image

FBI publiceert informatie over Russische cyberaanvallen

vrijdag 30 december 2016, 08:32 door Redactie, 26 reacties

De FBI en het Amerikaanse ministerie van Homeland Security hebben technische informatie gepubliceerd over cyberaanvallen die volgens de Amerikaanse regering door de Russische overheid zijn uitgevoerd. Het is de eerste keer dat de FBI en Homeland Security in een gezamenlijk rapport een land als verantwoordelijke voor cyberaanvallen aanwijzen. Het gaat in dit geval om aanvallen die tegen de Democratische Partij in de VS waren gericht.

Het rapport noemt de Democratische Partij niet bij naam, maar laat wel weten dat de gestolen informatie op DCLeaks.com en WikiLeaks werd gepubliceerd. In de zomer van 2015 zou de partij al door een groep gehackt zijn met de naam APT29. In de lente van dit jaar kwam daar ook nog een groep aanvallers genaamd APT28 bij. Deze groep staat ook bekend als Pawn Storm, Sofacy en Fancy Bear. Beide aanvalsgroepen wisten systemen en accounts via gerichte phishingaanvallen over te nemen. Het ging om aanvallen waarbij geprobeerd werd om wachtwoorden te stelen en malware in te installeren.

"APT29 wist een Amerikaanse politieke partij succesvol te compromitteren. Tenminste een van de aangevallen personen opende een link naar malware of een bijlage die de malware bevatte. APT29 installeerde de malware op de systemen van de politieke partij, wist toegang te verkrijgen, verhoogde rechten, ging active directory-accounts langs en wist via verschillende versleutelde verbindingen e-mails te stelen", aldus de onderzoekers.

"In de lente van 2016 wist APT28 dezelfde politieke partij te compromitteren, wederom via gerichte phishingaanvallen. Dit keer werden de ontvangers van de phishingmails misleid om hun wachtwoord via een nep-webmaildomein op de infrastructuur van APT28 te veranderen. Via de verzamelde inloggegevens wist APT28 toegang te krijgen en content te stelen, wat waarschijnlijk leidde tot de diefstal van informatie van meerdere hooggeplaatste partijleden", laat het rapport verder weten (pdf).

In het rapport zijn verschillende 'Indicators of Compromise' (IOCs) vrijgegeven, zoals ip-adressen. De FBI roept netwerkbeheerders op om te controleren of deze ip-adressen niet in hun logbestanden voorkomen, wat zou kunnen betekenen dat de aanvallers ook in hun organisatie actief zijn geweest. Vervolgens bevat het rapport een uitgebreide lijst van best practices waarmee organisaties de beveiliging van hun systemen en netwerken kunnen aanscherpen.

Image

Reacties (26)
30-12-2016, 10:06 door Ron625
Maar de Amerikanen mogen wel de leiders van de EU afluisteren?
Iets van pot en ketel ............
30-12-2016, 10:16 door Anoniem
Maar de Amerikanen mogen wel de leiders van de EU afluisteren?
Iets van pot en ketel ............
Deze aanval werd via de media gespeeld, dat is een groot verschil. Elk land luistert af, echter is in dit geval de bulk-data naar de media doorgespeeld waardoor het de lopende verkiezingen heeft beïnvloed. Dat is dus wel een paar stappen verder dan simpelweg afluisteren; het stuurde de publieke opinie, waarbij de aanvaller de richting bepaalt door zaken al dan niet te lekken naar de media.
Blijkbaar ziet Rusland in dat dit (voor de Russische belangen) veel effectiever is dan diplomatie. Laten we vooral opletten of ze hetzelfde trucje gaan uithalen bij de Duitse verkiezingen (of zelfs de onze). De huidige 'Facebook nieuws'-generatie laat zich alles op de mouw spelden; historisch besef is uit de gratie vrees ik.
30-12-2016, 11:09 door Anoniem
Wij worden al 60 jaar bezet maar de schuld ligt echt niet bij de Amerikanen. Het is de NATO die een eigen CIA heeft en dat ga je de komende tijd wel merken
30-12-2016, 11:33 door Anoniem
De NSA heeft heel Iran gehackt en is er trots op, maar als the USA zelf de pineut is dan is de wereld te klein. Hacken toont aan dat een klein land dezelde schade zou kunnen veroorzaken als een wereldmacht als ze maar genoeg technische kennis kunnen verkrijgen. In de toekomst zal nog geregeld het licht uit gaan ergens op de wereld omdat er niet goed opgelet is, mensen dienen zich snel bewust te worden van dat ze zelf de zwakke schakeln zijn geworden in de digitale wereld...
30-12-2016, 11:34 door Anoniem
Door Ron625: Maar de Amerikanen mogen wel de leiders van de EU afluisteren?
Iets van pot en ketel ............

