美國DHS公布俄羅斯網絡攻擊活動報告--局域網監控軟件
[時間:2017-01-07]  [文章來源:上海百絡]  [責任編輯:admin]

       美國總統奧巴馬簽署了一項總統行政令,決定驅逐總計35名俄羅斯外交官,并授權對俄羅斯政府的多個民事與軍事情報機構進行新一輪經濟制裁。12月30日中午起,美國禁止俄羅斯外交官進入領事館。美國關閉俄羅斯駐馬里蘭和紐約的領事館,其原因是這些領事館似乎從事情報工作。奧巴馬將驅逐的俄羅斯外交官稱作“間諜”。此舉是為了回應俄羅斯方面對本輪美國總統選舉的干涉。美國聯邦調查局FBI、美國國土安全部DHS于2016年12月29日聯合發布了一份題為《灰熊草原-俄羅斯的惡意網絡監控活動》的聯合分析報告,提供了有關俄羅斯涉嫌干預大選的更多技術細節。美國國土安全部公共事務部長助理陶德-布里斯萊在2016年12月30日發布了美國政府調查結果執行摘要,此項調查指向由俄羅斯方面組織的“灰熊草原”惡意網絡活動。E安全譯制整理了調查報告的摘要,具體內容如下:

    俄羅斯民事與軍事情報機構對美國政府及其公民進行了高復雜度攻擊性網絡入侵行動。美國政府將此次行動稱為“灰熊草原”。此輪網絡活動包括針對政府機構、關鍵性基礎設施實體、智庫組織、高校、政治團體以及企業的窺探活動,同時亦包括從這些組織機構處竊取信息。相關被盜信息隨后由第三方加以公開發布。針對美國盟友及合作伙伴在內的其它國家進行的網絡攻擊活動當中,俄羅斯情報部門(簡稱RIS)采取了破壞性乃至顛覆性的網絡活動手段,具體包括打擊關鍵性基礎設施——在某些情況下相關攻擊被偽裝成源自第三方或者嫁禍至某些經過偽造的網絡對象,旨在令受害方錯誤歸因攻擊來源。

       俄羅斯情報部門通常會利用魚叉式釣魚攻擊訪問目標系統(詳見下圖一),APT 29從2015年夏天開始入侵政黨內部系統竊取資料。而另一個組織APT28,從2016年春天開始就針對美國政黨進行惡意網絡活動。在2015-16攻擊活動中俄羅斯網絡攻擊分子活動利用魚叉式釣魚活動滲透并駐留于目標網絡之內,獲得高級權限并竊取(或者‘泄露’)信息。這些攻擊者通過欺詐方式誘導收件人通過某假冒網站變更其密碼內容,此看似合法的網站為俄羅斯方面精心構建。攻擊者們隨后會利用由此獲得的憑證——用戶名與密碼——作為合法用戶訪問目標網絡。在此基礎上,他們安裝其它惡意文件、隨意往來于整個目標網絡之內、收集數據與信息并將其泄露至外部。俄羅斯攻擊者目前仍在持續進行釣魚活動,最新一次行動發生于2016年11月,即美國新一屆總統大選的數日之前。

    APT28的主要攻擊步驟:
    1、APT28發送郵件給目標人員并誘騙他們去偽造的釣魚網站修改個人信息及密碼;
    2、目標人員點擊鏈接會被重定向到APT28精心準備的釣魚網站,并獲取用戶輸入的信息及密碼;
    3、APT28使用這些獲取到的賬號和密碼,登錄目標系統并竊取大量敏感信息。

    APT29的主要攻擊步驟
    1、2015年夏天,APT29 使用合法的域名,發送超過1000封釣魚郵件給政府官員,郵件內容中含有惡意鏈接;
    2、至少有一名收件人點擊激活了此惡意鏈接并下載木馬;
    3、APT29通過此木馬,向目標政黨組織的IT系統上傳惡意軟件;
    4、APT29通過控制主機、提權,暴力破解域、賬號、密碼等方式,獲取部門賬號和密碼;
    5、APT29使用這些賬號和密碼獲取了更多敏感信息,并通過加密通道,以郵件的方式把這些信息傳輸出去。

       美國國土安全部(簡稱DHS)與聯邦調查局(簡稱FBI)共同發布了一份《聯合分析報告》(簡稱JAR),其中披露了俄羅斯情報部門(簡稱RIS)用于入侵并濫用美國總統大選以及多個美國政府、政治與私營部門實體內相關網絡及基礎設施的詳盡工具及基礎設施選項。這份報告亦為網絡防御工作人員提供了識別、檢測及破壞俄羅斯全球惡意網絡活動所必需的相關工具。美國國土安全部敦促用戶及管理員利用這部分信息更好地保護您的自有網絡。

          魚叉式網絡釣魚指一種源于亞洲與東歐只針對特定目標進行攻擊的網絡釣魚攻擊。魚叉式釣魚攻擊利用偽造的電子郵件、文本及其它信息引導用戶打開惡意軟件或者點擊惡意鏈接。

    魚叉式釣魚攻擊可導致憑證失竊(例如密碼)或者作為入口點供惡意攻擊者滲透至組織內部竊取或操縱數據并破壞其正常運營。魚叉式網絡釣魚鎖定之對象并非一般個人,而是特定公司、組織之成員,故受竊之資訊已非一般網絡釣魚所竊取之個人資料,而是其他高度敏感性資料,如智慧財產權及商業機密。
         JAR報告中囊括了俄羅斯情報部門用于在各已入侵設備間執行命令與控制活動、發送魚叉式釣魚郵件以及竊取憑證所使用的全球各計算機、服務器與其它設備之相關信息。此份JAR報告對各臺設備的互聯網協議(簡稱IP)地址進行披露,這組數字作為每臺計算設備的“地址”存在并被用于實現各計算機間的數據傳輸。由于俄羅斯情報部門目前正利用他人網絡實施惡意行動以隱藏其真實身份,因此此次披露的計算機IP地址通常來自合法托管網站或者其它互聯網服務。其中一部分基礎設施已經被局域網監控軟件社區發現并關注。而其它基礎設施相關信息則剛剛被美國政府完成解密。圖三所示的地圖顯示了新近解密的各IP地址所在的60個國家。本份 JAR文件還包含俄羅斯情報部門通常如何實施惡意活動的相關信息。這部分信息能夠幫助網絡防御方了解對手的運作方式,從而進一步識別新型攻擊活動或者破壞俄羅斯方面正在執行的現有入侵行為。



    [關閉本頁]
  關鍵詞:  局域網監控軟件,網絡監控
首頁 |  局域網監控軟件 |  局域網管理軟件 |  流量監控軟件 |  百絡網警用戶論壇
Copyright © 2013-2016 NETBAI.COM 上海百絡信息技術有限公司 版權所有 E-MAIL:[email protected]
監控軟件-征信網認證 監控軟件-網警網絡110 滬ICP備14015905號-1
監控軟件-公安部檢測報告 監控軟件-360認證 監控軟件-瑞星認證 監控軟件-金山云安全中心網站安全檢測 監控軟件-江民安全認證 監控軟件-卡巴斯基檢測通過 監控軟件-小紅傘安全認證