Ampliar / El secretario del Tesoro, Steve Mnuchin, ve lo que hiciste allí, Rusia.Getty Images
El Departamento del Tesoro anunció nuevas sanciones económicas. hoy en la Federación de Rusia y en individuos y organizaciones implicadas en la interferencia con los Estados Unidos de 2016 elecciones presidenciales, al igual que el Departamento de Seguridad Nacional lanzó una nueva advertencia de la nueva “actividad cibernética del gobierno ruso” dirigido al gobierno de EE. UU. y a la infraestructura crítica de EE. UU. proveedores.
Las sanciones se llevan a cabo como parte de una enmienda a La Orden Ejecutiva firmada por el presidente Barack Obama en 2015. El La administración Trump impuso las nuevas sanciones: la primera administración ha impuesto en virtud de la lucha contra los Estados Unidos Ley de Adversarios a través de Sanciones (CAATSA), que fue aprobada por Congreso el año pasado, un mes después de culpar oficialmente a Rusia inteligencia para el gusano NotPetya.
El secretario del Tesoro Steven Mnuchin anunció las sanciones, explicando que “la administración está confrontando y contrarrestando actividad cibernética rusa maligna, incluido su intento interferencia en las elecciones estadounidenses, ciberataques destructivos y intrusiones dirigidas a infraestructura crítica “. Las nuevas sanciones, dijo, son parte de “un esfuerzo más amplio para abordar la situación actual infames ataques que emanan de Rusia. Hacienda tiene la intención de imponer sanciones adicionales de CAATSA, informadas por nuestra inteligencia comunidad, para mantener funcionarios del gobierno ruso y oligarcas responsables de sus actividades desestabilizadoras cortando su acceso al sistema financiero de los Estados Unidos “.
La interferencia electoral, el ataque NotPetya y el ataque de agente nervioso contra un ex espía ruso en Gran Bretaña fueron citado como las razones de las nuevas sanciones, junto con la de Rusia acciones en Crimea y Ucrania. Las nuevas sanciones están dirigidas a funcionarios de la agencia de inteligencia GRU de Rusia, así como a personas y organizaciones acusadas por el Asesor Especial Robert Mueller investigación: la Agencia de Investigación de Internet (IRA), Concord Gerencia y Consultoría, Concord Catering, y su dueño Yevgeny Prigozhin, el hombre conocido como “Chef de Putin”, así como 12 otras personas vinculadas a IRA.
Mientras tanto, la Oficina Federal de Investigaciones y el DHS tienen identificó una “campaña de intrusión en varias etapas” generalizada, como DHS Los funcionarios señalaron en una alerta técnica publicada hoy. La campaña ha estado activo desde “al menos marzo de 2016”, señaló el informe, apuntando a “entidades gubernamentales y múltiples Estados Unidos críticos sectores de infraestructura, incluidos el energético, nuclear, comercial instalaciones, agua, aviación y fabricación crítica sectores “.
Los ataques han utilizado correos electrónicos de “spear-phishing” que contienen archivos maliciosos de Microsoft Word contra individuos en objetivos organizaciones. Los archivos .docx se cargaron con scripts que usan un Script de Microsoft Office que intenta recuperar un archivo compartido desde un servidor a través de una solicitud de Bloque de mensajes del servidor (SMB). los solicitud, independientemente de si el archivo existe o no, podría desencadenar una solicitud de autenticación del servidor al cliente, permitiendo que el script del adjunto malicioso capture un hash del credenciales del usuario. El script también instaló la obtención de credenciales herramientas, incluidas Hydra y CrackMapExec, para intentar extraer el nombre de usuario y contraseña.
Otro tipo de ataque, utilizando algunos de los mismos enfoques, utilizado ataques de “abrevadero”: dirigidos a sitios web legítimos para ejecutar JavaScript malicioso y scripts PHP que también aprovechan SMB método de solicitud para obtener credenciales, solicitando un archivo de imagen en un sistema remoto con una URL “file: //”.
Para comprometer los sitios utilizados para organizar su abrevadero ataques, los atacantes han utilizado correos electrónicos adicionales de phishing que contienen un .pdf etiquetado como algún tipo de acuerdo de contrato. los .pdf, titulado “ document.pdf (el nombre incluye las dos marcas de acento), incluido un URL acortado que, al hacer clic, abrió una página web solicitando una dirección de correo electrónico y contraseña. El .pdf en sí no ejecutó una descarga de malware, pero la página web alcanzó a través de una larga cadena de redireccionamientos.
Una vez que las credenciales estaban disponibles, los atacantes las usaron para obtener acceso a sistemas donde no se usó la autenticación de dos factores. Ellos luego instalé un servidor Tomcat y un archivo Java Server Pages, symantec_help.jsp, junto con un script de Windows llamado enu.cmd, para darles acceso persistente a los sistemas Los archivos se almacenaron consistentemente en el directorio C: Archivos de programa (x86) \ Symantec \ Symantec Endpoint Protection Manater \ tomcat \ webapps \ ROOT. Los atacantes entonces instale shells web basados en Windows .aspx para obtener acceso remoto.
El JSP ejecuta el script, que luego intenta crear un cuenta de administrador local en el sistema y cambiar el firewall configuraciones en el sistema de destino. Archivos maliciosos de Windows .lnk vinculación a recursos remotos y cambios en el registro de Windows También se utilizaron para establecer una presencia persistente en el objetivo sistemas.
