2月15日訊 美國國土安全部(DHS)上周五悄無聲息地發布了第二份有關俄羅斯入侵的技術報告。新報告(原報告于2016年12月29日發布,私有部門的安全專家批評其缺乏可行信息)中新增了重要的技術細節。
美國國家網絡安全和通信整合中心總監約翰·費爾克表示,“2月10發布的新報告相比上一份報告改進較大。新報告包含可供網絡防御者加以利用的信息,因此,我們希望在RSA公布這份報告,RSA與會人員可以在此向我們提問。”
這份新報告名為“灰熊草原活動之加強版分析”(Enhanced Analysis of GRIZZLY STEPPE Activity),長達119頁,E安全讀者可在文末下載原文報告。DHS在報告中分析了APT28和APT29部署的黑客工具、技術和過程。據國外媒體報道,APT28和APT29均與俄羅斯聯邦安全局(FSB)和軍事情報局(GRU)存在關聯。
費爾克表示,為了發布這份加強版報告,DHS經歷了漫長的公平審查過程,該過程于上周結束,其中涉及多個美國情報機構和執法機構。
費爾克指出,在原“灰熊草原”分析報告遭受批評的當口,新版報告是在不同情報機構領導人在多機構白宮會議磋商后推遲發布。這次會議將合作簡單化,并最終決定上周五發布新報告。
費爾克表示,“我們知道IP列表(第一份報告)存在問題,因此我們加以澄清…我們一直在持續更新。報告遵循12或13個YARA規則,也解釋了可疑內容的來龍去脈,因此人們可以了解APT28和APT29如何運作,以及當APT28和APT29將該內容注入系統用作防御用途時,該內容是如何影響任務的。APT 28和29現在可能也在尋找該內容。”
DHS為網絡防御者創建的YARA規則示例
新版本主要關注APT 28和APT29的網絡“攻擊鏈”(用來廣泛描述攻擊者有目的性的已知活動,包括偵查、漏洞利用和安裝。)
Dragos威脅情報總監塞爾吉奧卡爾塔吉羅表示,“這份報告與第一份報告不同,不應被視為升級版本,而應作為聯合報告”。
專家之前就表示過,原報告包含不完整的取證數據,這就導致人們質疑報告的合法性以及DHS執行這類廣泛網絡安全審查的能力。塞爾吉奧卡爾塔吉羅表示,新報告填補了一些空白,并提供了防御建議,以專門防御這兩大APT組織。
塞爾吉奧卡爾塔吉羅指出,原始報告問題眾多,是因為該報告試圖將所有內容呈現給大家,而將地緣政治主題與技術細節混合。新版報告不存在同樣的漏洞:專門以網絡防御者為受眾,并使用行業通用的設計和語言。這份報告的質量顯然更高,潛在說明DHS從第一份報告中吸取了經驗教訓。另外,新報告不存在專橫的內容,而這在原報告中體現得淋漓盡致。
DHS負責制定兩份報告的團隊可能希望根據持續的情報行動發布第三份報告。但費爾克表示,附加資料不會很快出爐。
公開發布之前,新報告曾在歐洲盟國、多個信息共享與分析組織和中心,以及行業合作伙伴之間共享。
灰熊草原活動之加強版分析報告原文下載:http://t.cn/RJOarJ1
京公網安備 11010502049343號