Jak pewien japoński minister zaskoczył hakerów?
Zawartość
Nieubłaganie rośnie liczba metod ukrywania, maskowania i wprowadzania w błąd wroga – czy to w postaci cyberprzestępczości, czy też cyberwojny. Można powiedzieć, że dzisiaj hakerzy bardzo rzadko, dla sławy czy biznesu, ujawniają, co zrobili.
Seria awarii technicznych podczas ubiegłorocznej ceremonii otwarcia Olimpiada zimowa w Korei było to wynikiem cyberataku. The Guardian poinformował, że niedostępność strony Igrzysk, awaria Wi-Fi na stadionie i zepsute telewizory w sali prasowej były wynikiem znacznie bardziej wyrafinowanego ataku, niż początkowo sądzono. Atakujący z wyprzedzeniem uzyskali dostęp do sieci organizatorów iw bardzo przebiegły sposób unieszkodliwili wiele komputerów - pomimo licznych zabezpieczeń.
Dopóki efekty nie były widoczne, wróg był niewidzialny. Gdy zniszczenie zostało zauważone, w dużej mierze pozostało takie (1). Istnieje kilka teorii na temat tego, kto stał za atakiem. Według najpopularniejszego tropy prowadziły do Rosji – według niektórych komentatorów może to być zemsta za usunięcie z Igrzysk państwowych sztandarów Rosji.
Inne podejrzenia skierowano na Koreę Północną, która zawsze stara się drażnić swojego południowego sąsiada, lub Chiny, które są potęgą hakerską i często znajdują się wśród podejrzanych. Ale wszystko to było bardziej dedukcją detektywistyczną niż konkluzją opartą na niepodważalnych dowodach. I w większości z tych przypadków jesteśmy skazani tylko na tego rodzaju spekulacje.
Z reguły ustalenie autorstwa cyberataku jest trudnym zadaniem. Przestępcy nie tylko zwykle nie pozostawiają żadnych rozpoznawalnych śladów, ale dodają mylące wskazówki do swoich metod.
To było tak atak na polskie banki na początku 2017 r. Firma BAE Systems, która jako pierwsza opisała głośny atak na Narodowy Bank Bangladeszu, dokładnie zbadała niektóre elementy złośliwego oprogramowania, którego celem były komputery w polskich bankach, i doszła do wniosku, że jego autorzy próbowali podszywać się pod osoby rosyjskojęzyczne.
Elementy kodu zawierały rosyjskie słowa z dziwną transliteracją - na przykład rosyjskie słowo w nietypowej formie "klient". BAE Systems podejrzewa, że napastnicy użyli Tłumacza Google, aby udawać rosyjskich hakerów, używając rosyjskiego słownictwa.
W maju 2018 Banco de Chile przyznał, że ma problemy i zarekomendował klientom korzystanie z usług bankowości internetowej i mobilnej oraz bankomatów. Na ekranach komputerów znajdujących się w oddziałach eksperci stwierdzili oznaki uszkodzenia sektorów rozruchowych dysków.
Po kilku dniach przeglądania sieci znaleziono ślady potwierdzające, że na tysiącach komputerów rzeczywiście doszło do masowego uszkodzenia dysków. Według nieoficjalnych informacji konsekwencje dotknęły 9 tys. osób. komputerów i 500 serwerów.
Dalsze dochodzenie wykazało, że wirus zniknął z banku w momencie ataku. 11 milionów dolarówa inne źródła wskazują na jeszcze większą sumę! Eksperci ds. bezpieczeństwa ostatecznie doszli do wniosku, że uszkodzone dyski komputera bankowego były po prostu kamuflażem, który hakerzy mogli ukraść. Bank jednak oficjalnie tego nie potwierdza.
Zero dni na przygotowanie i zero plików
W ciągu ostatniego roku prawie dwie trzecie największych firm na świecie zostało z powodzeniem zaatakowanych przez cyberprzestępców. Najczęściej stosowali techniki oparte na podatnościach dnia zerowego oraz tzw. ataki bezplikowe.
Tak wynika z raportu State of Endpoint Security Risk przygotowanego przez Ponemon Institute na zlecenie firmy Barkly. Obie techniki ataku są odmianami niewidzialnego wroga, które zyskują coraz większą popularność.
Według autorów badania, tylko w ostatnim roku liczba ataków na największe światowe organizacje wzrosła o 20%. Z raportu dowiadujemy się również, że średnie straty poniesione w wyniku takich działań szacuje się na 7,12 mln USD każda, co daje 440 USD na zaatakowaną pozycję. Kwoty te obejmują zarówno konkretne straty spowodowane przez przestępców, jak i koszty przywrócenia zaatakowanych systemów do pierwotnego stanu.
Typowe ataki są niezwykle trudne do odparcia, ponieważ zwykle opierają się na lukach w oprogramowaniu, o których ani producent, ani użytkownicy nie są świadomi. Ci pierwsi nie mogą przygotować odpowiedniej aktualizacji bezpieczeństwa, a drudzy nie mogą wdrożyć odpowiednich procedur bezpieczeństwa.
„Aż 76% udanych ataków opierało się na wykorzystaniu luk dnia zerowego lub nieznanego wcześniej szkodliwego oprogramowania, co oznacza, że były one czterokrotnie skuteczniejsze niż klasyczne techniki stosowane wcześniej przez cyberprzestępców” – wyjaśniają przedstawiciele Ponemon Institute. .
Druga niewidzialna metoda, ataki bezplikowe, polega na uruchomieniu złośliwego kodu w systemie przy użyciu różnych „sztuczek” (na przykład poprzez wstrzyknięcie exploita na stronę internetową), bez konieczności pobierania lub uruchamiania jakiegokolwiek pliku przez użytkownika.
Przestępcy coraz częściej korzystają z tej metody, ponieważ klasyczne ataki polegające na wysyłaniu użytkownikom szkodliwych plików (takich jak dokumenty pakietu Office czy pliki PDF) stają się coraz mniej skuteczne. Ponadto ataki zwykle opierają się na lukach w oprogramowaniu, które są już znane i naprawione - problem polega na tym, że wielu użytkowników nie aktualizuje swoich aplikacji wystarczająco często.
W przeciwieństwie do powyższego scenariusza, złośliwe oprogramowanie nie umieszcza pliku wykonywalnego na dysku. Zamiast tego działa w pamięci wewnętrznej komputera, którą jest pamięć RAM.
Oznacza to, że tradycyjne oprogramowanie antywirusowe będzie miało trudności z wykryciem złośliwej infekcji, ponieważ nie znajdzie pliku, który na nią wskazuje. Za pomocą złośliwego oprogramowania atakujący może ukryć swoją obecność na komputerze bez wszczynania alarmu i spowodować różnego rodzaju szkody (kradzież informacji, pobranie dodatkowego złośliwego oprogramowania, uzyskanie dostępu do wyższych uprawnień itp.).
Bezplikowe złośliwe oprogramowanie jest również nazywane (AVT). Niektórzy eksperci twierdzą, że jest nawet gorszy niż (APT).
2. Informacje o zaatakowanej witrynie
Kiedy HTTPS nie pomaga
Wydaje się, że bezpowrotnie minęły czasy, kiedy przestępcy przejmowali kontrolę nad serwisem, zmieniali zawartość strony głównej, umieszczając na niej informacje dużą czcionką (2).
Obecnie celem ataków jest przede wszystkim zdobycie pieniędzy, a przestępcy wykorzystują wszelkie metody, aby w każdej sytuacji uzyskać wymierne korzyści finansowe. Po przejęciu strony starają się jak najdłużej pozostać w ukryciu i czerpać zyski lub korzystać z przejętej infrastruktury.
Wstrzykiwanie złośliwego kodu do słabo chronionych stron internetowych może mieć różne cele, na przykład finansowe (kradzież informacji o karcie kredytowej). Kiedyś o tym pisano pisma bułgarskie wprowadzono na stronie internetowej Kancelarii Prezydenta RP, ale nie udało się jednoznacznie określić, w jakim celu zostały umieszczone odnośniki do obcych czcionek.
Stosunkowo nową metodą są tzw. nakładki wykradające numery kart kredytowych na stronach sklepów. Użytkownik serwisu korzystającego z HTTPS(3) jest już przeszkolony i przyzwyczajony do sprawdzania, czy dana witryna jest oznaczona tym charakterystycznym symbolem, a sama obecność kłódki stała się dowodem na brak zagrożeń.
3. Oznaczenie HTTPS w adresie internetowym
Jednak przestępcy wykorzystują to nadmierne poleganie na bezpieczeństwie witryny na różne sposoby: używają bezpłatnych certyfikatów, umieszczają favicon w postaci kłódki na stronie i wstrzykują zainfekowany kod do kodu źródłowego witryny.
Analiza metod infekowania niektórych sklepów internetowych pokazuje, że osoby atakujące przeniosły do cyberświata fizyczne skimmery bankomatów w postaci plików . Dokonując standardowego przelewu za zakupy, klient wypełnia formularz płatności, w którym podaje wszystkie dane (numer karty kredytowej, data ważności, numer CVV, imię i nazwisko).
Płatność jest autoryzowana przez sklep w tradycyjny sposób, a cały proces zakupowy przebiega prawidłowo. Jednak w przypadku użycia do strony sklepu wstrzykiwany jest kod (wystarczy jedna linijka JavaScript), co powoduje, że dane wpisane w formularzu zostają przesłane na serwer atakujących.
Jednym z najbardziej znanych przestępstw tego typu był atak na stronę internetową Sklep Partii Republikańskiej w USA. W ciągu sześciu miesięcy dane karty kredytowej klienta zostały skradzione i przesłane na rosyjski serwer.
Oceniając ruch w sklepie i dane z czarnego rynku, ustalono, że skradzione karty kredytowe przyniosły cyberprzestępcom zysk w wysokości 600 XNUMX USD. dolarów.
W 2018 roku skradziono je w identyczny sposób. producent smartfonów, dane klientów OnePlus. Firma przyznała, że jej serwer został zainfekowany, a przesłane dane karty kredytowej zostały ukryte bezpośrednio w przeglądarce i wysłane do nieznanych przestępców. Poinformowano, że w ten sposób przywłaszczono dane 40 osób. klienci.
Zagrożenia związane ze sprzętem
Ogromny i rosnący obszar niewidocznych cyberzagrożeń tworzą wszelkiego rodzaju techniki oparte na sprzęcie cyfrowym, czy to w postaci chipów potajemnie instalowanych w pozornie niegroźnych komponentach, czy urządzeniach szpiegowskich.
O odkryciu dodatkowych, ogłoszonych w październiku ubiegłego roku przez Bloomberga, miniaturowe chipy szpiegowskie w sprzęcie telekomunikacyjnym, m.in. w gniazdach ethernetowych (4) sprzedawane przez Apple czy Amazon stały się sensacją 2018 roku. Ślad prowadził do Supermicro, producenta urządzeń w Chinach. Jednak informacje Bloomberga zostały następnie obalone przez wszystkie zainteresowane strony - od Chińczyków po Apple i Amazon.
4. Porty sieci Ethernet
Jak się okazało, także pozbawiony specjalnych implantów „zwykły” sprzęt komputerowy może posłużyć do cichego ataku. Stwierdzono np., że błąd w procesorach Intela, o którym niedawno pisaliśmy w MT, polegający na możliwości „przewidywania” kolejnych operacji, jest w stanie pozwolić dowolnemu oprogramowaniu (od silnika bazodanowego po prosty JavaScript na uruchomienie w przeglądarce) w celu uzyskania dostępu do struktury lub zawartości chronionych obszarów pamięci jądra.
Kilka lat temu pisaliśmy o sprzęcie, który pozwala potajemnie hakować i szpiegować urządzenia elektroniczne. Opisaliśmy 50-stronicowy „Katalog zakupów ANT”, który był dostępny online. Jak pisze Spiegel, to od niego agenci wywiadu specjalizujący się w cyberwojnie wybierają swoją „broń”.
Lista obejmuje produkty różnych klas, od fali dźwiękowej i urządzenia podsłuchowego LOUDAUTO za 30 USD do 40 XNUMX USD. dolarów CANDYGRAM, które służą do zainstalowania własnej kopii wieży komórkowej GSM.
Na liście znalazł się nie tylko sprzęt, ale także specjalistyczne oprogramowanie, takie jak DROPOUTJEEP, które po „wszczepieniu” w iPhone’a pozwala m.in. na pobieranie plików z jego pamięci lub zapisywanie do niego plików. Dzięki temu można odbierać listy mailingowe, wiadomości SMS, wiadomości głosowe, a także sterować i lokalizować kamerę.
W obliczu potęgi i wszechobecności niewidzialnych wrogów czasami czujesz się bezradny. Dlatego nie wszyscy są zaskoczeni i rozbawieni postawa Yoshitaka Sakurada, minister ds. przygotowań do Igrzysk Olimpijskich Tokio 2020 i wiceszef rządowego biura strategii cyberbezpieczeństwa, który podobno nigdy nie korzystał z komputera.
Przynajmniej był niewidzialny dla wroga, a nie wrogiem dla niego.
Lista terminów związanych z niewidzialnym cyberwrogiem
Złośliwe oprogramowanie zaprojektowane do potajemnego logowania się do systemu, urządzenia, komputera lub oprogramowania albo poprzez obchodzenie tradycyjnych środków bezpieczeństwa.
Bot – oddzielne urządzenie podłączone do Internetu, zainfekowane złośliwym oprogramowaniem i włączone do sieci podobnych zainfekowanych urządzeń. najczęściej jest to komputer, ale może to być również smartfon, tablet lub sprzęt podłączony do IoT (taki jak router lub lodówka). Otrzymuje instrukcje operacyjne z serwera dowodzenia lub bezpośrednio, a czasami od innych użytkowników w sieci, ale zawsze bez wiedzy i wiedzy właściciela. mogą obejmować do miliona urządzeń i wysyłać do 60 miliardów spamu dziennie. Są wykorzystywane do oszukańczych celów, otrzymywania ankiet online, manipulowania sieciami społecznościowymi, a także do rozpowszechniania spamu i.
– w 2017 roku pojawiła się nowa technologia wydobywania kryptowaluty Monero w przeglądarkach internetowych. Skrypt został stworzony w JavaScript i można go łatwo osadzić na dowolnej stronie. Kiedy użytkownik
komputer odwiedza taką zainfekowaną stronę, moc obliczeniowa jego urządzenia jest wykorzystywana do wydobywania kryptowaluty. Im więcej czasu spędzamy na tego typu stronach, tym więcej cykli procesora w naszym sprzęcie może wykorzystać cyberprzestępca.
– Złośliwe oprogramowanie, które instaluje inny rodzaj złośliwego oprogramowania, na przykład wirus lub backdoor. często zaprojektowane tak, aby uniknąć wykrycia przez tradycyjne rozwiązania
antywirus, m.in. z powodu opóźnionej aktywacji.
Złośliwe oprogramowanie, które wykorzystuje lukę w legalnym oprogramowaniu w celu naruszenia bezpieczeństwa komputera lub systemu.
– używanie oprogramowania do zbierania informacji związanych z określonym typem użycia klawiatury, takich jak sekwencja znaków alfanumerycznych/specjalnych związanych z określonymi słowami
słów kluczowych, takich jak „bankofamerica.com” lub „paypal.com”. Jeśli działa na tysiącach połączonych komputerów, cyberprzestępca ma możliwość szybkiego zbierania poufnych informacji.
– Złośliwe oprogramowanie zaprojektowane specjalnie w celu uszkodzenia komputera, systemu lub danych. Zawiera kilka rodzajów narzędzi, w tym trojany, wirusy i robaki.
– próba uzyskania wrażliwych lub poufnych informacji od użytkownika sprzętu podłączonego do sieci Internet. Cyberprzestępcy wykorzystują tę metodę do dystrybucji treści elektronicznych do szerokiego grona ofiar, skłaniając je do podjęcia określonych działań, takich jak kliknięcie łącza lub odpowiedź na wiadomość e-mail. W takim przypadku podają dane osobowe, takie jak nazwa użytkownika, hasło, dane bankowe lub dane finansowe lub dane karty kredytowej bez ich wiedzy. Metody dystrybucji obejmują e-mail, reklamę online i SMS-y. Wariant to atak skierowany na określone osoby lub grupy osób, takie jak dyrektorzy firm, celebryci lub wysocy rangą urzędnicy państwowi.
– Złośliwe oprogramowanie umożliwiające potajemny dostęp do części komputera, oprogramowania lub systemu. Często modyfikuje sprzętowy system operacyjny w taki sposób, że pozostaje on ukryty przed użytkownikiem.
- złośliwe oprogramowanie, które szpieguje użytkownika komputera, przechwytuje naciśnięcia klawiszy, wiadomości e-mail, dokumenty, a nawet włącza kamerę wideo bez jego wiedzy.
- sposób na ukrycie pliku, wiadomości, obrazu lub filmu w innym pliku. Skorzystaj z tej technologii, przesyłając pozornie nieszkodliwe pliki graficzne zawierające złożone strumienie.
wiadomości przesyłane kanałem C&C (między komputerem a serwerem) nadające się do nielegalnego wykorzystania. Obrazy mogą być przechowywane na zhakowanej stronie internetowej lub nawet
w usługach udostępniania zdjęć.
Szyfrowanie/złożone protokoły to metoda używana w kodzie do zaciemniania transmisji. Niektóre programy oparte na złośliwym oprogramowaniu, takie jak trojan, szyfrują zarówno dystrybucję złośliwego oprogramowania, jak i komunikację C&C (kontrolną).
jest formą niereplikującego się złośliwego oprogramowania, które zawiera ukrytą funkcjonalność. Trojan zazwyczaj nie próbuje rozprzestrzeniać się ani wstrzykiwać do innych plików.
- połączenie słów („głos”) i. Oznacza korzystanie z połączenia telefonicznego w celu uzyskania poufnych informacji osobistych, takich jak numery banków lub kart kredytowych.
Zwykle ofiara otrzymuje zautomatyzowaną wiadomość od kogoś, kto twierdzi, że reprezentuje instytucję finansową, dostawcę usług internetowych lub firmę technologiczną. Wiadomość może wymagać podania numeru konta lub kodu PIN. Gdy połączenie zostanie aktywowane, jest ono przekierowywane przez usługę do atakującego, który następnie żąda dodatkowych wrażliwych danych osobowych.
(BEC) – rodzaj ataku mającego na celu oszukanie osób z danej firmy lub organizacji i kradzież pieniędzy poprzez podszywanie się
rządzony przez. Przestępcy uzyskują dostęp do systemu korporacyjnego poprzez typowy atak lub złośliwe oprogramowanie. Następnie badają strukturę organizacyjną firmy, jej systemy finansowe oraz styl i harmonogram poczty elektronicznej kierownictwa.
Zobacz także:
