回归最本质的信息安全

;

FireEye:俄罗斯正在改变网络攻击游戏规则

2016年12月6日发布

5,578
0
0

导语:凯文·曼迪亚表示,在美国总统竞选期间,俄罗斯操纵泄漏美国民主党总统候选人希拉里·克林顿竞选团队主席约翰·波德斯塔的部分私人电邮内容,严重干扰了竞选进程,这一举动令人震惊。

Mandiant公司创始人兼FireEye公司 CEO凯文·曼迪亚(Kevin Mandia)表示,俄罗斯正在改变其交战规则,不准备再掩盖其攻击痕迹了。

凯文·曼迪亚表示,在美国总统竞选期间,俄罗斯操纵泄漏美国民主党总统候选人希拉里·克林顿竞选团队主席约翰·波德斯塔的部分私人电邮内容,严重干扰了竞选进程,这一举动令人震惊。

凯文·曼迪亚是Mandiant(3年前被FireEye收入旗下)公司的创始人,自上世纪90年代就一直调查研究俄罗斯的网络攻击行为。在近日FireEye网络防御峰会的采访中,曼迪亚表示,最近俄罗斯国家主导的攻击活动和泄漏的信息表明其网络间谍情报策略发生了转变。

曼迪亚解释道,新型勒索服务平台Doxing即服务的出现确实震惊到了我,这是俄罗斯国家攻击武器最重大的一个转变。

关于Doxing

2016年5月,研究发现一家名为“Ran$umBin”的暗网网站提供Doxing服务,支付150美金,就可以通过它收集到某人的全部个人信息。

实际上,Dox是一系列敏感个人信息的集合,Doxing就是用恶意的方式发布这些信息。Ran$umBin的工作是将Dox信息的集合与发布过程整合成一项业务。”

Ran$umBin网站提供的Doxing服务拥有三个选项,这取决于它要收集的Dox类型:

40美金佣金,可以拿到个人的名字、出生日期、电话号、地址;
80美金佣金,Dox会包括上述所有信息,外加额外的一些;
150美金佣金,你可以拿到个人的完整档案,目标及其亲属的个人信息、电子邮件地址、ISP信息、已知密码、银行和信用卡数据、驾照号码、教育经历、医疗历史、法庭记录和财产记录。

俄罗斯改变交战规则,不再掩饰痕迹

FireEye目前正在调查的20多起网络攻击事件中,绝大多数的幕后黑手都是俄罗斯国家的黑客。但是曼迪亚表示,如此规模的攻击数量让人不寒而栗,然而,戏剧化的是近两年俄罗斯已经改变了其网络间谍的攻击模式。

曼迪亚说最大的改变发生在2014年秋天。当时我们回应攻击时,他们(俄罗斯攻击者)并没有消失。一般来说,一旦攻击者被发现就会立即消失。俄罗斯的交战规则变成,当我们着手开始一个新的调查时,他们才会消失。

俄罗斯网络间谍组织还开始攻击大学,但盗取的并不是之前感兴趣的政府研究机密等,他们攻击出版过“反俄罗斯”“反普京情绪”等书籍的教授。

此外,攻击的范围和规模也开始发生变化。我想可能是他们的反取证能力已经变得杂乱无章了,因为现在我们可以观察到他们残留的踪迹。不像之前他们会进行反取证清理,现在俄罗斯黑客会在他们的网络间谍活动中留下数字踪迹。

特朗普政府上任的不确定因素或加重安全隐患

2015年,奥巴马政府签署行政命令:允许美国政府冻结破坏美国关键基础设施或盗取美国企业商业机密和美国公民个人信息的攻击者的资产。

目前我们尚不清楚,唐纳德·特朗普上任是否会继续执行奥巴马政府的相关政策。曼迪亚表示,他希望这些政策能得到继续执行,因为无论是民主党还是共和党成员,没有人想成为黑客的攻击对象,都不希望有人盗取自己的电子邮箱信息。这一原则不应该因为政治因素而发生任何改变。

特朗普团队在竞选期间曾发表增强网络安全“攻击”能力的言论,根据他的声明,“美国应该发展网络攻击能力,我们必须组织任何国家及非国家支持的攻击实体,如果有必要的话,应该适当地采取行动。”

一些安全专家担心,目前尚不清楚这样会不会给私人机构的“反攻击”行为敞开大门。曼迪亚反对企业对其在线对手采取回击行动,因为他认为这是非常危险的,可能会产生不可预期的后果。除非由政府委派,否则不建议私人机构对黑客行为采取“回击”行动。

曼迪亚是中美反间谍协议的拥护者,2015年9月,为缓和中美两国之间的关系,美国总统奥巴马和中国主席习近平达成协定,不支持以经济利益为目的的网络犯罪,双方政府互不“实施或故意支持窃取知识产权的网络窃犯”。

虽然一些安全专家表示,协议并没有放缓中国黑客窃取知识产权的行为,但是根据FireEye于6月份发布的研究报告表明,达成协定后,中国网络间谍行动总体减少至每月10起,之后甚至持续呈放慢趋势。曼迪亚表示,这说明中国网络间谍组织是训练有素的部队,他们能够坚持交战规则。

他表示目前尚不清楚特朗普是否会取消与中国政府之间的协议,这样协议存在的意义很明显,实在想不出取消它的目的何在。

新的攻击“浪潮”

曼迪亚认为,网络间谍和网络攻击已经进入了一个新的、难以预测的阶段。一些更大胆的国家正在做着更大胆的事情,攻击手段也越来越精明,如伊朗。

每一天,伊朗都在进行攻击活动,只是未造成明显影响。因为他们只是在演练,在累积经验增强攻击实力。

FireEye首席技术官Grady Summers表示,我们可以看到各种形式的网络攻击正在不断融合协调。我们可以看到攻击者使用勒索软件攻击目标从一两台设备演变成上万台设备。他们通过建立一个立足点,进行横向性破坏并且对设备进行集体加密,通过加密成千上万的设备来制造更大的伤害,从而获取更大的收益。

网络世界的交战规则已经发生变化,而你准备好了吗?

本文翻译于:darkreading,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/956.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

兮又米

嘶吼编辑

发私信

发表评论