دي إتش إس تحذر من اختراق روسيا الجديدة كعقوبات أمريكية روسيا بشأن تدخل الانتخابات

وزير الخزانة ستيف منوشين يرى ما فعلته هناك ، روسيا.تكبير / وزير الخزانة ستيف منوشين يرى ما الذي فعلته هناك ، صور روسيا

أعلنت وزارة الخزانة عن عقوبات اقتصادية جديدة اليوم على الاتحاد الروسي وعلى الأفراد و المنظمات المتورطة في التدخل في 2016 الولايات المتحدة انتخابات رئاسية – تمامًا مثل وزارة الأمن الداخلي أصدرت تحذيرا جديدا من جديد “النشاط السيبراني الحكومة الروسية” تهدف إلى حكومة الولايات المتحدة والبنية التحتية الحيوية في الولايات المتحدة مقدمي الخدمات.

يتم تنفيذ العقوبات كجزء من تعديل على الأمر التنفيذي الذي وقعه الرئيس باراك أوباما في عام 2015 فرضت إدارة ترامب العقوبات الجديدة – الأولى فرضت الإدارة بموجب “مواجهة أمريكا” قانون الخصوم من خلال العقوبات (CAATSA) ، الذي تم تمريره من قبل الكونغرس العام الماضي – بعد شهر من إلقاء اللوم على الروس رسمياً الاستخبارات لدودة NotPetya.

أعلن وزير الخزانة ستيفن منوشين العقوبات ، موضحا أن “الإدارة تواجه وتواجه النشاط السيبراني الروسي الخبيث ، بما في ذلك محاولاتهم التدخل في الانتخابات الأمريكية ، والهجمات الإلكترونية المدمرة ، و تدخلات تستهدف البنية التحتية الحيوية. “العقوبات الجديدة ، وقال ، هي جزء من “جهد أوسع لمعالجة الجارية الهجمات الشائنة الصادرة من روسيا. وزارة الخزانة تعتزم فرض عقوبات CAATSA إضافية ، أبلغت من قبل المخابرات لدينا المجتمع ، لعقد مسؤولي الحكومة الروسية والقلة مسؤولة عن أنشطتها المزعزعة للاستقرار بقطعها الوصول إلى النظام المالي الأمريكي. ”

تدخل الانتخابات ، وهجوم NotPetya ، و كان الهجوم الأعصاب ضد جاسوس روسي سابق في بريطانيا استشهد كأسباب العقوبات الجديدة ، إلى جانب روسيا الإجراءات في القرم وأوكرانيا. العقوبات الجديدة تهدف إلى مسؤولون في وكالة الاستخبارات الروسية GRU ، وكذلك في الناس والمنظمات التي اتهمها المحامي الخاص روبرت مولر التحقيق: وكالة أبحاث الإنترنت (الجيش الجمهوري الايرلندي) ، كونكورد الإدارة والاستشارات ، كونكورد للتموين ، وصاحبها يفغيني بريغوزين – الرجل المعروف باسم “شيف بوتين” – يبلغ 12 عامًا الأفراد الآخرين مرتبطة الجيش الجمهوري الايرلندي.

وفي الوقت نفسه ، فإن مكتب التحقيقات الفيدرالي ووزارة الأمن القومي لديها حددت على نطاق واسع “حملة اقتحام متعددة المراحل ،” كما DHS وأشار المسؤولون في حالة تأهب فنية نشرت اليوم. الحملة وقد نشط منذ “على الأقل مارس 2016” ، لاحظ التقرير ، استهداف “الكيانات الحكومية ومتعددة الولايات المتحدة الحرجة قطاعات البنية التحتية ، بما في ذلك الطاقة ، النووية ، التجارية المرافق والمياه والطيران والتصنيع الحرج القطاعات “.

استخدمت الهجمات رسائل بريد إلكتروني تحتوي على “تصيد رمح” ملفات Microsoft Word الضارة ضد الأفراد المستهدفين المنظمات. تم تحميل ملفات. docx مع البرامج النصية التي تستخدم برنامج Microsoft Office النصي الذي يحاول استرداد ملف مشترك من خادم عبر طلب Server Message Block (SMB). ال طلب ، بغض النظر عما إذا كان الملف موجودًا أم لا ، يمكن تشغيل طلب مصادقة من الخادم إلى العميل ، السماح النصي المرفق الخبيثة لالتقاط تجزئة من بيانات اعتماد المستخدم. قام البرنامج النصي أيضًا بتثبيت حصاد بيانات الاعتماد أدوات ، بما في ذلك Hydra و CrackMapExec ، لمحاولة استخراج اسم المستخدم و كلمة السر.

نوع آخر من الهجوم ، باستخدام بعض من نفس النهج ، المستخدمة هجمات “فتحة الري” —تستهدف مواقع الويب الشرعية للتنفيذ جافا سكريبت والبرامج النصية PHP الخبيثة التي تستفيد أيضا من الشركات الصغيرة والمتوسطة طلب طريقة للحصول على بيانات الاعتماد ، طلب ملف صورة على نظام بعيد مع “ملف: //” URL.

للتسوية على المواقع المستخدمة لتنظيم حفرة سقي بهم الهجمات ، وقد استخدم المهاجمون رسائل البريد الإلكتروني التصيد الرمح إضافية التي تحتوي على .pdf المسمى كنوع من اتفاقية العقد. ال .pdf ، بعنوان “ document.pdf (يتضمن الاسم علامتا التمييز) ، متضمنة عنوان URL مختصرة ، عند النقر فوقه ، فتح صفحة ويب تطلب عنوان بريد إلكتروني وكلمة مرور. قوات الدفاع الشعبي في حد ذاته لم ينفذ تنزيل برامج ضارة ، ولكن تم الوصول إلى صفحة الويب من خلال سلسلة طويلة من عمليات إعادة التوجيه – فعلت.

مرة واحدة كانت أوراق الاعتماد في متناول اليد ، استخدمها المهاجمون لكسب الوصول إلى الأنظمة التي لم يتم استخدام المصادقة الثنائية. هم ثم تثبيت خادم Tomcat وملف Java Server Pages ، symantec_help.jsp ، جنبًا إلى جنب مع برنامج نصي Windows اسمه enu.cmd ، لمنحهم الوصول المستمر إلى النظم. تم تخزين الملفات باستمرار في الدليل جيم: ملفات البرنامج (x86) \ Symantec \ Symantec Endpoint Protection Manater \ هر \ webapps \ ROOT. فإن المهاجمين ثم تثبيت قذائف الويب المستندة إلى Windows .aspx للحصول على الوصول عن بعد.

ينفذ JSP البرنامج النصي ، الذي يحاول إنشاء ملف حساب المسؤول المحلي على النظام وتغيير جدار الحماية الإعدادات على النظام المستهدف. ملفات .lnk الخبيثة في Windows ربط الموارد البعيدة والتغييرات في سجل ويندوز كانت تستخدم أيضا لإقامة وجود مستمر على المستهدفة الأنظمة.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: