DNC принял меры предосторожности, которые, по их мнению, соответствовали уровню риска. А другие смотрели с большим интересом. В октябре 2015 года InfoSec Institute, учебный центр по информационной безопасности, провел защитный взлом, известный как расширенное проникновение. Хакеры White Hat из компаний, занимающихся ИТ-безопасностью, выполнили эти защитные взломы, чтобы протестировать периметр защитных стен сети и выявить дыры в системе безопасности. Такие тесты иногда выявляют незначительные уязвимости, но в большинстве случаев эти тесты выявляют настолько обширные дыры, что трейлер кибер-трактора может пройти через них без всякой возможности обнаружения.

Важно выявлять и обмениваться информацией об угрозах по мере их появления и в настоящее время. Существуют также способы определения местоположения злоумышленников путем изучения доступных метаданных, обнаруженных в захваченных файлах, путем доступа к серверам C2 (командно-административный) и путем определения того, где данные маршрутизируются или извлекаются, путем изучения временных меток в метаданных. для определения времени сборки, а также путем изучения развертывания файлов и регулярных проверок, проводимых злоумышленниками. IP-адреса, обнаруженные на серверах C2, места, где файлы извлекаются для операций, и информация IP в электронных письмах могут помочь определить источник атаки.

Тесты InfoSec Institute показали, что серверы DNC имеют серьезные недостатки в безопасности, настраивая себя для взлома точно так же, как китайцы использовали кампании Обамы и Маккейна в 2008 году. Лучшей защитой от этих угроз является регулярное обновление безопасности на стороне клиента, поэтому разработчики могли оставаться в курсе последних эксплойтов и уязвимостей 0day. Иногда все эти усилия можно упустить из виду, не разделить или просто потерять. Вот как взломали DNC: сумма усилий по обмену информацией, сравнению и подготовке была похожа на небольшой ливень, и КИБЕР-МЕДВЕДЯМ удалось танцевать между каплями дождя.

Медведи приходят

В апреле 2016 года генеральный директор DNC Эми Дейси связалась с юристом DNC Майклом Сассманом. Дейси позвонил ему, чтобы сообщить, что ИТ-отдел DNC заметил странное поведение в их системе. Суссман был партнером Perkins Coie, фирмы, занимающейся киберпреступлениями. Сассман связался с Шоном Генри, президентом компании CrowdStrike, занимающейся кибербезопасностью, чтобы провести оценку и определить, было ли нарушение и насколько глубоко оно зашло.4 CrowdStrike обнаружил, что компьютеры DNC были взломаны и что данные об участниках, исследованиях оппозиции по кандидатам и были украдены даже ежедневные внутренние чаты и электронная почта. Вся система была профессионально скомпрометирована.

По оценке CrowdStrike, CrowdStrike взломал систему в 2015 году и собирал данные в течение года. Затем они обнаружили, что вторая группа, FANCY BEAR, взломала сервер в апреле 2016 года. Им удалось проникнуть через целевой фишинг, технику отправки ложного электронного письма жертве, которая впоследствии нажимала на ссылку в письме. подключение их к серверу хакера. В этом случае одна из целевых фишинговых атак использовала мошеннический сайт с намеренно неправильным написанием URL «misdepatrment.com». Линия должна была соединить цель с отделом ИСУ. Вместо этого пользователь отправлялся на идентичный, но поддельный сайт под названием wateringhole, который загружал на компьютер жертвы набор вредоносных программ. Вредоносная программа содержала дополнительные модули для широкого распространения компьютерного вируса по серверам DNC.

CrowdStrike обнаружил, что COZY BEAR использовал набор вредоносных программ, идентифицированный как «SeaDuke» (также называемый «SeaDaddy»), модуль бэкдора, который был установлен в файле «pagemgr.exe». 5 F-Secure отметила, что SeaDuke был написан на язык программирования Python, который означал, что CZY BEAR знал, что операционная система может быть основана на Linux.

Чтобы обойти системы безопасности, злоумышленники обновят свои модули или расположение своих серверов C2. В отчете говорится, что второй атакующей группой была APT28, FANCY BEAR. Он использовал модуль под названием «X-Agent», чтобы он мог отправлять удаленные команды, отслеживать каждое нажатие клавиши с помощью кейлоггера и передавать файлы через сервер C2. Группа также использовала вредоносное ПО «X-Tunnel», чтобы дать им возможность отправлять еще более удаленные команды на серверы. Для X-Tunnel было установлено значение 45.32.129.185, что свидетельствует о том, что он был создан специально для этого взлома, что дает ему возможность извлекать пароли и создавать свою собственную зашифрованную частную сеть для скрытой работы.

Несколько фирм по кибербезопасности изучили метаданные, связанные с инфекциями ATP28 FANCY BEAR. Они почти единогласно обнаружили, что несколько комбинаций факторов связывают эту группу с большой группой аналогичных инфекций с 2007 года. В частности, Интернет-протокол или IP-адрес, например 176.31.112.10, используемый для его командно-контрольного сервера (C2). , неоднократно встречается в других кампаниях по кибервойне6. Этот IP-адрес был связан с взломами в Бундестаге Германии, DNC и DCCC. Кроме того, оба IP-адреса связаны с атаками watering hole и серверами C2 на взломах DNC и DCCC, раскрывая их прошлые связи. Другой ключевой показатель - часовой пояс, связанный с компиляцией вредоносного ПО. Российские злоумышленники, такие как APT28, чаще всего работают в часовом поясе UTC + 4. При сборе данных о взломе несколько фирм отметили, что операционная система, используемая для разработки вредоносного ПО, на некоторых этапах разработки была настроена на кириллицу, русский язык, но не во всех.