Das DHS warnt vor neuen Hacks in Russland als US-Sanktionen Russland über Wahlbeeinflussung

Finanzminister Steve Mnuchin sieht, was Sie dort gemacht haben, Russland.Vergrößern / Finanzminister Steve Mnuchin sieht, was Sie dort getan haben, Russia.Getty Images

Das Finanzministerium kündigte neue Wirtschaftssanktionen an heute auf der Russischen Föderation und auf Einzelpersonen und Organisationen, die in Interferenzen mit den USA von 2016 verwickelt sind Präsidentschaftswahlen – genau wie das Department of Homeland Security veröffentlicht eine neue Warnung vor neuen “russischen Regierung Cyber-Aktivität” richtet sich an die US-Regierung und US-kritische Infrastruktur Anbieter.

Die Sanktionen werden im Rahmen einer Änderung von durchgeführt der von Präsident Barack Obama im Jahr 2015 unterzeichnete Executive Order Die Regierung von Trump verhängte die neuen Sanktionen – die erste die Verwaltung hat unter der Countering America auferlegt Gegner durch Sanktionsgesetz (CAATSA), das von verabschiedet wurde Kongress im vergangenen Jahr – einen Monat nach der offiziellen Schuld Russisch Intelligenz für den NotPetya-Wurm.

Finanzminister Steven Mnuchin kündigte die Sanktionen an, zu erklären, dass “die Verwaltung konfrontiert und kontert bösartige russische Cyber-Aktivitäten, einschließlich ihrer versuchten Einmischung in US-Wahlen, zerstörerische Cyber-Angriffe und Eingriffe in kritische Infrastrukturen. “Die neuen Sanktionen, Er sagte, “sind Teil einer breiteren Anstrengung, um die laufenden zu adressieren schändliche Angriffe aus Russland. Treasury beabsichtigt, aufzuerlegen zusätzliche CAATSA-Sanktionen, die von unserem Geheimdienst gemeldet werden Gemeinschaft, russische Regierungsbeamte und Oligarchen zu halten verantwortlich für ihre destabilisierenden Aktivitäten, indem sie ihre Zugang zum US-Finanzsystem. ”

Die Wahlbeeinflussung, der NotPetya-Angriff und die Nervenagentenangriff gegen einen ehemaligen russischen Spion in Großbritannien waren Als Gründe für die neuen Sanktionen wurden neben Russland auch die Gründe angeführt Aktionen auf der Krim und in der Ukraine. Die neuen Sanktionen zielen darauf ab Beamte des russischen Geheimdienstes GRU sowie bei Menschen und Organisationen, die von Special Counsel Robert Mueller angeklagt wurden Untersuchung: die Internet Research Agency (IRA), Concord Management und Beratung, Concord Catering und deren Eigentümer Jewgeni Prigoschin – der Mann namens “Putins Chef” – sowie 12 andere Personen an die IRA gebunden.

Inzwischen haben das Bundeskriminalamt und das DHS identifizierte eine weit verbreitete “mehrstufige Aufschaltungskampagne” als DHS Beamte notiert in einer heute veröffentlichten technischen Ausschreibung. Die Kampagne ist seit “mindestens März 2016” aktiv, heißt es in dem Bericht, Targeting “Regierungsstellen und mehrere US-kritisch Infrastruktursektoren, einschließlich Energie, Nuklear, Handel Einrichtungen, Wasser, Luftfahrt und kritische Fertigung Sektoren. ”

Die Angriffe haben “Spear-Phishing” -E-Mails mit sich gebracht böswillige Microsoft Word-Dateien gegen Einzelpersonen in Angriff genommen Organisationen. Die DOCX-Dateien wurden mit Skripten geladen, die a verwenden Microsoft Office-Skript, das versucht, eine freigegebene Datei abzurufen von einem Server über eine SMB-Anforderung (Server Message Block). Das Anfrage, unabhängig davon, ob die Datei existiert oder nicht, könnte eine Authentifizierungsanfrage vom Server an den Client auslösen, Ermöglichen, dass das Skript des böswilligen Anhangs einen Hash des Anmeldeinformationen des Benutzers. Das Skript installierte auch Credential-Harvesting Tools, einschließlich Hydra und CrackMapExec, um zu versuchen, die zu extrahieren Benutzername und Passwort.

Eine andere Art von Angriff, bei dem einige der gleichen Ansätze verwendet wurden “Wasserloch” -Angriffe zielen auf legitime Websites ab, die ausgeführt werden sollen bösartige JavaScript- und PHP-Skripte, die auch das SMB nutzen Anforderungsmethode zum Abrufen von Anmeldeinformationen, Anfordern einer Bilddatei auf einem Remote-System mit einer URL “file: //”.

Um die Orte zu gefährden, an denen ihre Wasserstelle errichtet wurde Angriffe haben die Angreifer zusätzliche Spear-Phishing-E-Mails verwendet die eine .pdf-Datei enthalten, die als eine Art Vertragsvereinbarung bezeichnet wird. Das .pdf mit dem Titel “ document.pdf (der Name enthält die beiden Akzentzeichen) enthielten eine verkürzte URL, die beim Klicken öffnete eine Webseite, auf der eine E-Mail-Adresse und ein Passwort abgefragt wurden. Die .pdf selbst hat keinen Malware-Download ausgeführt, aber die Webseite wurde erreicht durch eine lange Kette von Weiterleitungen.

Sobald die Anmeldeinformationen verfügbar waren, verwendeten die Angreifer sie, um zu gewinnen Zugriff auf Systeme, auf denen keine Zwei-Faktor-Authentifizierung verwendet wurde. Sie dann einen Tomcat-Server und eine Java Server Pages-Datei installiert, symantec_help.jsp zusammen mit einem Windows-Skript benannt enu.cmd, um ihnen dauerhaften Zugriff auf die Systeme. Die Dateien wurden konsistent im Verzeichnis gespeichert C: Programme (x86) \ Symantec \ Symantec Endpoint Protection Manater \ tomcat \ webapps \ ROOT. Die Angreifer würden dann Installieren Sie Windows ASPX-basierte Web-Shells, um Remotezugriff zu erhalten.

Die JSP führt das Skript aus, das dann versucht, eine zu erstellen lokales Administratorkonto auf dem System und ändern Sie die Firewall Einstellungen auf dem Zielsystem. Schädliche Windows .lnk-Dateien Verknüpfen mit Remote-Ressourcen und Ändern der Windows-Registrierung wurden auch genutzt, um gezielt eine dauerhafte Präsenz aufzubauen systeme.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: