De FBI en het Amerikaanse ministerie van Homeland Security hebben technische informatie gepubliceerd over cyberaanvallen die volgens de Amerikaanse regering door de Russische overheid zijn uitgevoerd. Het is de eerste keer dat de FBI en Homeland Security in een gezamenlijk rapport een land als verantwoordelijke voor cyberaanvallen aanwijzen. Het gaat in dit geval om aanvallen die tegen de Democratische Partij in de VS waren gericht.
Het rapport noemt de Democratische Partij niet bij naam, maar laat wel weten dat de gestolen informatie op DCLeaks.com en WikiLeaks werd gepubliceerd. In de zomer van 2015 zou de partij al door een groep gehackt zijn met de naam APT29. In de lente van dit jaar kwam daar ook nog een groep aanvallers genaamd APT28 bij. Deze groep staat ook bekend als Pawn Storm, Sofacy en Fancy Bear. Beide aanvalsgroepen wisten systemen en accounts via gerichte phishingaanvallen over te nemen. Het ging om aanvallen waarbij geprobeerd werd om wachtwoorden te stelen en malware in te installeren.
"APT29 wist een Amerikaanse politieke partij succesvol te compromitteren. Tenminste een van de aangevallen personen opende een link naar malware of een bijlage die de malware bevatte. APT29 installeerde de malware op de systemen van de politieke partij, wist toegang te verkrijgen, verhoogde rechten, ging active directory-accounts langs en wist via verschillende versleutelde verbindingen e-mails te stelen", aldus de onderzoekers.
"In de lente van 2016 wist APT28 dezelfde politieke partij te compromitteren, wederom via gerichte phishingaanvallen. Dit keer werden de ontvangers van de phishingmails misleid om hun wachtwoord via een nep-webmaildomein op de infrastructuur van APT28 te veranderen. Via de verzamelde inloggegevens wist APT28 toegang te krijgen en content te stelen, wat waarschijnlijk leidde tot de diefstal van informatie van meerdere hooggeplaatste partijleden", laat het rapport verder weten (pdf).
In het rapport zijn verschillende 'Indicators of Compromise' (IOCs) vrijgegeven, zoals ip-adressen. De FBI roept netwerkbeheerders op om te controleren of deze ip-adressen niet in hun logbestanden voorkomen, wat zou kunnen betekenen dat de aanvallers ook in hun organisatie actief zijn geweest. Vervolgens bevat het rapport een uitgebreide lijst van best practices waarmee organisaties de beveiliging van hun systemen en netwerken kunnen aanscherpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.