Weet iemand het toppunt van dit soort praktijken, het "kado" aan de russen dat jaren aan de muur hing met afluister apparatuur erin?
Hahaha wat een jankers.
Ondertussen middels project "echelon"al sinds de jaren 60 ALLE telecommunicatie op deze planeet filteren!
30-12-2016, 11:54 door Anoniem
Wat ik me afvraag is hoe de Amerikanen zo zeker weten dat de Russen achter de hacks zouden zitten?

Ik neem tenminste aan dat de Russen (gezien de gevoeligheid) daar dan wel een botnet voor zouden hebben gebruikt en niet hun Russische ip adressen. Als ze dat wel zouden hebben gedaan zou dat wel ongelofelijk dom zijn geweest. Dat is net zo dom als je paspoort aan de balie afgeven als je een bank overvalt.

Kortom ik geloof geen barst van de zogenaamde bewijs van de Amerikanen. Los daarvan, al zou het al waar zijn, dan verwijt de pot de ketel dat hij zwart ziet, want als er 1 land is dat op gigantische schaal wereldwijd alle computers, ook van gewone burgers, hackt dan is het Amerika wel. Maar dat mag natuurlijk weer wel.

En waarom wordt door Obama met geen woord gerept over alle smerigheden van Clinton en consorten die door de hacks boven water kwamen? De woede van de "democraten" over het verlies van Clinton is net zo iets als kwaad worden op de politie dat je wordt gepakt omdat je kleren onder het bloed zitten nadat je een moord hebt gepleegd.

Nee Obama gedraagt zich, samen met een hele horde zogenaamde "democraten" als jankende kleine kinderen die, hoewel zij zelf vals speelden, desondanks toch het potje knikkeren verloren. Wat een hypocriet zooitje.
30-12-2016, 12:17 door Anoniem
Weet iemand het toppunt van dit soort praktijken, het "kado" aan de russen dat jaren aan de muur hing met afluister apparatuur erin?
Dat 'cadeau' (nieuwe spelling sinds 1995) was juist van de Russen aan de Amerikanen gegeven. Get your facts right. https://decorrespondent.nl/3369/hoe-werkt-the-thing/217604259147-d26d82ec

Ik neem tenminste aan dat de Russen (gezien de gevoeligheid) daar dan wel een botnet voor zouden hebben gebruikt en niet hun Russische ip adressen. Als ze dat wel zouden hebben gedaan zou dat wel ongelofelijk dom zijn geweest. Dat is net zo dom als je paspoort aan de balie afgeven als je een bank overvalt.
Je hebt technische attributie aan de ene kant, aan de andere kant kijkt men naar wie er baat heeft bij de onstane situatie. Ook zijn de aanvalstechnieken en handelswijzen zijn vaak 'handtekeningen' van de aanvallers. Stel dat men aanval A wel weet toe te kennen aan actor X, en aanval B volgt vrijwel hetzelfde patroon, dan is dat één van de aanwijzingen die in de richting van actor X wijzen.

