De Amerikaanse overheid heeft een waarschuwing afgegeven voor aanvallen die de Russische overheid tegen overheidsinstellingen en de vitale infrastructuur in de Verenigde Staten zou uitvoeren. De aanvallers richten zich op de netwerken van kleine bedrijven en leveranciers waar de energiebedrijven en andere organisaties banden mee hebben. Zodra deze netwerken zijn gecompromitteerd wordt daarvandaan het oorspronkelijke doelwit aangevallen.
Voor het uitvoeren van hun aanvallen maken de aanvallers gebruik van allerlei tactieken, zoals het versturen van spear phishingmails vanaf gehackte e-mailaccounts, het plaatsen van kwaadaardige code op de websites van de leverancier of andere vertrouwde organisaties en het stelen van inloggegevens. De spear phishingmails bevatten bijvoorbeeld Word-documenten die automatisch inloggegevens van de gebruiker proberen te stelen door verbinding met een SMB-server te maken om daar een template te downloaden.
Zodra het slachtoffer het document opent wordt er geprobeerd om verbinding met een kwaadaardige SMB-server te maken om daar een template te downloaden. Door de gebruiker nietsvermoedend verbinding met de SMB-server te laten maken kunnen inloggegevens van zijn eigen systeem worden onderschept. Een soortgelijke techniek werd ook bij de "wateringhole-aanvallen" waargenomen. Hierbij plaatsten de aanvallers JavaScript- en PHP-bestanden op de website van de leverancier die ervoor zorgden dat er via SMB een bestandsicoon van een server van de aanvallers werd gedownload.
"In meerdere gevallen wisten de aanvallers toegang tot werkstations en servers op een bedrijfsnetwerk te krijgen dat data-uitvoer van controlesystemen van energiebedrijven bevatte", aldus de waarschuwing van de FBI en het ministerie van Binnenlandse Veiligheid. In de waarschuwing staan tal van Indicators of Compromise (IoC). Een IoC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Veel beveiligingsbedrijven en organisaties publiceren tegenwoordig IoC's waarmee beheerders hun netwerk kunnen controleren. Met het vrijgeven van de informatie willen de FBI en het ministerie netwerkverdedigers helpen bij het identificeren en voorkomen van deze aanvallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.