2月15日讯 美国国土安全部(DHS)上周五悄无声息地发布了第二份有关俄罗斯入侵的技术报告。新报告(原报告于2016年12月29日发布，私有部门的安全专家批评其缺乏可行信息)中新增了重要的技术细节。

美国国家网络安全和通信整合中心总监约翰·费尔克表示，“2月10发布的新报告相比上一份报告改进较大。新报告包含可供网络防御者加以利用的信息，因此，我们希望在RSA公布这份报告，RSA与会人员可以在此向我们提问。”

这份新报告名为“灰熊草原活动之加强版分析”(Enhanced Analysis of GRIZZLY STEPPE Activity)，长达119页，E安全读者可在文末下载原文报告。DHS在报告中分析了APT28和APT29部署的黑客工具、技术和过程。据国外媒体报道，APT28和APT29均与俄罗斯联邦安全局(FSB)和军事情报局(GRU)存在关联。

费尔克表示，为了发布这份加强版报告，DHS经历了漫长的公平审查过程，该过程于上周结束，其中涉及多个美国情报机构和执法机构。

费尔克指出，在原“灰熊草原”分析报告遭受批评的当口，新版报告是在不同情报机构领导人在多机构白宫会议磋商后推迟发布。这次会议将合作简单化，并最终决定上周五发布新报告。

费尔克表示，“我们知道IP列表(第一份报告)存在问题，因此我们加以澄清…我们一直在持续更新。报告遵循12或13个YARA规则，也解释了可疑内容的来龙去脉，因此人们可以了解APT28和APT29如何运作，以及当APT28和APT29将该内容注入系统用作防御用途时，该内容是如何影响任务的。APT 28和29现在可能也在寻找该内容。”

DHS为网络防御者创建的YARA规则示例

新版本主要关注APT 28和APT29的网络“攻击链”(用来广泛描述攻击者有目的性的已知活动，包括侦查、漏洞利用和安装。)

Dragos威胁情报总监塞尔吉奥卡尔塔吉罗表示，“这份报告与第一份报告不同，不应被视为升级版本，而应作为联合报告”。

专家之前就表示过，原报告包含不完整的取证数据，这就导致人们质疑报告的合法性以及DHS执行这类广泛网络安全审查的能力。塞尔吉奥卡尔塔吉罗表示，新报告填补了一些空白，并提供了防御建议，以专门防御这两大APT组织。

塞尔吉奥卡尔塔吉罗指出，原始报告问题众多，是因为该报告试图将所有内容呈现给大家，而将地缘政治主题与技术细节混合。新版报告不存在同样的漏洞：专门以网络防御者为受众，并使用行业通用的设计和语言。这份报告的质量显然更高，潜在说明DHS从第一份报告中吸取了经验教训。另外，新报告不存在专横的内容，而这在原报告中体现得淋漓尽致。

DHS负责制定两份报告的团队可能希望根据持续的情报行动发布第三份报告。但费尔克表示，附加资料不会很快出炉。

公开发布之前，新报告曾在欧洲盟国、多个信息共享与分析组织和中心，以及行业合作伙伴之间共享。

灰熊草原活动之加强版分析报告原文下载：http://t.cn/RJOarJ1