Kortom ik geloof geen barst van de zogenaamde bewijs van de Amerikanen. Los daarvan, al zou het al waar zijn, dan verwijt de pot de ketel dat hij zwart ziet, want als er 1 land is dat op gigantische schaal wereldwijd alle computers, ook van gewone burgers, hackt dan is het Amerika wel. Maar dat mag natuurlijk weer wel.
Dat zijn twee volledig losstaande zaken. Als ik jou lelijk vind en jij reageert daarop dat ik ook enorm lelijk ben, dan verandert dat toch niks aan het feit dat ik jou lelijk vind? Dat maakt mijn argument toch niet meteen ongeldig?
30-12-2016, 12:48 door Anoniem
Door Anoniem: Wat ik me afvraag is hoe de Amerikanen zo zeker weten dat de Russen achter de hacks zouden zitten?
--> DFIR

Ik neem...
--> TL;DR
30-12-2016, 12:50 door Anoniem
"In het rapport zijn verschillende 'Indicators of Compromise' (IOCs) vrijgegeven, zoals ip-adressen."
In dat pdf rapport staat geen enkel IP adres.
30-12-2016, 12:51 door Anoniem
@ Anoniem 11:54:

Je begint mooi met een vraag en eindigt met dat de democraten "een hypocriet zooitje zijn"

Echter alles wat je invult zijn aannames. Je maakt je eigen conclusies gestoeld op aannames.

Nu is het zo dat wij ("het klootjesvolk") nooit alle gegevens te zien zullen krijgen. Het enige wat dit soort berichten bereiken is dat men nog meer vragen heeft waar men niet het antwoord voor kan vinden daar de benodigde informatie voor ontbreekt.

Het enge is dat mensen zoals jij een mening vormen / conclusies trekken op incomplete informatie en daarnaar gaat handelen.
Dat is precies een voorbeeld van de zogenaamde informatie tijdperk waar wij nu in leven. Echter het is meer een desinformatie tijdperk daar de daadwerkelijke informatie vaak ontbreekt of 'gespind' wordt om er een draai aan te gegeven.

Objectiviteit is een "ondergestoft" woord geworden welke we nog alleen in een oude papieren woordenboek terug kunnen vinden.

Ben benieuwd wat 3 januari weer zal opleveren...
30-12-2016, 12:53 door Anoniem
Beide aanvalsgroepen wisten systemen en accounts via gerichte phishingaanvallen over te nemen. Het ging om aanvallen waarbij geprobeerd werd om wachtwoorden te stelen
Dat is toch geen hacken, ik geloof dit verhaal niet.
30-12-2016, 13:33 door Anoniem
Ik lees alleen: hack via spearphishing, eerder is er spearphishing gedaan door Russen, dus de Russen hebben het gedaan. Geen feitelijk bewijs. Of mis ik iets? Iedere handige puitsenpuber kan spearphishing uitvoeren....
30-12-2016, 13:55 door Anoniem
Door Anoniem: Wat ik me afvraag is hoe de Amerikanen zo zeker weten dat de Russen achter de hacks zouden zitten?

Dat weten ze niet, maar ze hoopten erop dat het patriotisme sentiment van de Amerikanen zou inkicken en de afgelopen 60 jaar koude oorlog hersenspoelingen van 'commies are bad.. they will kill you in the night if you don't build a prepper shelter'... in de hoop dat de democraten nogmaals herkozen werden...

Nu zijn de democraten gewoon bad loosers..
30-12-2016, 13:56 door Anoniem
Following the release of an FBI report outlining Russia’s alleged role in hacking the 2016 election, Larry King sat down to talk with tech pioneer John McAfee to discuss the current state of cybersecurity.

McAfee is no stranger to cybersecurity. As the developer of the first commercial antivirus program, he has been a major player in the industry for the past 50 years. He is also the CEO of MGT Capital Investments, and an outspoken former presidential candidate for the Libertarian Party.

Based on all of his experience, McAfee does not believe that Russians were behind the hacks on the Democratic National Committee (DNC), John Podesta’s emails, and the Hillary Clinton presidential campaign. As he told RT, “if it looks like the Russians did it, then I can guarantee you it was not the Russians.”

The Joint Analysis Report from the FBI contains an appendix that lists hundreds of IP addresses that were supposedly “used by Russian civilian and military intelligence services.” While some of those IP addresses are from Russia, the majority are from all over the world, which means that the hackers constantly faked their location.

Report on #Russianhacking offers disclaimers, barely mentions Russia https://t.co/TI21yNa0Wdpic.twitter.com/zv2hZcEhqj
— RT America (@RT_America) 29 ??????? 2016 ?.

McAfee argues that the report is a “fallacy,” explaining that hackers can fake their location, their language, and any markers that could lead back to them. Any hacker who had the skills to hack into the DNC would also be able to hide their tracks, he said

“If I was the Chinese and I wanted to make it look like the Russians did it, I would use Russian language within the code, I would use Russian techniques of breaking into the organization,” McAfee said, adding that, in the end, “there simply is no way to assign a source for any attack.”

However, McAfee does see a problem with the National Security Agency (NSA) being able to listen in on every conversation and read every text message and email of every American. Rather than focusing on disrupting the bad guys in foreign countries, McAfee thinks that “all of that effort has been placed on a country that is afraid of its own citizens.”

He claims that the only way he has been able to fully block the NSA from infecting his phone with spyware is by using a flip-phone too old to be hacked. He even goes as far as to call the iPhone the “ultimate spy device.”

As for the future, McAfee’s biggest fear is that the role of the NSA will change under a President Donald Trump.

“Donald Trump wants the DOJ to head a national task force of law enforcement agencies to create our cybersecurity,” he says.

McAfee predicts that if President-elect Trump follows through with that intention, the FBI will end up heading the NSA, as they are the lead technologists within the DOJ.

McAfee thinks that idea is a recipe for disaster, warning “we don’t need one more attacker, that attacker being our own government.”
30-12-2016, 14:44 door Anoniem
Waarom gaat er tot nu toe niemand inhoudelijk in op de technische kant van deze zaak?
30-12-2016, 14:56 door Briolet
De link in het artikel is niet de handigste omdat er verwezen wordt naar de bijbehorende files. Vanaf de hoofdpagina zijn die files met IP adressen die voor deze acties gebruikt zijn etc wel te downloaden.

https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity

Dan kun je in je eigen log kijken of jouw bedrijf ook bezoek gehad heeft.
30-12-2016, 15:08 door Anoniem
Door Anoniem:
Weet iemand het toppunt van dit soort praktijken, het "kado" aan de russen dat jaren aan de muur hing met afluister apparatuur erin?

Of de Copiers die Xerox aan de sovjets leverde
30-12-2016, 15:22 door Anoniem
Hier wordt over in Nederland geregistreerde servers in Rotterdam, Naaldwijk en meerdere in Amsterdam gesproken:
http://www.ad.nl/digitaal/cyberaanvallen-op-vs-via-nederlandse-servers~a393bfe6/

Wie de huurders zijn, is niet bekend gemaakt.

Misschien gewoon Russian Business Network aka 'Kriminal'naya Rossiya',
die zitten op servertjes over de hele wereld.

Nieuws of nep-nieuws of louter propaganda?

Na 20 januari volgend jaar weten we waarschijnlijk meer ;)
30-12-2016, 17:03 door karma4
Weinig veranderd in al die jaren. Maar waarom moet het met electronica als het ook zonder kan?
De klassieker https://en.wikipedia.org/wiki/The_Thing_(listening_device)
Als je de ene helft van de bevolking bang maakt voor de andere is het voor de machtshebber ook gunstig.
30-12-2016, 18:12 door Anoniem
Door Anoniem: Wat ik me afvraag is hoe de Amerikanen zo zeker weten dat de Russen achter de hacks zouden zitten?

Ik neem tenminste aan dat de Russen (gezien de gevoeligheid) daar dan wel een botnet voor zouden hebben gebruikt en niet hun Russische ip adressen. Als ze dat wel zouden hebben gedaan zou dat wel ongelofelijk dom zijn geweest. Dat is net zo dom als je paspoort aan de balie afgeven als je een bank overvalt.

Kortom ik geloof geen barst van de zogenaamde bewijs van de Amerikanen. Los daarvan, al zou het al waar zijn, dan verwijt de pot de ketel dat hij zwart ziet, want als er 1 land is dat op gigantische schaal wereldwijd alle computers, ook van gewone burgers, hackt dan is het Amerika wel. Maar dat mag natuurlijk weer wel.

En waarom wordt door Obama met geen woord gerept over alle smerigheden van Clinton en consorten die door de hacks boven water kwamen? De woede van de "democraten" over het verlies van Clinton is net zo iets als kwaad worden op de politie dat je wordt gepakt omdat je kleren onder het bloed zitten nadat je een moord hebt gepleegd.

Nee Obama gedraagt zich, samen met een hele horde zogenaamde "democraten" als jankende kleine kinderen die, hoewel zij zelf vals speelden, desondanks toch het potje knikkeren verloren. Wat een hypocriet zooitje.

De DNC hack is vrijwel 100% zeker door Russische hackers gedaan. Ik begrijp dat je graag bewijs ziet, maar bewijs kan niet zomaar openbaar gemaakt worden. je zou daarmee je informatiepositie laten zien.

Ik denk dat we blij mogen zijn dat Obama eindelijk een tegenmaatregel neemt. Amerika is niet het enige doelwit. Eerder dit jaar werd de partij van Erdogan aangevallen en het CDU van Merkel (door dezelfde actoren). Ook Nederland was een doelwit in 2015: de onderzoeksraad. Het dus tamelijk naief te zeggen dat Obama zich hier als een klein kind gedraagt. Zijn acties zijn wellicht riskant, maar er moest wel iets gebeuren om de Russen te stoppen.
30-12-2016, 18:50 door Anoniem
Door Anoniem: (...)
“If I was the Chinese and I wanted to make it look like the Russians did it, I would use Russian language within the code, I would use Russian techniques of breaking into the organization,” McAfee said, adding that, in the end, “there simply is no way to assign a source for any attack.”
(...)

Dat is wel erg kort door de bocht. Beide partijen werken bijvoorbeeld ook met menselijke bronnen (HUMINT).
30-12-2016, 21:42 door Anoniem
Door Anoniem: Hier wordt over in Nederland geregistreerde servers in Rotterdam, Naaldwijk en meerdere in Amsterdam gesproken:
http://www.ad.nl/digitaal/cyberaanvallen-op-vs-via-nederlandse-servers~a393bfe6/

Wie de huurders zijn, is niet bekend gemaakt.

Misschien gewoon Russian Business Network aka 'Kriminal'naya Rossiya', die zitten op servertjes over de hele wereld.
De FBI heeft zelfs tor exit nodes op de lijst gezet. Waarschijnlijk heeft de FBI van alle kanten waar ze een aanval van hebben gezien het ip adres opgezocht en op die lijst gezet. Domeinnamen zijn bijna overal weggelaten of weggehaald. Bij veel ip adressen valt niet te zeggen of het gehuurd is of dat de hackers systemen van anderen gebruikt hebben als proxy, mailserver, phishing url of locatie voor malware. En omdat er ook geen tijdstippen bij staan of reden wat zo speciaal aan de adressen is heb je eigenlijk alleen een lijstje verdachte adressen. Zie he het al voor je bij het AD: cso komt bij de board met een rapport dat de russen waarschijnlijk het AD vanuit Nederland hebben aangevallen, of dat de website van het AD vanuit een Amsterdams datacentre bezocht is via tor. En het is natuurlijk ook verdacht dat iemand van het AD maanden eerder een ip van een datacentre in Amsterdam bezocht heeft voor het bekijken van een gewonen website of misschien contact heeft met de russen. Snel meteen de politie of geheime diensten inschakelen. Het is overigens ook niet de eerste keer dat Duitsland, Belgie, USA, Frankrijk, China enz op lijsten voorkomen waar datacentres zijn gebruikt voor aanvallen. Je kan de lijstjes en het nieuws zo mooi maken als je wil met deze vaagheid.
31-12-2016, 00:05 door Anoniem
ja ik heb bewijs maar ik kan het niet laten zien = geen bewijs
verder is het bewijs wat naar buiten komt flinterdun.

sterker nog, nos scandeert dat het een publiciteitsstunt is van putin.
"nu is hij de good guy, vergevingsgezind"..
tja, om een analogie te nemen...
de democraten reden in een gestolen auto te snel en door rood en gaan janken dat ze 1 bekeuring krijgen...
31-12-2016, 01:51 door Anoniem
Door Anoniem: De DNC hack is vrijwel 100% zeker door Russische hackers gedaan. Ik begrijp dat je graag bewijs ziet, maar bewijs kan niet zomaar openbaar gemaakt worden. je zou daarmee je informatiepositie laten zien.

Ik denk dat we blij mogen zijn dat Obama eindelijk een tegenmaatregel neemt. Amerika is niet het enige doelwit. Eerder dit jaar werd de partij van Erdogan aangevallen en het CDU van Merkel (door dezelfde actoren). Ook Nederland was een doelwit in 2015: de onderzoeksraad. Het dus tamelijk naief te zeggen dat Obama zich hier als een klein kind gedraagt. Zijn acties zijn wellicht riskant, maar er moest wel iets gebeuren om de Russen te stoppen.

ach het is tegenwoordig mode om de US te bashen.

Rusland China en ook de US zullen ongetwijfeld cyberoorlog voeren. Inmenging op cyberniveau bij verkiezingen ? .. dat is iets andere koek wat mij betreft.
31-12-2016, 08:26 door Anoniem
DNC hack is vrijwel 100% zeker door Russische hackers gedaan. Ik begrijp dat je graag bewijs ziet, maar bewijs kan niet zomaar openbaar gemaakt worden. je zou daarmee je informatiepositie laten zien.
Ja ik geloof je op je blauwe ogen net zoals die Oorlog in Irak verantwoordt werd met dat sadam chemische wapens had.
Geen aantoonbaar bewijs betekent onschuldig.
31-12-2016, 15:20 door Anoniem
Door Anoniem:
DNC hack is vrijwel 100% zeker door Russische hackers gedaan. Ik begrijp dat je graag bewijs ziet, maar bewijs kan niet zomaar openbaar gemaakt worden. je zou daarmee je informatiepositie laten zien.
Ja ik geloof je op je blauwe ogen net zoals die Oorlog in Irak verantwoordt werd met dat sadam chemische wapens had.
Geen aantoonbaar bewijs betekent onschuldig.

Uiteraard hoef je me niet te geloven. De vergelijking met Irak gaat niet op, de situatie is geheel anders. Juridisch houdbaar bewijs zal waarschijnlijk nooit gegeven worden aan een algemeen publiek. Meestal wordt bijvoorbeeld een parlementaire commissie in vertrouwen genomen en zij krijgen meer details. Vervolgens kan die commissie dan democratische controle uitvoeren. Het gaat hier om ernstige spionage incidenten. Behalve de Amerikaanse autoriteiten hebben verschillende security bedrijven stellig en wat minder stellig naar Rusland gewezen. Oa deze bedrijven:

FireEye
CrowdStrike
Dell Secureworks
Trend Micro
ESET

Op een gegeven moment moet je denk ik autoriteiten op dit gebied geloven. Je kunt kritisch blijven en niks voor waar aannemen, maar ik denk dat je je dan zelf voor de gek houdt.

De DNC hack is slechts 1 van de incidenten in een enorm lange lijst. En zoals hierboven al aangegeven: Nederland is ook een doelwit van dezelfde hackers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.