近2万封电子邮件从民主党全国委员会的微软交换服务器被盗。然而,公开的信息还不足以确定是否只有俄罗斯政府侵入了民主党全国委员会的网络,以及窃取电子邮件文件的人的身份。
我花了两天时间,通过维基解密挖掘,监测新闻,与证券分析师和阅读英语和俄语留言板。画面不完整,因为DNC还没有公布足够的数据来得出结论,俄国人偷走了电子邮件文件。
+也在网络世界:有个足球雷竞技app美国网络事件指令如下DNC黑客+
俄罗斯人干预DNC的交换服务器、个人电脑和网络已经不是什么秘密了。一年多来,两家俄罗斯国家网络间谍机构被认为侵入了DNC网络(也就是安全部门拥有的网络),而大部分时间都未被发现。6月15日,民主党全国委员会的安全承包商,CrowdStrike在其博客上报道大约两个网络间谍组织如何认为是俄罗斯政府的一部分的详细,法医解释,所谓APT 28和APT 29,违反DNC网络的安全性。
华盛顿邮报,有明显的内轨道上的故事,报道更多细节在6月14日的一篇文章,CrowdStrike的博客文章的进取,显然与担保公司的合作。
今年4月,在民主党全国委员会的运营人员提醒她网络上有不寻常的活动后,民主党全国委员会首席执行官艾米·戴茜(Amy Dacy)给CrowdStrike打了电话。
安全分析师,谁不愿透露姓名的条件下,与DNC的安全接触决定同意下发言,他说组织经常受到来自俄罗斯的攻击时选择CrowdStrike并选择FireEye的当怀疑对手是来自中国。另一位分析师表示,根据现有的有限信息,似乎DNC的防御不是因为俄罗斯和其他网络犯罪团体比赛。
安全分析家很少响应“无可奉告。”在这种情况下,然而,相当多的做,只有少数会说话匿名由于数据的缺乏并没有让他们制定专业意见。
28号和29号的功绩
有一个例外:CrowdStrike彻底解释APT 28年代和29层APT的漏洞。但在2016年6月15日,从公司报表中,是在维基解密登陆电子邮件数据泄露没有提及。对存储在维基解密被盗的电子邮件文件的日期表明,违约发生在2016年5月25日,最后,最近的电子邮件的日期。
如果CrowdStrike在6月份没有报告邮件泄露事件,那么他们是在发布博客帖子时就知道了还是在发现APT 28和APT 29出现在网络上的情况下还是被击败了?当第三个实体窃取了电子邮件文件时,CrowdStrike是否被俄罗斯人分散了注意力?也许CrowdStrike知道邮件失窃,但当它被报告给执法部门时,联邦调查局和国家安全局在调查期间将其列为机密。
《华盛顿邮报》为此采访了CrowdStrike首席技术官德米特里·阿尔佩罗维奇(Dmitri Alperovitch)和总裁肖恩·亨利(Shawn Henry)。阿尔佩罗维奇说,APT 29在去年夏天就进入了这个系统,并在监控民主党全国委员会的电子邮件和聊天通信,但《华盛顿邮报》和CrowdStrike都没有报道在发布前两周半发生的电子邮件数据泄露事件。不过,据报道,包含有关唐纳德·特朗普研究的文件被盗,这证实了文件传输的法医证据可以被发现。
在攻击的DNC,而大多数企业APT 28和APT 29使用专家谍报,将是无奈承受,根据CrowdStrike。访问DNC网络很可能有针对性的电子邮件spearphishing活动,包括恶意网站链接,当上安装恶意软件点击提供的几个复杂的远程访问工具,给了APT 28个接入(RAT)的一个结果。编程智能到恶意软件恶意软件开发,以检测和在虚拟机上闪避分析,与调试器或包含在沙箱中。
APT 28和APT 29经常回来掩盖他们的踪迹。他们改变了已安装的漏洞,修改了持久性方法,将命令和控制转移到新的通道,并执行了其他任务,领先于安全系统和专业人员检测它们的能力。在APT 28和APT 29取得控制权后,它们成为主机,并与DNC网络的管理员和防御者互换角色。
Defenders from CrowdStrike had to find each exploit, then find and patch each exposed flaw in Microsoft’s software or the political campaign management application (NGP VAN), identify infected code masquerading as legitimate code and replace it, reset all of the compromised passwords, and reboot the servers. Neither Microsoft nor NGP VAN has been confirmed as the source of the exploit because little primary information has been released. Guccifer 2.0, self-proclaimed perpetrator of the exploit, claimed in an interview with Motherboard that he used a zero-day exploit of NGP VAN. However, ThreatConnect, which sells a threat detection platform, said in a博客该古卡弗2.0的要求没有意义。
CrowdStrike根据犯罪者进入网络范围后的攻击策略和行为,做出了APT 28和APT 29的判断。
确定作案者是困难的,因为IP地址可能会被欺骗。恶意软件的编程风格可以追溯到个人开发者,但往往恶意软件购买并通过匿名买家和卖家在黑暗的净卖出的网站,使辨认困难。此外,编译器的设置和环境变量在恶意软件运行时也可能会被欺骗。CrowdStrike的战斗体验战斗的俄罗斯人提供的判断力确定俄罗斯政府的网络安全机构的肇事者。
Guccifer 2.0声称对DNC的入侵负有责任
Guccifer 2.0声称对DNC的入侵负有责任。古卡弗2.0表示,他留在DNC Exchange服务器指向俄罗斯的线索。他制作了他声称他从DNC网络把特朗普研究文献。
运行IT基础设施是一项具有挑战性的工作,而像DNC这样的许多漏洞使得这项工作更具挑战性。对大多数公司来说,问题不在于是否会被攻破,而在于何时被攻破。这些组织使用的过时的外围防御系统,由团队中没有合格的安全专家的管理员操作,经常被渗透。更糟糕的是,技术最熟练、最难招到的安全专业人士更愿意在CrowdStrike、谷歌、苹果和Facebook等公司工作。因此,没有规模和人手充足的计算机安全部门,组织很容易受到这些类型的破坏。