近20,000电子邮件从民主党全国委员会的微软Exchange服务器被盗。没有足够的信息已经公开,但是,以确定是否只有俄罗斯国家穿透了DNC的网络和窃取电子邮件文件的演员身份。
我花了两天时间,通过维基解密挖掘,监测新闻,与证券分析师和阅读英语和俄语留言板。画面不完整,因为DNC还没有公布足够的数据来得出结论,俄国人偷走了电子邮件文件。
+同时在网络世界:足球竞猜app软件美国网络事件指令如下DNC黑客+
这已经不是什么秘密了俄国人的DNC的Exchange服务器,个人电脑和网络管闲事。一年多来,两家俄罗斯国家的网络间谍机构被认为已经PWNED(这在安全领域所拥有的手段)的DNC网络,未被发现的大部分时间。6月15日,在DNC的安全承包商,CrowdStrike,报告了其博客大约两个网络间谍组织如何认为是俄罗斯政府的一部分的详细,法医解释,所谓APT 28和APT 29,违反DNC网络的安全性。
华盛顿邮报,有明显的内轨道上的故事,报告的其他详细信息在6月14日的一篇文章,CrowdStrike的博客文章的进取,显然与担保公司的合作。
DNC首席执行官艾米达西名为CrowdStrike四月DNC操作人员后,他们的网络上的警告不寻常的活动她。
安全分析师,谁不愿透露姓名的条件下,与DNC的安全接触决定同意下发言,他说组织经常受到来自俄罗斯的攻击时选择CrowdStrike并选择FireEye的当怀疑对手是来自中国。另一位分析师表示,根据现有的有限信息,似乎DNC的防御不是因为俄罗斯和其他网络犯罪团体比赛。
安全分析家很少响应“无可奉告。”在这种情况下,然而,相当多的做,只有少数会说话匿名由于数据的缺乏并没有让他们制定专业意见。
APT 28年代和29次APT的攻击
有一个例外:CrowdStrike彻底解释APT 28年代和29层APT的漏洞。但在2016年6月15日,从公司报表中,是在维基解密登陆电子邮件数据泄露没有提及。对存储在维基解密被盗的电子邮件文件的日期表明,违约发生在2016年5月25日,最后,最近的电子邮件的日期。
如果CrowdStrike没有在6月的报告电子邮件突破口,他们才知道这件事情的时候,他们发表了博客文章,还是他们挫败,尽管他们的检测APT 28年代和29 APT在网络上的存在?是CrowdStrike分心由俄国而第三实体偷了电子邮件文件?也许CrowdStrike知道的电子邮件被盗,但是当它被报告给执法部门,联邦调查局和国家安全局在调查过程中分类的盗窃是秘密。
华盛顿邮报采访CrowdStrike首席技术官德米特里和Alperovitch是总统肖恩·亨利为它的故事。说Alperovitch是APT 29已经获得了进入去年夏天,被监测DNC的电子邮件和聊天通信,但无论是华盛顿邮报,也不CrowdStrike报道发表之前刚刚发生两个半星期的电子邮件数据泄露。据报道,虽然,约含唐纳德特朗普研究的文件被盗,确认文件传输的法医证据可以被检测到。
在攻击的DNC,而大多数企业APT 28和APT 29使用专家谍报,将是无奈承受,根据CrowdStrike。访问DNC网络很可能有针对性的电子邮件spearphishing活动,包括恶意网站链接,当上安装恶意软件点击提供的几个复杂的远程访问工具,给了APT 28个接入(RAT)的一个结果。编程智能到恶意软件恶意软件开发,以检测和在虚拟机上闪避分析,与调试器或包含在沙箱中。
APT 28和29 APT定期回到掩盖自己的踪迹。他们改变安装了战功,持续改进的方法,感动的指挥和控制,以新的渠道,以及进行其他任务,保持领先的安全系统和专业人员来检测他们的能力。APT 28和APT 29控制了之后,他们成为主机和扭转作用与DNC网络的管理者和维护者。
Defenders from CrowdStrike had to find each exploit, then find and patch each exposed flaw in Microsoft’s software or the political campaign management application (NGP VAN), identify infected code masquerading as legitimate code and replace it, reset all of the compromised passwords, and reboot the servers. Neither Microsoft nor NGP VAN has been confirmed as the source of the exploit because little primary information has been released. Guccifer 2.0, self-proclaimed perpetrator of the exploit, claimed in an interview with Motherboard that he used a zero-day exploit of NGP VAN. However, ThreatConnect, which sells a threat detection platform, said in a博客文章该古卡弗2.0的要求没有意义。
CrowdStrike发出的呼吁,它根据肇事者的攻击和行为一旦网络的边界内的战略是APT 28和APT 29。
确定作案者是困难的,因为IP地址可能会被欺骗。恶意软件的编程风格可以追溯到个人开发者,但往往恶意软件购买并通过匿名买家和卖家在黑暗的净卖出的网站,使辨认困难。此外,编译器的设置和环境变量在恶意软件运行时也可能会被欺骗。CrowdStrike的战斗体验战斗的俄罗斯人提供的判断力确定俄罗斯政府的网络安全机构的肇事者。
古卡弗2.0索赔信贷违约DNC
古卡弗2.0居功的DNC违约。古卡弗2.0表示,他留在DNC Exchange服务器指向俄罗斯的线索。他制作了他声称他从DNC网络把特朗普研究文献。
运行IT基础设施是一个具有挑战性的工作提出由许多漏洞,如DNC的更具挑战性。对于大多数企业来说,这不是的,如果他们将被突破,但是当一个问题。陈旧的周边这些机构所聘用的防御,经营的不具有合格的安全人员对他们的团队谁的管理员,定期深入。添加到这个问题,最熟练的难招安全专家更喜欢在工作的公司,如CrowdStrike,谷歌,苹果和Facebook。所以,没有规模和配齐了工作人员的计算机安全部门,组织很容易受到这些类型的违反。