DHS upozorava na nove ruske hakere kao na američke sankcije Rusija zbog miješanja u izbore

Ministar financija Steve Mnuchin vidi što ste tamo radili, Rusija.Seve Mnuchin, ministar vanjskih poslova i trezora, vidi što ste tamo radili, Rusija.Getty Images

Ministarstvo financija najavilo je nove ekonomske sankcije danas Ruska Federacija i o pojedincima i organizacije miješane u SAD iz 2016. godine predsjednički izbori – kao i Odjel za unutarnju sigurnost objavio novo upozorenje na novu “rusku cyber aktivnost” usmjeren prema američkoj vladi i američkoj kritičnoj infrastrukturi usluga.

Sankcije se provode kao dio izmjene i dopune Izvršni nalog koji je 2015. potpisao predsjednik Barack Obama Trumpova administracija nametnula je nove sankcije – prvu administracija nametnula pod kontrantskom Amerikom Zakon o protivnicima protiv sankcija (CAATSA), koji je donio Kongres prošle godine – mjesec dana nakon što je službeno okrivio Rusiju inteligencija za crv NotPetya.

Ministar financija Steven Mnuchin najavio je sankcije, objašnjavajući da se “uprava suočava i suprotstavlja zlostavljaju ruske cyber aktivnosti, uključujući njihove pokušaje miješanje u američke izbore, destruktivne cyber-napade i upada koji ciljaju kritičnu infrastrukturu. “Nove sankcije, rekao je, dio su “šireg napora za rješavanje problema koji su u toku grozni napadi koji potječu iz Rusije. Riznica se namjerava nametnuti dodatne CAATSA sankcije, o čemu su obavijestile naše obavještajne službe zajednice, za držanje ruskih vladinih službenika i oligarha odgovorni za svoje destabilizirajuće aktivnosti razdvajanjem njihovih pristup financijskom sustavu SAD-a. ”

Izborno uplitanje, napad NotPetyje i napadi živčanih agenata protiv bivšeg ruskog špijuna u Britaniji kao razloge za nove sankcije, zajedno s ruskim akcije na Krimu i u Ukrajini. Nove sankcije su usmjerene na službenici ruske obavještajne agencije GRU, kao i ljudi i organizacije optužene od strane specijalnog odvjetnika Roberta Muellera istraga: Internet Research Agency (IRA), Concord Menadžment i savjetovanje, Concord Catering i njihov vlasnik Jevgenij Prigožin – čovjek poznat kao “Putinov kuhar” – kao i 12 druge osobe povezane s IRA-om.

U međuvremenu, Federalni istražni ured i DHS imaju identificirao široko rasprostranjenu “višeslojnu kampanju upada” kao DHS dužnosnici su primijetili u tehničkom upozorenju objavljenom danas. Kampanja je aktivan od “najmanje ožujka 2016.”, ciljano “vladine subjekte i višestruke kritične SAD-ove infrastrukturni sektori, uključujući energetsku, nuklearnu, komercijalnu objekata, vode, zrakoplovstva i kritične proizvodnje sektore „.

U napadima su korištene adrese e-pošte za “krađu identiteta” koje sadrže zlonamjerne datoteke programa Microsoft Word protiv ciljanih pojedinaca organizacijama. Datoteke .docx bile su učitane skripte koje koriste a Microsoft Office skripta koja pokušava dohvatiti zajedničku datoteku s poslužitelja putem zahtjeva za blok poruka poslužitelja (SMB). zahtjev, bez obzira na to postoji li datoteka ili ne, mogao bi pokrenuti zahtjev za autentifikaciju s poslužitelja na klijenta, dopuštajući skriptu zlonamjernog privitka da zabilježi hash od vjerodajnice korisnika. Skripta je također instalirala vjerodajnicu alate, uključujući Hydra i CrackMapExec, kako bi pokušali to izdvojiti korisničko ime i lozinku.

Druga vrsta napada, koja se koristi nekim istim pristupima napadi “zalijevanje rupa” – ciljanje zakonitih web lokacija koje treba izvršiti zlonamjerni JavaScript i PHP skripte koji također utječu na SMB metoda zahtjeva za dobivanje vjerodajnica, traženje slikovne datoteke na daljinski sustav s URL-om “file: //”.

Za kompromitiranje mjesta koja se koriste za postavljanje otvora za zalijevanje napada, napadači su koristili dodatne e-pošte za krađu identiteta koji sadrže .pdf označen kao vrsta ugovora. .pdf, pod nazivom “ document.pdf (naziv uključuje dvije oznake naglaska), uključuju skraćeni URL koji je, kad se klikne, otvorio web stranicu tražeći adresu e-pošte i zaporku. .Pdf sam nije izvršio preuzimanje zlonamjernog softvera, ali web stranica – dosegnuta kroz dugi lanac preusmjeravanja – je.

Jednom kada su predaju vjerodajnice, napadači su ih koristili za dobivanje pristup sustavima u kojima se nije koristila dvofaktorska provjera autentičnosti. Oni zatim instalirao Tomcat poslužitelj i datoteku Java Server Pages, symantec_help.jsp, zajedno sa Windows skriptu imenovan enu.cmd, kako bi im omogućio trajan pristup sustavi. Datoteke su dosljedno pohranjene u imenik C: Programske datoteke (x86) \ Symantec \ Symantec Krajnja zaštita Manater \ mačak \ web-aplikacije \ ROOT. Napadači bi tada instalirajte internetske školjke sa sustavom Windows .aspx da biste dobili udaljeni pristup.

JSP izvršava skriptu koja zatim pokušava stvoriti lokalni račun administratora u sustavu i promijenite vatrozid postavke na ciljanom sustavu. Zlonamjerne Windows .lnk datoteke povezivanje s udaljenim resursima i promjena u registru sustava Windows također su korištene za utvrđivanje uporne prisutnosti ciljano sustavi.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: