Welcome ¡ ¡ Safeguard ¡Iowa ¡Partnership ¡ is ¡a ¡voluntary ¡ coali1on ¡of ¡the ¡state's ¡business ¡and ¡government ¡ leaders, ¡who ¡share ¡a ¡commitment ¡to ¡strengthen ¡ the ¡capacity ¡of ¡the ¡state ¡to ¡ prevent, ¡prepare ¡for, ¡ respond ¡to, ¡and ¡recover ¡from ¡disasters ¡through ¡ public-‑private ¡collabora1on. ¡
§ All ¡par1cipant ¡lines ¡are ¡muted ¡ § Submit ¡a ¡ques1on ¡– ¡use ¡the ¡Ques1ons ¡feature ¡ ¡ § Webinar ¡is ¡being ¡recorded ¡and ¡will ¡be ¡posted ¡on ¡ our ¡website ¡along ¡with ¡presenter ¡slides ¡ § Technical ¡1ps: ¡ ú U1lize ¡a ¡USB ¡headset ¡ ú Use ¡a ¡wired ¡connec1on ¡vs. ¡wireless ¡ ú Close ¡any ¡applica1ons ¡on ¡your ¡computer ¡which ¡require ¡ large ¡bandwidth ¡ ¡
OVERVIEW OF CURRENT CYBER THREATS Division of Criminal Investigation SA Nathan Teigland FBI Omaha Cyber Task Force
Overview • FBI Cyber Task Force Mission • Computer Intrusion Definitions • Cyber Threats • Criminal • Counterintelligence • Cyber Terrorism • Incident Response and Recommendations
FBI Priorities Protect ¡the ¡United ¡States ¡from ¡Terrorist ¡Attack. ¡ 1. Protect ¡the ¡United ¡States ¡against ¡foreign ¡intelligence ¡ 2. operations ¡and ¡espionage. ¡ Protect ¡the ¡United ¡States ¡against ¡cyber ¡based ¡attacks ¡ 3. and ¡high ¡technology ¡crimes. ¡ ¡ ¡ ¡ ¡
UNCLASSIFIED Cyber Task Force (CTF) § Douglas ¡County ¡Sheriff’s ¡Office ¡ ¡ § Omaha ¡Police ¡Department ¡ ¡ § Nebraska ¡State ¡Patrol ¡ ¡ § Sarpy ¡County ¡Sheriff’s ¡Office ¡ ¡ § Iowa ¡Division ¡of ¡Criminal ¡Inves1ga1on ¡ ¡ ¡ UNCLASSIFIED
What is a Computer Intrusion? Criminal ¡ National ¡Security ¡ Goal ¡ § ¡Prosecution ¡ § ¡Intelligence ¡gathering ¡ § ¡Title ¡18 ¡United ¡States ¡Code ¡§ ¡ § ¡Sharing ¡of ¡intel ¡with ¡trusted ¡USIC ¡ 1030 ¡– ¡Fraud ¡and ¡Related ¡Activity ¡ partners ¡ in ¡Connection ¡with ¡Computers ¡ § ¡Protection ¡of ¡critical ¡infrastructure ¡ Evidence ¡ “Discoverable” ¡by ¡the ¡ ¡ ¡ ¡ ¡ ¡defendant ¡ § ¡Typically ¡CLASSIFIED ¡at ¡SECRET ¡ level ¡or ¡above ¡ § ¡Not ¡released ¡to ¡public ¡ Publicity ¡ § ¡Court ¡documents ¡will ¡eventually ¡ § ¡Cases ¡do ¡not ¡go ¡to ¡court ¡ be ¡unsealed ¡ § ¡ID ¡of ¡asset ¡owner ¡will ¡NEVER ¡be ¡ § ¡The ¡FBI ¡will ¡not ¡proactively ¡ ¡ ¡ ¡ released ¡by ¡FBI ¡ divulge ¡information ¡to ¡the ¡media ¡ ¡
UNCLASSIFIED Exploitation of Trust § Trusted ¡Email ¡ Inbound ¡e-‑mail ¡trusted, ¡exploited ¡by ¡“Spear ¡Phishing” ¡ ú § Trusted ¡Internet ¡Websites ¡ Cross ¡site ¡scripting, ¡remote ¡code ¡execution ¡ ú § Trusted ¡Applications ¡ Un-‑patched ¡program ¡vulnerabilities, ¡e.g. ¡PDF, ¡Word, ¡Excel ¡ exploits ¡ ú Unauthorized ¡software, ¡e.g. ¡media ¡players ¡ ú ¡ § Trusted ¡Business ¡Relationships ¡ Subcontractors ¡and/or ¡peer ¡connections ¡ ú Mergers, ¡business ¡partnerships, ¡etc. ¡ ú § Trust ¡of ¡Internal ¡Networks ¡ Authentication ¡performed ¡externally ¡ ú “Internal” ¡users ¡assumed ¡to ¡be ¡ ú § Use ¡of ¡‘Valid’ ¡Credentials ¡ UNCLASSIFIED
Criminal - RBS WorldPay • 15,730 attempted transactions worth $10.2M • 14,544 successful transactions worth $9.7M • $9.4M (97%) was withdrawn on Nov 8 2008 • 2,136 ATM terminals were accessed in over 28 countries
Criminal - Phishing Scams
Criminal – Botnets and Exploit Kits • Used for DoS attacks • Identity Theft • Keyloggers • Common Botnets: Zeus variants, Torpig, Coreflood, Mariposa, Cutwail • Common Exploits Kit: BlackHole, CEK, Styx ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡
Criminal – Cryptolocker
CryptoLocker – File Types § Encryption ú Target’s users or company’s personal files: ú Encrypts files located on local drives , shared drives, and networked drives
CryptoLocker - Payment
CryptoLocker – Other Payment Methods
CryptoLocker - Payment
CryptoLocker - Decryption
Insider Threat – ¡Criminal ¡ (Insiders) ¡ § Insider ¡with ¡access ¡ § Paid ¡money ¡to ¡complete ¡a ¡task ¡ § Directed ¡by ¡foreign ¡power ¡ ¡ § Resources ¡ § Disgruntled ¡employee ¡ § Terminated ¡ § Disagreement ¡with ¡management ¡ § Policy ¡change ¡ 22 UNCLASSIFIED
Jesse William McGraw aka “Ghost Exodus” § 26 ¡years ¡old. ¡ § Hospital ¡security ¡guard. ¡ § Leader ¡of ¡the ¡Electronik ¡Tribulation ¡Army. ¡ § Sentenced ¡to ¡nine ¡years ¡in ¡prison ¡in ¡2011. ¡
Water ¡Facility ¡
Criminal (Hacktivism) § Attempt ¡to ¡cause ¡disruption ¡to ¡networks ¡and ¡ service ¡and ¡loss ¡of ¡data. ¡ § Actions ¡are ¡non-‑violent ¡and ¡not ¡aimed ¡at ¡ individuals, ¡but ¡rather ¡a ¡company ¡or ¡government ¡ entity. ¡ § Retaliation. ¡ § Recent ¡threats ¡– ¡financial, ¡ICS, ¡etc. ¡
Criminal (Hacktivism)
Criminal ¡(Hacktivism) ¡
Cyber ¡Threats ¡– ¡Criminal ¡ (Hacktivism) ¡
How is ICS (Industrial Control Systems) being attacked? § #1 ¡attack ¡vector ¡-‑ ¡SPEARPHISHING ¡ § SHODAN ¡website ¡ ú Increased ¡publication ¡of ¡ICS ¡vulnerabilities. ¡ ú Shodan ¡is ¡the ¡world's ¡first ¡computer ¡search ¡ engine ¡that ¡lets ¡you ¡search ¡the ¡Internet ¡for ¡ computers. ¡Find ¡devices ¡based ¡on ¡city, ¡country, ¡ latitude/longitude, ¡hostname, ¡operating ¡system ¡ and ¡IP. ¡ ¡
Counterintelligence • Espionage ¡ • Today ¡our ¡adversaries ¡can ¡sit ¡on ¡the ¡other ¡side ¡of ¡the ¡ globe ¡and ¡have ¡access ¡to ¡an ¡entire ¡network ¡at ¡their ¡ fingertips. ¡ • Who ¡are ¡they? ¡ • Nation-‑State ¡Actors ¡ • Mercenaries ¡for ¡Hire ¡ • Rogue ¡Hackers ¡ • Transnational ¡Criminal ¡Syndicates ¡ ¡ ¡
Counterintelligence • What ¡are ¡they ¡after? ¡ • Technology ¡ • Policies ¡ • Intellectual ¡Property ¡ • Military ¡Weapons ¡ • Military ¡Strategy ¡ • They ¡have ¡everything ¡to ¡gain; ¡we ¡have ¡a ¡great ¡ deal ¡to ¡lose. ¡
New ¡Chinese ¡J20 ¡stealth ¡jet ¡built ¡with ¡stolen ¡F-‑35 ¡ component ¡designs? ¡ “ The ¡viciousness, ¡and ¡just ¡the ¡volume ¡of ¡a4acks, ¡not ¡only ¡by ¡the ¡ Chinese ¡but ¡Russians ¡and ¡others ¡trying ¡to ¡get ¡the ¡blueprints ¡of ¡our ¡ most ¡sensi=ve ¡material ¡is ¡just ¡breathtaking ¡– ¡and ¡they’re ¡ge@ng ¡ be4er.” ¡ ¡ Rep. ¡Mike ¡ Rogers ¡ Chairman ¡of ¡the ¡House ¡Intelligence ¡CommiRee ¡
Cyber Terrorism ¡ ¡ § Growing ¡presence ¡of ¡terrorist ¡organizations ¡ on ¡the ¡Internet ¡– ¡recruit ¡and ¡radicalize. ¡ ¡
Terrorism – Oil and Gas • Shamoon ¡ • Saudi ¡Aramco ¡ • Infected ¡30,00 ¡computers ¡and ¡rendered ¡them ¡ useless. ¡ ¡ • One ¡of ¡the ¡most ¡destructive ¡infections ¡in ¡a ¡ business. ¡ • RASGAS ¡-‑ ¡Qatar ¡ • Also ¡infected ¡but ¡details ¡are ¡sketchy ¡
Terrorism - Financial • US ¡Banking ¡ • Coordinated ¡DDOS ¡attack ¡against ¡30+ ¡banks ¡ • Millions ¡of ¡dollars ¡spent ¡responding ¡to ¡attacks ¡ • Online ¡banking ¡affected ¡for ¡multiple ¡days ¡ • Large ¡institutions ¡request ¡assistance ¡from ¡NSA ¡
Terrorism – Electrical Grid • Energy ¡Sector ¡ • A ¡power ¡generation ¡and ¡electric ¡utility ¡facility ¡ located ¡in ¡the ¡United ¡States ¡infected ¡by ¡malware ¡ in ¡2012 ¡ • Power ¡company ¡down ¡for ¡three ¡weeks ¡ • USB ¡drive ¡initiated ¡infection ¡ • Malware ¡was ¡sophisticated ¡in ¡nature ¡
Recommend
More recommend