2月上旬，美國國土安全部(DHS)國家網絡安全與通信整合中心(NCCIC)發布了一份新的報告，提供了額外的攻擊指標(IOC)和使用網絡殺傷鏈的分析，以檢測和緩解俄系“灰熊大草原”黑客行動。

2016年12月29日，DHS和FBI就已發布了一份初步的《聯合分析報告》（JAR)，描述這些被DHS稱為“灰熊大草原”的俄羅斯黑客，在針對美國大選的攻擊中所使用的工具和基礎設施。然而，安全專家指出，這份之前的報告，并沒有兌現其承諾。

雖然該原始報告包含了一系列IOC，有些人稱，這些IOC質量低劣，對防御者沒什么大用，而且是作為試圖將攻擊歸罪給俄羅斯的政治工具來發布的。

新報告被DHS描述為：對“灰熊大草原”黑客團伙相關成員用來滲漏系統的方法進行透徹分析的一份分析報告(AR)。該報告提供了更多的IOC細節，以及對網絡殺傷鏈各階段的相應分析，并且提出了對抗“灰熊大草原”攻擊者的具體緩解技術。

利用網絡殺傷鏈分析“灰熊大草原”

網絡殺傷鏈是洛克希德馬丁公司創建來描述攻擊各階段的一個框架。DHS分析師利用該框架，用網絡殺傷鏈中各個階段對“灰熊大草原”的活動進行了總結，包括：偵察、武器化、投放、漏洞利用、安裝、命令與控制，以及在目標上的行動。

網絡威脅殺傷鏈

該報告還提供了詳細的主機與網絡特征，幫助防御者檢測和緩解“灰熊大草原”相關活動，包括額外的YARA規則和與攻擊相關的IOC。

DHS之前曾稱，該政治性攻擊中牽涉了2個不同攻擊者，其一是2015年夏天行動的APT29，另一個則是2016年春天的APT28。前者也被昵稱為“安逸熊”或“安逸公爵”，后者花名“奇幻熊”、“兵風暴”、“鍶”、Sofacy、Sednit和“沙皇團隊”。

DHS建議：安全團隊查閱關注“灰熊大草原”的不同機構產出的多份研究報告。

“雖然DHS沒有認可任何一家公司或他們的發現，我們相信，多個來源的材料廣度，能增強對該威脅的全面理解。DHS鼓勵分析師仔細審視這些資源，以確定自身本地網絡環境對該威脅的暴露程度。”該機構說道。