Så genomför rysk underrättelsetjänst cyberattacker
Amerikanska FBI har tillsammans med DHS släppt en publikation om hur IT-system kan skyddas mot cyberattacker från Ryska federationens underrättelsetjänst (SVR).
Rapporten tar upp den skadliga koden WELLMESS som använts för att stjäla information från företag som har med COVID-19 att göra. Bakom WellMess står grupperingen Blue Kitsune som även går under APT 29, Cozy Bear, Yttrium eller the Dukes som attribueras till rysk underrättelsetjänst.
Även påpekar man i rapporten att APT29 sedan 2018 fokuserar på att lågintensivt testa lösenord och angripa Office 365. Även tar man upp CVE-2019-19781 som då var en zero-day sårbarhet i Citrix NetScaler som använts för att ta sig in i nätverk.
Också intressant är att man nämner SolarWinds och hur modus operandi efterliknar SVR. Bland annat följande:
The FBI suspects the actors monitored IT staff to collect useful information about the victim networks, determine if victims had detected the intrusions, and evade eviction actions.
Några av tipsen från DHS och FBI lyder enligt följande:
- Granskning av loggfiler för att identifiera försök att få tillgång till certifikat och skapa falska identifieringsleverantörer.
- Använd programvara för att identifiera misstänkt beteende på system, inklusive körning av kodad PowerShell.
- Implementera klientmjukvara med möjlighet att övervaka beteendemässiga indikatorer på intrång.
- Försök att identifiera autentiseringsmissbruk inom molnmiljöer.
- Konfigurera autentiseringsmekanismer för att bekräfta vissa användaraktiviteter på system, inklusive registrering av nya enheter.
Intressant också att man nämner zero-trust och loggkorrelation som åtgärder som kan försvåra för ryska cyberangripare.
Rapporten går att ladda hem här i sin helhet (pdf):