Le DHS met en garde contre les nouvelles attaques de la Russie sous forme de sanctions américaines La Russie pour ingérence électorale

Le secrétaire au Trésor, Steve Mnuchin, voit ce que vous avez fait là-bas, la Russie.Enlarge / Le secrétaire au Trésor, Steve Mnuchin, voit ce que vous avez fait là-bas, Russia.Getty Images

Le département du Trésor a annoncé de nouvelles sanctions économiques todayon la Fédération de Russie et sur les individus et organisations impliquées dans des interférences avec les États-Unis 2016 élections présidentielles, tout comme le département de la Sécurité intérieure a publié un nouvel avertissement de la nouvelle “cyberactivité du gouvernement russe” destiné au gouvernement américain et aux infrastructures critiques américaines fournisseurs.

Les sanctions sont appliquées dans le cadre d’un amendement à la le décret signé par le président Barack Obama en 2015. Le L’administration Trump a imposé les nouvelles sanctions – la première, la l’administration a imposé sous le contrer de l’Amérique Loi sur les sanctions par l’adversaire (CAATSA), adoptée par Congrès de l’année dernière – un mois après avoir officiellement blâmé le russe intelligence pour le ver NotPetya.

Le secrétaire au Trésor, Steven Mnuchin, a annoncé les sanctions, expliquant que “l’administration confronte et contrecarre cyberactivité maligne en Russie, y compris leur tentative ingérence dans les élections américaines, cyber-attaques destructrices, et intrusions visant des infrastructures critiques. “Les nouvelles sanctions, at-il dit, font partie d’un “effort plus vaste visant à remédier à la attaques néfastes émanant de Russie. Trésor a l’intention d’imposer sanctions CAATSA supplémentaires, éclairées par nos services de renseignement communauté, à tenir les fonctionnaires du gouvernement russe et les oligarques responsables de leurs activités de déstabilisation en coupant leurs accès au système financier américain “.

L’ingérence électorale, l’attaque de NotPetya et le agent neurotoxique contre un ancien espion russe en Grande-Bretagne étaient cité comme les raisons des nouvelles sanctions, ainsi que de la Russie actions en Crimée et en Ukraine. Les nouvelles sanctions visent � les responsables de l’agence de renseignement russe GRU, ainsi que des personnes et organisations inculpées par l’avocat spécial Robert Mueller’s enquête: Internet Research Agency (IRA), Concord Management and Consulting, Concord Catering, et leur propriétaire Yevgeny Prigozhin – l’homme connu comme “le chef de Poutine” – ainsi que 12 d’autres personnes liées à l’IRA.

Pendant ce temps, le Federal Bureau of Investigations et le DHS ont a identifié une “campagne d’intrusion en plusieurs étapes” très répandue en tant que DHS les responsables ont noté dans une alerte technique publiée aujourd’hui. La campagne est actif depuis “au moins mars 2016”, indique le rapport, ciblant “les entités gouvernementales et plusieurs États-Unis critiques secteurs de l’infrastructure, y compris l’énergie, le nucléaire, le commerce installations, eau, aviation et fabrication critique secteurs. ”

Les attaques ont utilisé des emails de “spear-phishing” contenant fichiers Microsoft Word malveillants contre des personnes ciblées organisations. Les fichiers .docx étaient chargés avec des scripts utilisant un Script Microsoft Office qui tente de récupérer un fichier partagé depuis un serveur via une requête SMB (Server Message Block). le demande, que le fichier existe ou non, pourrait déclencher une demande d’authentification du serveur au client, permettant au script de la pièce jointe malveillante de capturer un hachage du les informations d’identification de l’utilisateur. Le script a également installé la collecte des informations d’identification outils, notamment Hydra et CrackMapExec, pour essayer d’extraire le nom d’utilisateur et mot de passe.

Un autre type d’attaque, utilisant certaines des mêmes approches, a été utilisé attaques de type «watering hole»: ciblage de sites Web légitimes à exécuter scripts JavaScript et PHP malveillants qui exploitent également le protocole SMB méthode de demande pour obtenir des informations d’identification, demandant un fichier image sur un système distant avec une URL “fichier: //”.

Pour compromettre les sites utilisés pour organiser leur point d’eau attaques, les attaquants ont utilisé des courriels de spear-phishing supplémentaires qui contiennent un .pdf étiqueté comme une sorte d’accord de contrat. le .pdf, intitulé “ document.pdf (le nom inclut les deux marques d’accent), incluait une URL raccourcie qui, une fois cliquée, ouvert une page Web demandant une adresse électronique et un mot de passe. Le .pdf lui-même n’a pas exécuté de téléchargement de malware, mais la page Web – atteinte à travers une longue chaîne de redirections – l’ont fait.

Une fois les identifiants en main, les assaillants les ont utilisés pour gagner l’accès aux systèmes où l’authentification à deux facteurs n’a pas été utilisée. Ils puis installé un serveur Tomcat et un fichier Java Server Pages, symantec_help.jsp, avec un script Windows nommé enu.cmd, pour leur donner un accès persistant � les systèmes. Les fichiers étaient systématiquement stockés dans le répertoire C: Fichiers de programme (x86) \ Symantec \ Symantec Endpoint Protection Manater \ tomcat \ webapps \ ROOT. Les attaquants seraient alors Installez des shells Web basés sur Windows .aspx pour obtenir un accès à distance.

Le JSP exécute le script, qui tente ensuite de créer une compte d’administrateur local sur le système et changer le pare-feu paramètres sur le système ciblé. Fichiers Windows .lnk malveillants liens vers des ressources distantes et modifications du registre Windows également été utilisés pour établir une présence persistante sur des systèmes.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: