US Cyber Command (US Cyber Command)
mengumumkan inisiatif yang tidak biasa. Ia berjanji untuk secara teratur mengunggah sampel "malware yang tidak diklasifikasikan" ke basis data VirusTotal.
Mudah ditebak bahwa kita berbicara tentang senjata cyber yang digunakan oleh badan intelijen asing dalam operasi saat ini (unit intelijen cyber beroperasi di semua negara dengan layanan intelijen yang dikembangkan, termasuk di Rusia). Dengan kata lain, intelijen AS akan menempatkan alat musuh di depan umum. Setelah munculnya VirusTotal di database publik, alat ini akan jatuh ke semua database anti-virus dan, pada dasarnya, akan menjadi tidak efektif.
"Ini mirip dengan contoh strategi baru AS yang ditujukan untuk secara aktif mengejar aktor negara asing. Dengan menerbitkan malware, AS memaksa mereka untuk terus-menerus menemukan dan mengeksploitasi kerentanan baru, ”
komentar pakar keamanan dan kriptografi terkenal Bruce Schneier.
Komando Dunia Maya AS akan bertindak seluas mungkin untuk umum, menginformasikan secara luas kepada publik tentang malware lawan. Akun twitter
Malware Alert USCYBERCOM Alert baru telah dibuka khusus untuk pesan tentang sampel malware baru yang telah dikirim ke basis data VirusTotal.
Hingga saat ini, dua sampel telah dikirim ke sana.
Tentu saja, layanan khusus mendeklasifikasi alat musuh hanya setelah mereka tidak lagi tertarik untuk menjaga kerahasiaan mereka, yaitu, setelah tindakan kontra intelijen yang tepat telah diambil dan informasi telah dikumpulkan tentang aktor asing, tujuan mereka, metode kerja, dll. Setelah itu, alat asing dideklasifikasi dan digabungkan ke dalam basis data VirusTotal.
Gambar pertama dari program tersebut diterbitkan oleh Cyber National Mission Force (CNMF), yang berada di bawah Komando Cyber AS. Sangat menarik bahwa pembukaan akun twitter dan publikasi sampel tidak disertai dengan pengumuman biasa inisiatif baru untuk lembaga negara, publikasi ThreatPost, yang mengkhususkan diri dalam keamanan informasi,
catatan . Ini dilakukan tanpa peringatan.
"Menyadari nilai kolaborasi dengan sektor publik, CNMF telah memprakarsai upaya untuk berbagi sampel malware yang tidak diklasifikasikan, yang kami percaya akan memiliki dampak terbesar pada peningkatan keamanan siber global," kata
pernyataan singkat
dari CNMF.
Dua sampel pertama yang dideklasifikasi adalah file
rpcnetp.dll dan
rpcnetp.exe . Dropper ini juga digunakan untuk pintu belakang kelompok peretas
Computrace APT28 / Fancy Bear , yang terkait dengan eksekusi pesanan untuk Federasi Rusia.
“Pasangan sampel tertentu, Computrace / LoJack / Lojax, sebenarnya adalah versi trojanized dari perangkat lunak LoJack legal dari perusahaan yang dulu bernama Computrace (sekarang disebut Absolute). Versi Trojan dari perangkat lunak LoJack yang sah disebut LoJax atau DoubleAgent, ”kata juru bicara badan intelijen AS.
Pelepasan sampel semacam itu adalah langkah berani bagi Kementerian Pertahanan, yang telah merahasiakan aktivitas cyber dan pengetahuannya sejak lama,
komentar seorang pakar independen, direktur cybersecurity di Carbon Black: “Ini adalah langkah besar ke depan bagi komunitas cybersecurity. Ini memungkinkan komunitas keamanan siber untuk memobilisasi dan merespons ancaman secara real time, dengan demikian membantu pemerintah melindungi dan memastikan keamanan ruang siber Amerika. ”
John Hultqvist, direktur analisis intelijen di FireEye, mencatat bahwa malware terdeteksi "dalam ruang hampa," tanpa menyebutkan operasi intelijen musuh tertentu atau operasi kontra intelijen: "Tidak diragukan lagi, wahyu ini akan terus memiliki strategi, karena pengungkapan selalu memiliki konsekuensi untuk operasi intelijen, tetapi kesederhanaannya dapat memungkinkan tindakan lebih sederhana dan lebih cepat yang telah diperjuangkan oleh pemerintah secara historis, ”kata Hultqvist. Meskipun pada kenyataannya kurangnya konteks dapat mengurangi efektivitas langkah-langkah perlindungan, karena untuk membangun pertahanan yang dapat diandalkan, perlu untuk memahami dengan jelas bagaimana dan untuk apa musuh menggunakan alat-alat ini.