USAID saldırısıyla bağlantılı iki komuta ve kontrol ve kötü amaçlı yazılım dağıtım alanı federal yetkililer tarafından ele geçirildi.
ABD Adalet Bakanlığı Salı günü yaptığı açıklamada, iki komuta-kontrol ve kötü amaçlı yazılım dağıtım alanına el konuldu yakın zamanda gerçekleşen bir kimlik avı saldırısının parçası olarak kullanıldı Microsoft tarafından geçen hafta tanımlandı.
Yönetici kılavuzu
Kimlik avı nedir? Kendinizi dolandırıcılık e-postalarından ve daha fazlasından korumak için bilmeniz gereken her şey
O e-postaya tıklamayın! Kendinizi en yaygın siber saldırı türlerinden birinden nasıl koruyacağınız da dahil olmak üzere bilmeniz gereken her şeyi bu kimlik avı kılavuzunda bulabilirsiniz.
Şimdi OkuMicrosoft ve CISA'nın arkasında olduğuna inandığı Nobelium grubu devasa SolarWinds saldırısı, ABD Ajansının hesabını kullanan yaygın bir kötü amaçlı e-posta kampanyası yürütürken bulundu. Binlerce kişiye virüslü e-posta göndermek için toplu posta hizmeti Constant Contact'ta Uluslararası Kalkınma (USAID) alıcılar.
Hem Microsoft hem de CISA saldırıyla ilgili uyarılar yayınladı. Washington Post aynı zamanda New York Times kötü amaçlı e-postalardan çok azının açıldığını bildirdi.
Ancak Adalet Bakanlığı Salı günü yaptığı açıklamada, iki alana el konulmasının "amaçlandığını" söyledi. Kötü niyetli aktörlerin kurbanları daha sonraki istismarlarını engellemek ve aynı zamanda güvenliği ihlal edilmiş kişileri tespit etmek kurbanlar."
Hükümet açıklamasında, "Aktörler, ilk uzlaşmalar ile geçen haftaki ele geçirmeler arasında ek arka kapı erişimleri kullanmış olabilir" dedi.
İlk saldırının Rusya Dış İstihbarat Servisi'nden kaynaklandığına ve Avrupa siyasetine odaklanan hükümet kuruluşlarının yanı sıra kar amacı gütmeyen kuruluşları da hedef aldığına inanılıyordu. ABD Başsavcı Vekili Raj Parekh, hedef odaklı kimlik avı saldırısının "etkilenen bilgisayarda yaygın hasara" neden olabileceğini söyledi ağlara zarar verebilir ve şüphesiz bireysel mağdurlara, devlet kurumlarına, STK'lara ve özel sektöre ciddi zararlar verebilir. işletmeler."
FBI Siber Bölümü Direktör Yardımcısı Bryan Vorndran, kendilerini bu konuda kararlı olduklarını ekledi. Hükümete yönelik saldırıları engellemek için yerli ve uluslararası ortaklarla birlikte çalışmak ajanslar.
"Alet kemerimizdeki tüm araçları kullanmaya devam edeceğiz ve yerel ve uluslararası ortaklıklarımızı yalnızca Bu tür bilgisayar korsanlığı faaliyetlerini engellemek ama bu tehditlerle mücadele etmek için düşmanlarımıza risk ve sonuçlar yüklemek." Vorndran söz konusu.
Ele geçirilen USAID hesabı kullanılarak 3.000'den fazla kişi hedef alındı ve gönderilen e-postalar arasında "özel uyarılar" ve insanların bu hesapları açmasını veya içindekileri indirmesini sağlamaya yönelik diğer çabalar yer alıyordu.
Saldırılarda hedef alınanlardan bazıları Rus hükümetini eleştirirken, diğerleri ise Avrupa ve Amerika çapında uluslararası kalkınma, insani yardım ve insan hakları çalışmalarına dahil olmak Devletler.
E-postaların, theyardservice[.]com alt alanından kötü amaçlı yazılım indiren bir köprü bağlantısı vardı ve saldırının arkasındaki kişiler buradan " Adalete göre, kalıcı varlığı sürdürmek ve muhtemelen kurbanın ağına ek araçlar veya kötü amaçlı yazılım dağıtmak için Cobalt Strike aracı " Departman.
"Oyuncuların Cobalt Strike aracı örneği, theyardservice[.]com'un diğer alt alanları ve ayrıca worldhomeoutlet[.]com alanı aracılığıyla C2 iletişimleri aldı. Açıklamada, mahkemenin el koyma kararı uyarınca Bakanlığın el koyduğu bu iki alan adı olduğu belirtildi.
Netenrich tehdit istihbaratı danışmanı John Bambanek gibi siber güvenlik uzmanları, Adalet Bakanlığı'nın yeni yaklaşımının ne olduğunu söyledi. Eylemleri, alanları nispeten hızlı bir şekilde ele geçirmek ve kendi çıkarlarını basit bir şekilde korumak için yasal süreci kullanmalarıydı. yol.
Bambanek, "Hükümetler bunu yalnızca APT tehditleri için değil, aynı zamanda geleneksel siber suçlar için de hızlı bir şekilde yapmaya başlayabilirlerse, siber suçlar üzerinde daha büyük bir yıkıcı etki yaratabiliriz" dedi.
Lookout'un güvenlik çözümleri kıdemli yöneticisi Hank Schless, etki alanlarını ve kullanılan komuta ve kontrol sunucularını ele geçirerek şunları söyledi: Kimlik avı kampanyaları için araştırmacılara, kampanyayı kimin yürüttüğü ve başka nerede hain eylemler gerçekleştirebilecekleri konusunda ipuçları verilebilir. aktivite.
"Çoğu tehdit aktörünün muhtemelen kötü amaçlı kampanyalarının yedekleri vardır ve aynı etkinliğin yeni sürümlerini farklı etki alanları ve sunucularda yayınlayabilirler. Ancak aynı kampanyanın yeniden kullanılması, muhtemelen gelecekte tanımlanabilir buluşsal yöntemlere veya özelliklere sahip olacağı anlamına geliyor." Schless, ZDNet'e açıkladı.
Kendisi, yakın zamanda kullanılan etki alanlarının ve komuta ve kontrol sunucularının ele geçirilmesinin, proaktif tehdit araştırmalarının yapılmasına yardımcı olduğunu ve gelecekte benzer saldırıların meydana gelme riskini azaltmaya yardımcı olduğunu belirtti.
Büyük miktarda tehdit istihbaratı toplanarak veri kümeleri büyüyebilir ve daha fazla tehdit belirlenebilir; Kötü amaçlı kimlik avı kampanyalarının ve aktörlerinin otomatik olarak keşfedilmesine ve mahkum edilmesine yardımcı olan makine öğrenimi araçlarının geliştirilmesi, Schless söz konusu.
"Saldırganlar sıklıkla önceki kötü amaçlı yazılımların parçalarını yeniden kullandıklarından ve hatta kampanyalarında adlandırma taktiklerini kullandıklarından, yeterince büyük bir veri kümesi Hem bilinen hem de bilinmeyen tehditleri herhangi bir büyük ölçeğe ulaşmadan tespit edip bunlara karşı koruma sağlayabileceğiz" dedi. ZDNet.
"Adalet Bakanlığı'nın, tehdit aktörlerini özellikle ABD Federal kurumlarını hedef almaktan caydırabilecek adımlar attığını görmek cesaret verici."
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?