Как един японски министър изненада хакерите?
Съдържание
Броят на методите за прикриване, маскиране и подвеждане на врага - независимо дали става дума за киберпрестъпления или кибервойни - неумолимо нараства. Може да се каже, че днес хакерите много рядко, в името на славата или бизнеса, разкриват какво са направили.
Поредица от технически повреди по време на миналогодишната церемония по откриването Зимни олимпийски игри в Корея това е резултат от кибератака. The Guardian съобщи, че недостъпността на уебсайта на игрите, повредата на Wi-Fi на стадиона и счупените телевизори в залата за пресата са резултат от много по-сложна атака, отколкото първоначално се смяташе. Нападателите предварително са получили достъп до мрежата на организаторите и са извадили от строя много компютри по много хитър начин – въпреки множеството мерки за сигурност.
Докато ефектите му не бяха забелязани, врагът беше невидим. След като разрушението беше видяно, до голяма степен си остана така (1). Има няколко теории за това кой стои зад атаката. Според най-популярните следите водят до Русия - според някои коментатори това може да е отмъщение за премахването на държавните знамена на Русия от игрите.
Други подозрения са насочени към Северна Корея, която винаги търси да дразни южната си съседка, или Китай, който е хакерска сила и често е сред заподозрените. Но всичко това беше по-скоро детективска дедукция, отколкото заключение, основано на неопровержими доказателства. И в повечето от тези случаи ние сме обречени само на този вид спекулации.
По правило установяването на авторството на кибератака е трудна задача. Не само, че престъпниците обикновено не оставят разпознаваеми следи, но и добавят объркващи улики към своите методи.
Беше така атака срещу полски банки в началото на 2017г. BAE Systems, която първа описа нашумялата атака срещу Националната банка на Бангладеш, внимателно проучи някои елементи от зловреден софтуер, насочен към компютри в полски банки, и заключи, че авторите му се опитват да се представят за рускоезични хора.
Елементи от кода съдържаха руски думи със странна транслитерация - например руската дума в необичайната форма "клиент". BAE Systems подозира, че нападателите са използвали Google Translate, за да се представят за руски хакери, използвайки руски речник.
През май 2018г Банко де Чили призна, че има проблеми и препоръча на клиентите да използват онлайн и мобилно банкиране, както и банкомати. На екраните на компютрите, разположени в отделите, експертите откриха признаци на повреда в секторите за зареждане на дисковете.
След няколко дни сърфиране в мрежата бяха открити следи, потвърждаващи, че наистина е имало масивна дискова повреда на хиляди компютри. По неофициална информация последствията са засегнали 9 хиляди души. компютри и 500 сървъра.
Допълнително разследване разкри, че вирусът е изчезнал от банката по време на атаката. 11 милиона долараа други източници сочат още по-голяма сума! Експертите по сигурността в крайна сметка стигнаха до заключението, че повредените дискове на компютъра на банката са просто камуфлаж, който хакерите могат да откраднат. От банката обаче не потвърждават официално това.
Нула дни за подготовка и нула файлове
През последната година почти две трети от най-големите компании в света са били успешно атакувани от киберпрестъпници. Те най-често използваха техники, базирани на zero-day уязвимости и т.нар. безфайлови атаки.
Това са констатациите в доклада за състоянието на риска за сигурността на крайната точка, изготвен от института Ponemon от името на Barkly. И двете техники за атака са разновидности на невидимия враг, които набират все по-голяма популярност.
Според авторите на изследването само през последната година броят на атаките срещу най-големите организации в света се е увеличил с 20%. От доклада научаваме също, че средната загуба, понесена в резултат на подобни действия, се оценява на $7,12 милиона всяко, което е $440 на позиция, която е била атакувана. Тези суми включват както конкретни загуби, причинени от престъпници, така и разходите за възстановяване на атакуваните системи до първоначалното им състояние.
Типичните атаки са изключително трудни за противодействие, тъй като обикновено се основават на уязвимости в софтуера, за които нито производителят, нито потребителите знаят. Първият не може да подготви подходящата актуализация на защитата, а вторият не може да приложи подходящите процедури за сигурност.
„Цели 76% от успешните атаки се основават на експлоатацията на уязвимости от нулевия ден или някакъв неизвестен преди това злонамерен софтуер, което означава, че са четири пъти по-ефективни от класическите техники, използвани преди това от киберпрестъпниците“, обясняват представители на Ponemon Institute. .
Втори невидим метод, безфайлови атаки, е да стартира злонамерен код в системата с помощта на различни „трикове“ (например чрез инжектиране на експлойт в уебсайт), без да се изисква потребителят да изтегли или стартира какъвто и да е файл.
Престъпниците използват този метод все по-често, тъй като класическите атаки за изпращане на злонамерени файлове (като документи на Office или PDF файлове) до потребителите стават все по-малко ефективни. Освен това атаките обикновено се основават на софтуерни уязвимости, които вече са известни и коригирани - проблемът е, че много потребители не актуализират приложенията си достатъчно често.
За разлика от сценария по-горе, зловредният софтуер не поставя изпълнимия файл на диска. Вместо това той работи във вътрешната памет на вашия компютър, която е RAM.
Това означава, че традиционният антивирусен софтуер трудно ще открие злонамерена инфекция, тъй като няма да намери файла, който сочи към нея. Чрез използването на зловреден софтуер нападателят може да скрие присъствието си на компютъра, без да задейства аларма и да причини различни видове щети (кражба на информация, изтегляне на допълнителен зловреден софтуер, получаване на достъп до по-високи привилегии и т.н.).
Безфайловият злонамерен софтуер се нарича още (AVT). Някои експерти казват, че е дори по-лошо от (APT).
2. Информация за хакнатия сайт
Когато HTTPS не помага
Изглежда, че времената, когато престъпниците поеха контрола върху сайта, промениха съдържанието на главната страница, поставяйки информация върху нея с голям шрифт (2), са отминали завинаги.
В момента целта на атаките е преди всичко получаване на пари и престъпниците използват всички методи, за да получат осезаеми финансови облаги във всяка ситуация. След поглъщането страните се опитват да останат скрити възможно най-дълго и да печелят или да използват придобитата инфраструктура.
Инжектирането на зловреден код в слабо защитени уебсайтове може да има различни цели, като например финансови (кражба на информация за кредитна карта). Някога се писа за това български писмености въведени на уебсайта на канцеларията на президента на Република Полша, но не беше възможно ясно да се посочи каква е целта на връзките към чужди шрифтове.
Сравнително нов метод е така нареченият, тоест наслагвания, които крадат номера на кредитни карти на уебсайтове на магазини. Потребителят на уебсайт, използващ HTTPS(3), вече е обучен и свикнал да проверява дали даден сайт е маркиран с този характерен символ, а самото наличие на катинар се превърна в доказателство, че няма заплахи.
3. Обозначаване на HTTPS в интернет адреса
Престъпниците обаче използват това прекомерно разчитане на сигурността на сайта по различни начини: използват безплатни сертификати, поставят favicon под формата на катинар на сайта и инжектират заразен код в изходния код на сайта.
Анализът на методите за заразяване на някои онлайн магазини показва, че нападателите са прехвърлили физическите скимери на банкомати в кибер света под формата на . При извършване на стандартен превод за покупки, клиентът попълва формуляр за плащане, в който посочва всички данни (номер на кредитна карта, срок на валидност, CVV номер, име и фамилия).
Плащането се разрешава от магазина по традиционния начин и целият процес на покупка се извършва коректно. Въпреки това, в случай на използване, код (един ред JavaScript е достатъчен) се инжектира в сайта на магазина, което кара въведените във формуляра данни да бъдат изпратени до сървъра на нападателите.
