美国网络司令部(US Cyber Command)
宣布了一项不寻常的倡议。 它承诺会定期将“解密的恶意软件”样本上传到VirusTotal数据库。
不难猜测,我们所说的是外国情报部门在当前行动中使用的网络武器(网络情报部门在所有拥有发达情报服务的国家(包括俄罗斯)开展活动)。 换句话说,美国情报部门将把敌人的工具公开展示。 在公共数据库中出现VirusTotal之后,这些工具将落入所有防病毒数据库,并且实质上将失效。
“这类似于旨在积极追捕外国国家行为者的美国新战略的一个例子。 通过发布恶意软件,美国迫使他们不断发现和利用新漏洞,”著名的安全专家和密码学家布鲁斯·施耐尔(Bruce Schneier)
评论道 。
美国网络司令部将尽可能公开地行动,向公众广泛宣传对手的恶意软件。 已开设一个新的
USCYBERCOM Malware Alert Twitter帐户,专门用于发送有关新恶意软件样本的消息,这些消息已发送到VirusTotal数据库。
迄今为止,已经将两个样本发送到了那里。
当然,只有在他们不再对保持机密感兴趣的情况下,也就是说,在采取了适当的反情报措施并且收集了有关外国行为者,他们的目标,工作方法等的信息之后,特种部队才能对他们的工具进行解密。 之后,将外部工具解密并合并到VirusTotal数据库中。
此类程序的第一批图像由隶属于美国网络司令部的网络国家宣教部队(CNMF)发布。 有趣的是,开设Twitter帐户和发布样本并没有伴随着针对州立机构的新举措
的公告,即专门针对信息安全的ThreatPost出版物。 这样做没有任何警告。
CNMF的一份简短
声明说:“ CNMF认识到与公共部门合作的价值,已开始努力共享解密的恶意软件样本,我们认为这将对改善全球网络安全产生最大的影响。”
解密后的前两个样本是
rpcnetp.dll和
rpcnetp.exe文件 。 这些删除器还用于
Computrace黑客组
APT28 / Fancy Bear的后门程序,该组与俄罗斯联邦的订单执行有关。
“特定的一对样本Computrace / LoJack / Lojax实际上是以前称为Computrace(现在称为Absolute)的公司的合法LoJack软件的木马版本。 美国情报机构发言人说,合法的LoJack软件的木马版本称为LoJax或DoubleAgent。
此类样本的发布对于国防部来说是迈出了大胆的一步,长期以来一直将其网络活动和知识保密,碳黑公司网络安全总监,独立专家
评论说 :“这对网络安全界而言是巨大的进步。 它使网络安全社区能够实时动员并应对威胁,从而帮助政府保护和确保美国网络空间的安全。”
FireEye情报分析主管John Hultqvist指出,恶意软件是在“真空中”被检测到的,没有提及特定的敌方情报行动或反情报行动:“毫无疑问,这些启示将继续具有战略性,因为披露总是会带来后果。霍特维斯特说:“虽然情报机构可以简化情报部门的行动,但其简单性可以使政府历来一直在努力采取的行动更加简单快捷。” 尽管实际上缺乏背景会降低防护措施的有效性,但因为要建立可靠的防御,必须清楚地了解敌人使用这些工具的方式和目的。