Čím hackerov prekvapil istý japonský minister?
Počet metód ukrývania, maskovania a zavádzania nepriateľa – či už ide o kyberzločin alebo kybernetické vojny – neúprosne rastie. Dá sa povedať, že dnes hackeri len veľmi zriedkavo prezradia, čo urobili, kvôli sláve alebo obchodu.
Séria technických porúch počas minuloročného otváracieho ceremoniálu zimné olympijské hry v Kórei to bol výsledok kybernetického útoku. The Guardian informoval, že nedostupnosť webovej stránky Games, zlyhanie Wi-Fi na štadióne a pokazené televízory v tlačovej miestnosti boli výsledkom oveľa sofistikovanejšieho útoku, ako sa pôvodne predpokladalo. Útočníci sa vopred dostali do siete organizátorov a veľmi prefíkaným spôsobom znefunkčnili mnohé počítače – napriek početným bezpečnostným opatreniam.
Kým nebolo vidieť jeho účinky, nepriateľ bol neviditeľný. Akonáhle bolo vidieť zničenie, do značnej miery to tak zostalo (1). O tom, kto za útokom stál, bolo viacero teórií. Podľa najpopulárnejších viedli stopy do Ruska – podľa niektorých komentátorov by to mohla byť pomsta za odstránenie štátnych zástav Ruska z hier.
Ďalšie podozrenia smerovali proti Severnej Kórei, ktorá sa vždy snaží dráždiť svojho južného suseda, alebo Číne, ktorá je hackerskou mocnosťou a často patrí medzi podozrivých. Ale to všetko bola skôr detektívna dedukcia ako záver založený na nezvratných dôkazoch. A vo väčšine týchto prípadov sme odsúdení len na tento druh špekulácií.
Stanovenie autorstva kybernetického útoku je spravidla náročná úloha. Nielenže zločinci zvyčajne nezanechávajú žiadne rozpoznateľné stopy, ale svojim metódam pridávajú aj mätúce stopy.
Bolo to takto útok na poľské banky začiatkom roka 2017. Spoločnosť BAE Systems, ktorá ako prvá opísala významný útok na Bangladéšsku národnú banku, dôkladne preskúmala niektoré prvky malvéru, ktorý sa zameriaval na počítače v poľských bankách, a dospela k záveru, že jeho autori sa pokúšali vydávať za rusky hovoriacich ľudí.
Prvky kódu obsahovali ruské slová so zvláštnym prepisom – napríklad ruské slovo v nezvyčajnej forme „klient“. BAE Systems má podozrenie, že útočníci použili Google Translate na predstieranie, že sú ruskí hackeri používajúci ruskú slovnú zásobu.
V máji 2018 Banco de Chile uznal, že má problémy a odporučil zákazníkom využívať služby online a mobilného bankovníctva, ako aj bankomaty. Na obrazovkách počítačov umiestnených na oddeleniach našli experti známky poškodenia zavádzacích sektorov diskov.
Po niekoľkých dňoch prehliadania siete sa našli stopy potvrdzujúce, že na tisíckach počítačov skutočne došlo k masívnemu poškodeniu disku. Následky postihli podľa neoficiálnych informácií 9-tisíc ľudí. počítačov a 500 serverov.
Ďalšie vyšetrovanie odhalilo, že vírus v čase útoku z banky zmizol. 11 milióna dolárova iné zdroje uvádzajú ešte väčšiu sumu! Bezpečnostní experti nakoniec dospeli k záveru, že poškodené disky bankového počítača boli len kamuflážou, ktorú mali hackeri ukradnúť. Banka to však oficiálne nepotvrdzuje.
Nula dní na prípravu a nula súborov
Za posledný rok boli počítačovými zločincami úspešne napadnuté takmer dve tretiny najväčších svetových spoločností. Najčastejšie využívali techniky založené na zero-day zraniteľnostiach a tzv. bezsúborové útoky.
Toto sú zistenia správy o stave bezpečnostného rizika koncového bodu, ktorú v mene Barkly pripravil Ponemon Institute. Obidve techniky útoku sú druhy neviditeľného nepriateľa, ktoré si získavajú čoraz väčšiu obľubu.
Podľa autorov štúdie len za posledný rok vzrástol počet útokov proti najväčším svetovým organizáciám o 20 %. Zo správy sa tiež dozvedáme, že priemerná strata vzniknutá v dôsledku takýchto akcií sa odhaduje na 7,12 milióna dolárov za každú, čo je 440 dolárov na pozíciu, ktorá bola napadnutá. Tieto sumy zahŕňajú konkrétne straty spôsobené zločincami a náklady na obnovenie napadnutých systémov do pôvodného stavu.
Typickým útokom je mimoriadne ťažké čeliť, pretože sú zvyčajne založené na zraniteľnostiach softvéru, o ktorých si výrobca ani používatelia nie sú vedomí. Prvý nemôže pripraviť príslušnú bezpečnostnú aktualizáciu a druhý nemôže implementovať príslušné bezpečnostné postupy.
„Až 76 % úspešných útokov bolo založených na využívaní zero-day zraniteľností alebo nejakého predtým neznámeho malvéru, čo znamená, že boli štyrikrát účinnejšie ako klasické techniky, ktoré predtým používali kyberzločinci,“ vysvetľujú zástupcovia Ponemon Institute. .
Druhá neviditeľná metóda, bezsúborové útoky, je spúšťanie škodlivého kódu v systéme pomocou rôznych „trikov“ (napríklad vložením exploitu do webovej stránky), bez toho, aby používateľ musel sťahovať alebo spúšťať akýkoľvek súbor.
Zločinci túto metódu využívajú čoraz častejšie, keďže klasické útoky na odosielanie škodlivých súborov (napríklad dokumentov balíka Office alebo súborov PDF) používateľom sú čoraz menej efektívne. Navyše, útoky sú zvyčajne založené na softvérových zraniteľnostiach, ktoré sú už známe a opravené – problémom je, že mnohí používatelia neaktualizujú svoje aplikácie dostatočne často.
Na rozdiel od vyššie uvedeného scenára, malvér neumiestňuje spustiteľný súbor na disk. Namiesto toho beží vo vnútornej pamäti počítača, ktorou je RAM.
To znamená, že tradičný antivírusový softvér bude mať problém odhaliť škodlivú infekciu, pretože nenájde súbor, ktorý na ňu ukazuje. Pomocou malvéru môže útočník skryť svoju prítomnosť v počítači bez toho, aby vyvolal poplach a spôsobiť rôzne škody (krádež informácií, sťahovanie ďalšieho malvéru, získanie prístupu k vyšším privilégiám atď.).
Bezsúborový malvér sa tiež nazýva (AVT). Niektorí odborníci tvrdia, že je to ešte horšie ako (APT).
2. Informácie o napadnutej stránke
Keď HTTPS nepomôže
Zdá sa, že časy, keď zločinci ovládli stránku, menili obsah hlavnej stránky a umiestňovali na ňu informácie veľkým písmom (2), sú nenávratne preč.
V súčasnosti je cieľom útokov predovšetkým získanie peňazí a zločinci využívajú všetky metódy na získanie hmatateľných finančných výhod v akejkoľvek situácii. Po prevzatí sa strany snažia zostať čo najdlhšie skryté a dosahovať zisk alebo využívať získanú infraštruktúru.
Vloženie škodlivého kódu do slabo chránených webových stránok môže mať rôzne účely, napríklad finančné (krádež informácií o kreditnej karte). Raz sa o tom písalo Bulharské písma zavedený na stránke Kancelárie prezidenta Poľskej republiky, ale nebolo možné jednoznačne uviesť, na čo slúžia odkazy na cudzie písma.
Relatívne novou metódou sú takzvané, teda prekrytia, ktoré kradnú čísla kreditných kariet na webových stránkach obchodov. Používateľ webovej stránky využívajúcej HTTPS(3) je už zaškolený a zvyknutý kontrolovať, či je daná webová stránka označená týmto charakteristickým symbolom a samotná prítomnosť visiaceho zámku sa stala dôkazom, že žiadne hrozby neexistujú.
3. Označenie HTTPS v internetovej adrese
Zločinci však toto prílišné spoliehanie sa na bezpečnosť stránky využívajú rôznymi spôsobmi: používajú bezplatné certifikáty, umiestňujú na stránku favicon v podobe visiaceho zámku a vkladajú infikovaný kód do zdrojového kódu stránky.
Analýza spôsobov infikovania niektorých internetových obchodov ukazuje, že útočníci preniesli fyzické skimmery bankomatov do kybernetického sveta v podobe . Klient pri klasickom prevode pri nákupoch vyplní platobný formulár, v ktorom uvedie všetky údaje (číslo kreditnej karty, dátum exspirácie, číslo CVV, meno a priezvisko).
Platba je autorizovaná obchodom tradičným spôsobom a celý proces nákupu prebieha korektne. V prípade použitia sa však do stránky obchodu vloží kód (stačí jeden riadok JavaScriptu), čo spôsobí, že údaje zadané do formulára sa odošlú na server útočníkov.
Jedným z najznámejších zločinov tohto typu bol útok na webovú stránku Obchod republikánskych večierkov v USA. V priebehu šiestich mesiacov boli údaje o kreditnej karte klienta ukradnuté a prenesené na ruský server.
Vyhodnotením údajov o návštevnosti obchodu a čiernom trhu sa zistilo, že ukradnuté kreditné karty priniesli kyberzločincom zisk 600 XNUMX dolárov. dolárov.
V roku 2018 boli odcudzené rovnakým spôsobom. zákaznícke údaje výrobcu smartfónov OnePlus. Spoločnosť priznala, že jej server bol infikovaný a prenesené údaje o kreditnej karte boli skryté priamo v prehliadači a odoslané neznámym zločincom. Bolo oznámené, že takto boli privlastnené údaje 40 ľudí. klientov.
Nebezpečenstvo zariadenia
Obrovskú a rastúcu oblasť neviditeľných kybernetických hrozieb tvoria všetky druhy techník založených na digitálnom vybavení, či už vo forme čipov tajne inštalovaných v zdanlivo neškodných komponentoch alebo špionážnych zariadeniach.
Po objavení ďalších, ktoré v októbri minulého roka oznámila agentúra Bloomberg, miniatúrne špionážne čipy v telekomunikačných zariadeniach vr. v ethernetových zásuvkách (4) predávaných spoločnosťami Apple alebo Amazon sa stal v roku 2018 senzáciou. Stopa viedla k Supermicro, výrobcovi zariadení v Číne. Informácie Bloombergu však následne vyvrátili všetky zainteresované strany – od Číňanov až po Apple a Amazon.
4. Sieťové porty Ethernet
Ako sa ukázalo, aj bez špeciálnych implantátov možno pri tichom útoku použiť „obyčajný“ počítačový hardvér. Napríklad sa zistilo, že chyba v procesoroch Intel, o ktorej sme nedávno písali v MT, ktorá spočíva v možnosti „predvídať“ následné operácie, je schopná povoliť spustenie akéhokoľvek softvéru (od databázového stroja až po jednoduchý JavaScript v prehliadači) na prístup k štruktúre alebo obsahu chránených oblastí pamäte jadra.
Pred niekoľkými rokmi sme písali o zariadeniach, ktoré vám umožňujú tajne hackovať a špehovať elektronické zariadenia. Opísali sme 50-stranový „Nákupný katalóg ANT“, ktorý bol dostupný online. Ako píše Spiegel, práve od neho si spravodajskí agenti špecializovaní na kybernetickú vojnu vyberajú svoje „zbrane“.
Zoznam obsahuje produkty rôznych tried, od zvukovej vlny a odpočúvacieho zariadenia LOUDAUTO za 30 USD až po 40 XNUMX USD. CANDYGRAM dolárov, ktoré sa používajú na inštaláciu vašej vlastnej kópie GSM mobilnej veže.
V zozname nie je len hardvér, ale aj špecializovaný softvér, akým je napríklad DROPOUTJEEP, ktorý po „implantovaní“ do iPhonu umožňuje okrem iného načítať súbory z jeho pamäte alebo do nej ukladať súbory. Môžete tak prijímať zoznamy adries, SMS správy, hlasové správy, ako aj ovládať a lokalizovať kameru.
Tvárou v tvár sile a všadeprítomnosti neviditeľných nepriateľov sa niekedy cítite bezmocní. Preto nie každý je prekvapený a pobavený postoj Yoshitaka Sakuradu, minister zodpovedný za prípravu olympijských hier v Tokiu 2020 a zástupca vedúceho vládneho úradu pre stratégiu kybernetickej bezpečnosti, ktorý údajne nikdy nepoužil počítač.
Pre nepriateľa bol aspoň neviditeľný, pre neho nie nepriateľ.
Zoznam výrazov týkajúcich sa neviditeľného kybernetického nepriateľa
Škodlivý softvér určený na skryté prihlásenie do systému, zariadenia, počítača alebo softvéru alebo na obchádzanie tradičných bezpečnostných opatrení.
Robot – samostatné zariadenie pripojené k internetu, infikované malvérom a zahrnuté v sieti podobných infikovaných zariadení. najčastejšie ide o počítač, ale môže to byť aj smartfón, tablet alebo zariadenie pripojené k internetu vecí (napríklad smerovač alebo chladnička). Dostáva prevádzkové pokyny z príkazového a riadiaceho servera alebo priamo a niekedy aj od iných používateľov v sieti, ale vždy bez vedomia alebo vedomia vlastníka. môžu zahŕňať až milión zariadení a odoslať až 60 miliárd spamu denne. Používajú sa na podvodné účely, prijímanie online prieskumov, manipuláciu so sociálnymi sieťami, ako aj na šírenie spamu a.
– v roku 2017 sa objavila nová technológia na ťažbu kryptomeny Monero vo webových prehliadačoch. Skript bol vytvorený v JavaScripte a dá sa jednoducho vložiť na akúkoľvek stránku. Keď používateľ
počítač navštívi takto infikovanú stránku, výpočtový výkon jeho zariadenia sa využíva na ťažbu kryptomien. Čím viac času strávime na týchto typoch webových stránok, tým viac cyklov CPU v našom zariadení môže využiť kyberzločinec.
– Škodlivý softvér, ktorý inštaluje iný typ škodlivého softvéru, napríklad vírus alebo zadné vrátka. často navrhnuté tak, aby sa vyhli detekcii tradičnými riešeniami
antivírus, vrát. z dôvodu oneskorenej aktivácie.
Škodlivý softvér, ktorý využíva zraniteľnosť legitímneho softvéru na kompromitáciu počítača alebo systému.
– používanie softvéru na zhromažďovanie informácií súvisiacich s konkrétnym typom používania klávesnice, ako je poradie alfanumerických/špeciálnych znakov spojených s určitými slovami
kľúčové slová ako „bankofamerica.com“ alebo „paypal.com“. Ak beží na tisíckach pripojených počítačov, kyberzločinec má schopnosť rýchlo zbierať citlivé informácie.
– Škodlivý softvér špeciálne navrhnutý na poškodenie počítača, systému alebo údajov. Zahŕňa niekoľko typov nástrojov vrátane trójskych koní, vírusov a červov.
– pokus získať citlivé alebo dôverné informácie od používateľa zariadenia pripojeného na internet. Kyberzločinci používajú túto metódu na distribúciu elektronického obsahu širokému spektru obetí, pričom ich vyzývajú, aby vykonali určité akcie, napríklad klikli na odkaz alebo odpovedali na e-mail. V takom prípade poskytnú osobné údaje ako používateľské meno, heslo, bankové alebo finančné údaje alebo údaje o kreditnej karte bez ich vedomia. Spôsoby distribúcie zahŕňajú e-mail, online reklamu a SMS. Variant je útok namierený proti konkrétnym jednotlivcom alebo skupinám jednotlivcov, ako sú vedúci pracovníci spoločností, celebrity alebo vysokopostavení vládni úradníci.
– Škodlivý softvér, ktorý vám umožňuje tajne získať prístup k častiam počítača, softvéru alebo systému. Často upravuje hardvérový operačný systém takým spôsobom, že zostáva pre používateľa skrytý.
- malware, ktorý špehuje používateľa počítača, zachytáva stlačenia klávesov, e-maily, dokumenty a dokonca zapína videokameru bez jeho vedomia.
- spôsob skrytia súboru, správy, obrázku alebo filmu do iného súboru. Využite túto technológiu nahrávaním zdanlivo neškodných obrázkových súborov obsahujúcich zložité streamy.
správy odoslané cez kanál C&C (medzi počítačom a serverom) vhodné na nelegálne použitie. Obrázky môžu byť uložené na napadnutej webovej stránke alebo dokonca
v službách zdieľania obrázkov.
Šifrovanie/komplexné protokoly je metóda používaná v kóde na zahmlievanie prenosov. Niektoré programy založené na malvéri, ako napríklad trójsky kôň, šifrujú distribúciu škodlivého softvéru aj komunikáciu C&C (riadenie).
je forma nereplikujúceho sa škodlivého softvéru, ktorý obsahuje skryté funkcie. Trójsky kôň sa zvyčajne nesnaží šíriť alebo vkladať do iných súborov.
- spojenie slov ("hlas") a. Znamená používanie telefónneho spojenia na získanie citlivých osobných informácií, ako sú čísla bánk alebo kreditných kariet.
Obeť zvyčajne dostane výzvu na automatickú správu od niekoho, kto tvrdí, že zastupuje finančnú inštitúciu, poskytovateľa internetových služieb alebo technologickú spoločnosť. Správa môže vyžadovať číslo účtu alebo PIN. Po aktivácii spojenia je cez službu presmerované na útočníka, ktorý si následne vyžiada ďalšie citlivé osobné údaje.
(BEC) – typ útoku, ktorého cieľom je oklamať ľudí z danej spoločnosti alebo organizácie a ukradnúť peniaze vydávaním sa za identitu
spravované. Zločinci získavajú prístup k podnikovému systému prostredníctvom typického útoku alebo malvéru. Potom študujú organizačnú štruktúru spoločnosti, jej finančné systémy a štýl a harmonogram e-mailov manažmentu.
Pozri tiež:
