6小时前来源:E安全
原标题:美国DHS公布俄罗斯“灰色草原(Grizzly Steppe)”网络攻击活动报告摘要
E安全2017年1月1日讯 本周四,美国总统奥巴马签署了一项总统行政令,决定驱逐总计35名俄罗斯外交官,并授权对俄罗斯政府的多个民事与军事情报机构进行新一轮经济制裁。12月30日中午起,美国禁止俄罗斯外交官进入领事馆。美国关闭俄罗斯驻马里兰和纽约的领事馆,其原因是这些领事馆似乎从事情报工作。奥巴马将驱逐的俄罗斯外交官称作“间谍”。此举是为了回应俄罗斯方面对本轮美国总统选举的干涉。
美国联邦调查局FBI、美国国土安全部DHS于2016年12月29日联合发布了一份题为《灰熊草原-俄罗斯的恶意网络活动》(GRIZZLY STEPPE Russian Malicious Cyber Activity)的联合分析报告,提供了有关俄罗斯涉嫌干预大选的更多技术细节。
美国国土安全部公共事务部长助理陶德-布里斯莱(Todd Breasseale)在2016年12月30日发布了美国政府调查结果执行摘要,此项调查指向由俄罗斯方面组织的“灰色草原(Grizzly Steppe)”恶意网络活动。E安全译制整理了调查报告的摘要,具体内容如下:
灰色草原:俄罗斯恶意网络活动俄罗斯民事与军事情报机构对美国政府及其公民进行了高复杂度攻击性网络入侵行动。美国政府将此次行动称为“灰色草原(Grizzly Steppe)”。此轮网络活动包括针对政府机构、关键性基础设施实体、智库组织、高校、政治团体以及企业的窥探活动,同时亦包括从这些组织机构处窃取信息。相关被盗信息随后由第三方加以公开发布。
在针对美国盟友及合作伙伴在内的其它国家进行的网络攻击活动当中,俄罗斯情报部门(简称RIS)采取了破坏性乃至颠覆性的网络活动手段,具体包括打击关键性基础设施――在某些情况下相关攻击被伪装成源自第三方或者嫁祸至某些经过伪造的网络对象,旨在令受害方错误归因攻击来源。
俄罗斯情报部门如何在网络空间中执行任务?俄罗斯情报部门通常会利用鱼叉式钓鱼攻击访问目标系统(详见下图一),APT 29从2015年夏天开始入侵政党内部系统窃取资料。而另一个组织APT28,从2016年春天开始就针对美国政党进行恶意网络活动。在2015-16攻击活动中(具体请参见美国政府发布的〈联合分析报告〉,简称JAR),俄罗斯网络攻击分子活动利用鱼叉式钓鱼活动渗透并驻留于目标网络之内,获得高级权限并窃取(或者‘泄露’)信息。
这些攻击者通过欺诈方式诱导收件人通过某假冒网站变更其密码内容,此看似合法的网站为俄罗斯方面精心构建。攻击者们随后会利用由此获得的凭证――用户名与密码――作为合法用户访问目标网络。在此基础上,他们安装其它恶意文件、随意往来于整个目标网络之内、收集数据与信息并将其泄露至外部。俄罗斯攻击者目前仍在持续进行钓鱼活动,最新一次行动发生于2016年11月,即美国新一届总统大选的数日之前。
