rekommenderar att nätverksadministratörer översyn IP-adresser, filhash, och Yara underskrift och lägga till IPs att deras bevakningslista för att avgöra om skadlig verksamhet har observerats inom sina organisationer. Den översyn av nätverk omkrets netflow eller firewall loggar kommer att hjälpa till att avgöra om ditt nätverk har upplevt misstänkt aktivitet.
När du granskar nätverksperimetern loggar IP-adresser, organisationer kan hitta många instanser av dessa IPs-du försöker att ansluta till deras system. På att se över trafiken från dessa IPs, lite trafik kan motsvara skadlig aktivitet, och vissa kan motsvara legitim verksamhet. Viss trafik som kan verka legitima är faktiskt skadliga, såsom sårbarhet skanning eller surfa till berättigad allmän inför tjänster (t ex, HTTP, HTTPS, FTP). Anslutningar från dessa IPs kan vara att utföra skannar sårbarhet försök att identifiera webbplatser som är utsatta för cross-site scripting (XSS) eller SQL (Structured Query Language) injektion attacker. Om du skannar särskilt utsatta platser, försök att utnyttja sårbarheter kan upplevas.
I slutet av rapporten rekommenderar att grupper använder cybersäkerhet bästa praxis, inbegripet utbildning, riskanalys, skanning och patchning och incidenthantering.