美国DHS公布俄罗斯“灰熊草原(Grizzly Steppe)”网络攻击活动报告摘要

E安全 / 网络战 / 

美国DHS公布俄罗斯“灰色草原(Grizzly Steppe)”网络攻击活动报告摘要-E安全

E安全2017年1月1日讯  本周四,美国总统奥巴马签署了一项总统行政令,决定驱逐总计35名俄罗斯外交官,并授权对俄罗斯政府的多个民事与军事情报机构进行新一轮经济制裁。12月30日中午起,美国禁止俄罗斯外交官进入领事馆。美国关闭俄罗斯驻马里兰和纽约的领事馆,其原因是这些领事馆似乎从事情报工作。奥巴马将驱逐的俄罗斯外交官称作“间谍”。此举是为了回应俄罗斯方面对本轮美国总统选举的干涉。

美国联邦调查局FBI、美国国土安全部DHS于2016年12月29日联合发布了一份题为《灰熊草原-俄罗斯的恶意网络活动》(GRIZZLY STEPPE – Russian Malicious Cyber Activity)的联合分析报告,提供了有关俄罗斯涉嫌干预大选的更多技术细节。

美国国土安全部公共事务部长助理陶德-布里斯莱(Todd Breasseale)在2016年12月30日发布了美国政府调查结果执行摘要,此项调查指向由俄罗斯方面组织的“灰熊草原(Grizzly Steppe)”恶意网络活动。E安全译制整理了调查报告的摘要,具体内容如下:

灰熊草原:俄罗斯恶意网络活动

俄罗斯民事与军事情报机构对美国政府及其公民进行了高复杂度攻击性网络入侵行动。美国政府将此次行动称为“灰熊草原(Grizzly Steppe)”。此轮网络活动包括针对政府机构、关键性基础设施实体、智库组织、高校、政治团体以及企业的窥探活动,同时亦包括从这些组织机构处窃取信息。相关被盗信息随后由第三方加以公开发布。

在针对美国盟友及合作伙伴在内的其它国家进行的网络攻击活动当中,俄罗斯情报部门(简称RIS)采取了破坏性乃至颠覆性的网络活动手段,具体包括打击关键性基础设施——在某些情况下相关攻击被伪装成源自第三方或者嫁祸至某些经过伪造的网络对象,旨在令受害方错误归因攻击来源。

俄罗斯情报部门如何在网络空间中执行任务?

俄罗斯情报部门通常会利用鱼叉式钓鱼攻击访问目标系统(详见下图一),APT 29从2015年夏天开始入侵政党内部系统窃取资料。而另一个组织APT28,从2016年春天开始就针对美国政党进行恶意网络活动。在2015-16攻击活动中(具体请参见美国政府发布的〈联合分析报告〉,简称JAR),俄罗斯网络攻击分子活动利用鱼叉式钓鱼活动渗透并驻留于目标网络之内,获得高级权限并窃取(或者‘泄露’)信息。

这些攻击者通过欺诈方式诱导收件人通过某假冒网站变更其密码内容,此看似合法的网站为俄罗斯方面精心构建。攻击者们随后会利用由此获得的凭证——用户名与密码——作为合法用户访问目标网络。在此基础上,他们安装其它恶意文件、随意往来于整个目标网络之内、收集数据与信息并将其泄露至外部。俄罗斯攻击者目前仍在持续进行钓鱼活动,最新一次行动发生于2016年11月,即美国新一届总统大选的数日之前。

APT28的主要攻击步骤:
1、APT28发送邮件给目标人员并诱骗他们去伪造的钓鱼网站修改个人信息及密码;
2、目标人员点击链接会被重定向到APT28精心准备的钓鱼网站,并获取用户输入的信息及密码;
3、APT28使用这些获取到的账号和密码,登录目标系统并窃取大量敏感信息。

APT29的主要攻击步骤
1、2015年夏天,APT29 使用合法的域名,发送超过1000封钓鱼邮件给政府官员,邮件内容中含有恶意链接;
2、至少有一名收件人点击激活了此恶意链接并下载木马;
3、APT29通过此木马,向目标政党组织的IT系统上传恶意软件;
4、APT29通过控制主机、提权,暴力破解域、账号、密码等方式,获取部门账号和密码;
5、APT29使用这些账号和密码获取了更多敏感信息,并通过加密通道,以邮件的方式把这些信息传输出去。

美国政府正在如何应对?

美国国土安全部(简称DHS)与联邦调查局(简称FBI)共同发布了一份《联合分析报告》(简称JAR),其中披露了俄罗斯情报部门(简称RIS)用于入侵并滥用美国总统大选以及多个美国政府、政治与私营部门实体内相关网络及基础设施的详尽工具及基础设施选项。这份报告亦为网络防御工作人员提供了识别、检测及破坏俄罗斯全球恶意网络活动所必需的相关工具。美国国土安全部敦促用户及管理员利用这部分信息更好地保护您的自有网络。

鱼叉式钓鱼攻击是什么?

鱼叉式网络钓鱼(Spear phishing)指一种源于亚洲与东欧只针对特定目标进行攻击的网络钓鱼攻击。鱼叉式钓鱼攻击利用伪造的电子邮件、文本及其它信息引导用户打开恶意软件或者点击恶意链接。

鱼叉式钓鱼攻击可导致凭证失窃(例如密码)或者作为入口点供恶意攻击者渗透至组织内部窃取或操纵数据并破坏其正常运营。

由于鱼叉式网络钓鱼锁定之对象并非一般个人,而是特定公司、组织之成员,故受窃之资讯已非一般网络钓鱼所窃取之个人资料,而是其他高度敏感性资料,如智慧财产权及商业机密。

美国DHS公布俄罗斯“灰色草原(Grizzly Steppe)”网络攻击活动报告摘要-E安全

图一:美国大选后俄罗斯采取之鱼叉式钓鱼攻击示例

美国DHS公布俄罗斯“灰色草原(Grizzly Steppe)”网络攻击活动报告摘要-E安全

图二:成功鱼叉式钓鱼行为的生命周期


JAR报告中提供了哪些信息?

JAR报告中囊括了俄罗斯情报部门用于在各已入侵设备间执行命令与控制活动、发送鱼叉式钓鱼邮件以及窃取凭证所使用的全球各计算机、服务器与其它设备之相关信息。此份JAR报告对各台设备的互联网协议(简称IP)地址进行披露,这组数字作为每台计算设备的“地址”存在并被用于实现各计算机间的数据传输。由于俄罗斯情报部门目前正利用他人网络实施恶意行动以隐藏其真实身份,因此此次披露的计算机IP地址通常来自合法托管网站或者其它互联网服务。其中一部分基础设施已经被网络安全社区发现并关注。而其它基础设施相关信息则刚刚被美国政府完成解密。图三所示的地图显示了新近解密的各IP地址所在的60个国家。本份JAR文件还包含俄罗斯情报部门通常如何实施恶意活动的相关信息。这部分信息能够帮助网络防御方了解对手的运作方式,从而进一步识别新型攻击活动或者破坏俄罗斯方面正在执行的现有入侵行为。

美国DHS公布俄罗斯“灰色草原(Grizzly Steppe)”网络攻击活动报告摘要-E安全

图三:俄罗斯情报机构协同运作的全球加密基础设施

您要如何保护您自己及您的网络

采取良好的网络安全举措与最佳实践对于保护网络及系统而言至关重要。以下是有助于组织机构预防及缓解攻击活动的一些常见问题。

· 备份:我们是否对全部关键性信息进行了备份?这些备份副本是否以离线方式存储?我们是否测试了自身在遭遇攻击事件时恢复备份信息的能力?

· 风险分析:我们是否对组织机构进行了网络安全风险分析?

· 人员培训:我们是否就网络安全最佳实践对人员进行了培训?

· 安全漏洞扫描与补丁修复:我们是否定期对网络及系统进行扫描?我们是否已经妥善修复了已知的系统安全漏洞?

· 应用程序白名单:我们是否仅允许获准程序运行在我们的网络当中?

· 事件响应:我们是否具备事件响应规划?我们是否对其进行过实践演练?

· 业务连续性:我们能否在无法访问某些特定系统的情况下继续维持业务正常运营?这样的运营状态能够持续多长时间?

· 渗透测试:我们是否尝试过入侵自己的系统,从而测试自身系统的安全性与攻击防御能力?

如果发现恶意网络活动迹象,您该如何应对?

如果大家发现了某些恶意网络活动迹象,美国国土安全部建议您通过您将相关信息上报至国土安全部国家网络安全与通信集成中心(NCCICCustomerService@hq.dhs.gov或者888-282-0870)或者通过当地办事处或FBI网络部(cywatch@ic.fbi.gov或者855-292-3937)上报至FBI。

我国用户在发现恶意网络攻击活动时,E安全建议您可上报至国家互联网应急中心(电子邮件:cncert@cert.org.cn ,电话:+8610 82990999,82991000(EN),传真:+8610 82990399)

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。