Едно от най-известните престъпления от този тип е атаката срещу уебсайта Магазин на Републиканската партия на САЩ. В рамките на шест месеца данните за кредитната карта на клиента са откраднати и прехвърлени на руски сървър.
Чрез оценка на трафика на магазина и данните от черния пазар беше установено, че откраднатите кредитни карти са генерирали печалба от $600 XNUMX за киберпрестъпниците. долара.
През 2018 г. те бяха откраднати по идентичен начин. клиентски данни на производителя на смартфони OnePlus. Компанията призна, че нейният сървър е бил заразен, а прехвърлените данни за кредитна карта са били скрити направо в браузъра и изпратени на неизвестни престъпници. Съобщава се, че по този начин са присвоени данни на 40 души. клиенти.
Опасности за оборудването
Огромна и нарастваща област от невидими кибер заплахи се състои от всякакви техники, базирани на цифрово оборудване, независимо дали под формата на чипове, тайно инсталирани в привидно безобидни компоненти или шпионски устройства.
При откриването на допълнителни, обявени през октомври миналата година от Bloomberg, миниатюрни шпионски чипове в телекомуникационно оборудване, вкл. в Ethernet магазини (4), продавани от Apple или Amazon, се превърнаха в сензация през 2018 г. Следите водят до Supermicro, производител на устройства в Китай. Впоследствие обаче информацията на Bloomberg беше опровергана от всички заинтересовани страни – от китайците до Apple и Amazon.
4. Ethernet мрежови портове
Както се оказа, също лишен от специални импланти, „обикновеният“ компютърен хардуер може да се използва в тиха атака. Например, беше установено, че грешка в процесорите на Intel, за която наскоро писахме в MT, която се състои в способността за „предсказване“ на последващи операции, е в състояние да позволи на всеки софтуер (от двигател на база данни до прост JavaScript да работи в браузър) за достъп до структурата или съдържанието на защитените области на паметта на ядрото.
Преди няколко години писахме за оборудване, което ви позволява тайно да хакнете и шпионирате електронни устройства. Описахме „Каталог за пазаруване на ANT“ от 50 страници, който беше достъпен онлайн. Както пише Spiegel, именно от него агентите на разузнаването, специализирани в кибервойната, избират своите „оръжия“.
Списъкът включва продукти от различни класове, от звуковата вълна и устройството за слушане LOUDAUTO за $30 до $40K. CANDYGRAM долара, които се използват за инсталиране на ваше собствено копие на GSM клетъчна кула.
Списъкът включва не само хардуер, но и специализиран софтуер, като DROPOUTJEEP, който, след като бъде "имплантиран" в iPhone, позволява освен всичко друго да извлича файлове от паметта му или да записва файлове в него. По този начин можете да получавате пощенски списъци, SMS съобщения, гласови съобщения, както и да контролирате и локализирате камерата.
Изправени пред силата и вездесъщността на невидимите врагове, понякога се чувствате безпомощни. Затова не всички са изненадани и развеселени Отношението на Йошитака Сакурада, министърът, отговарящ за подготовката за Олимпиадата в Токио 2020 г. и заместник-ръководител на правителствената служба за стратегия за киберсигурност, за който се твърди, че никога не е използвал компютър.
Поне беше невидим за врага, а не враг за него.
Списък с термини, свързани с невидим кибер враг
Злонамерен софтуер, предназначен за тайно влизане в система, устройство, компютър или софтуер, или чрез заобикаляне на традиционните мерки за сигурност.
лодка – отделно устройство, свързано с интернет, заразено със зловреден софтуер и включено в мрежа от подобни заразени устройства. това най-често е компютър, но може да бъде и смартфон, таблет или оборудване, свързано с IoT (като рутер или хладилник). Той получава оперативни инструкции от командния и контролен сървър или директно, а понякога и от други потребители в мрежата, но винаги без знанието или знанието на собственика. те могат да включват до един милион устройства и да изпращат до 60 милиарда спам на ден. Те се използват за измамни цели, получаване на онлайн анкети, манипулиране на социални мрежи, както и за разпространение на спам и.
– през 2017 г. се появи нова технология за копаене на криптовалута Monero в уеб браузъри. Скриптът е създаден в JavaScript и може лесно да бъде вграден във всяка страница. Когато потребителят
компютър посети такава заразена страница, изчислителната мощност на неговото устройство се използва за копаене на криптовалута. Колкото повече време прекарваме в този тип уебсайтове, толкова повече цикли на процесора в нашето оборудване могат да бъдат използвани от киберпрестъпник.
– Злонамерен софтуер, който инсталира друг тип злонамерен софтуер, като вирус или задна врата. често са предназначени да избегнат откриване от традиционни решения
антивирусна, вкл. поради забавено активиране.
Зловреден софтуер, който използва уязвимост в легитимен софтуер, за да компрометира компютър или система.
– използване на софтуер за събиране на информация, свързана с определен тип използване на клавиатурата, като например последователността от буквено-цифрови/специални знаци, свързани с определени думи
ключови думи като „bankofamerica.com“ или „paypal.com“. Ако работи на хиляди свързани компютри, киберпрестъпникът има способността бързо да събира чувствителна информация.
– Злонамерен софтуер, специално създаден да навреди на компютър, система или данни. Той включва няколко вида инструменти, включително троянски коне, вируси и червеи.
– опит за получаване на чувствителна или поверителна информация от потребител на оборудване, свързано с интернет. Киберпрестъпниците използват този метод, за да разпространяват електронно съдържание до широк кръг от жертви, като ги подтикват да предприемат определени действия, като щракване върху връзка или отговор на имейл. В този случай те ще предоставят лична информация като потребителско име, парола, банкови или финансови данни или данни за кредитна карта без тяхно знание. Методите за разпространение включват имейл, онлайн реклама и SMS. Вариантът е атака, насочена към определени лица или групи от лица, като корпоративни ръководители, знаменитости или високопоставени държавни служители.
– Зловреден софтуер, който ви позволява тайно да получите достъп до части от компютър, софтуер или система. Често модифицира хардуерната операционна система по такъв начин, че да остане скрита за потребителя.
- зловреден софтуер, който шпионира компютърен потребител, прихваща натискания на клавиши, имейли, документи и дори включва видеокамера без негово знание.
- метод за скриване на файл, съобщение, изображение или филм в друг файл. Възползвайте се от тази технология, като качите на пръв поглед безобидни файлове с изображения, съдържащи сложни потоци.
съобщения, изпратени по C&C канала (между компютър и сървър), подходящи за незаконна употреба. Изображенията може да се съхраняват на хакнат уебсайт или дори
в услугите за споделяне на изображения.
Криптиране/сложни протоколи е метод, използван в кода за обфускиране на предавания. Някои базирани на злонамерен софтуер програми, като троянския кон, криптират както разпространението на злонамерен софтуер, така и C&C (контролните) комуникации.
е форма на нерепликиращ се зловреден софтуер, който съдържа скрита функционалност. Троянският кон обикновено не се опитва да се разпространи или да се инжектира в други файлове.
- комбинация от думите ("глас") и. Означава използване на телефонна връзка за получаване на чувствителна лична информация, като например номера на банкови или кредитни карти.
Обикновено жертвата получава автоматизирано предизвикателство за съобщение от някой, който твърди, че представлява финансова институция, интернет доставчик или технологична компания. Съобщението може да поиска номер на сметка или ПИН. След като връзката е активирана, тя се пренасочва чрез услугата към нападателя, който след това изисква допълнителни чувствителни лични данни.
(BEC) - вид атака, насочена към измама на хора от дадена фирма или организация и кражба на пари чрез представяне
управлявани от. Престъпниците получават достъп до корпоративна система чрез типична атака или злонамерен софтуер. След това те изучават организационната структура на компанията, нейните финансови системи и стила и графика на имейлите на ръководството.
Вижте също:
