Hvordan overrasket en viss japansk minister hackerne?
Antall metoder for å skjule, skjule og villede fienden – enten det er nettkriminalitet eller nettkrigføring – vokser ubønnhørlig. Det kan sies at hackere i dag svært sjelden, for berømmelse eller forretningens skyld, avslører hva de har gjort.
En rekke tekniske feil under fjorårets åpningsseremoni Vinter-OL i Korea var det et resultat av et nettangrep. The Guardian rapporterte at utilgjengeligheten til Games-nettstedet, Wi-Fi-feil på stadion og ødelagte TV-er i presserommet var et resultat av et mye mer sofistikert angrep enn først antatt. Angriperne fikk tilgang til arrangørenes nettverk på forhånd og deaktiverte mange datamaskiner på en svært utspekulert måte – til tross for utallige sikkerhetstiltak.
Inntil effektene ble sett, var fienden usynlig. Når ødeleggelsen ble sett, forble det stort sett slik (1). Det har vært flere teorier om hvem som sto bak angrepet. I følge de mest populære førte sporene til Russland - ifølge noen kommentatorer kan dette være hevn for fjerningen av Russlands statsbannere fra lekene.
Andre mistanker har vært rettet mot Nord-Korea, som alltid er ute etter å erte sin sørlige nabo, eller Kina, som er en hackermakt og ofte er blant de mistenkte. Men alt dette var mer en detektivdeduksjon enn en konklusjon basert på ugjendrivelige bevis. Og i de fleste av disse tilfellene er vi bare dømt til denne typen spekulasjoner.
Som regel er det en vanskelig oppgave å etablere forfatterskapet til et nettangrep. Ikke bare etterlater kriminelle vanligvis ingen gjenkjennelige spor, men de legger også forvirrende ledetråder til metodene deres.
Det var slik angrep på polske banker i begynnelsen av 2017. BAE Systems, som først beskrev det høyprofilerte angrepet på Bangladesh National Bank, undersøkte nøye noen elementer av skadelig programvare som var rettet mot datamaskiner i polske banker og konkluderte med at forfatterne prøvde å etterligne russisktalende personer.
Kodeelementer inneholdt russiske ord med merkelig translitterasjon - for eksempel det russiske ordet i den uvanlige formen "klient". BAE Systems mistenker at angriperne brukte Google Translate for å utgi seg for å være russiske hackere som bruker russisk vokabular.
I mai 2018 Banco de Chile erkjente at han hadde problemer og anbefalte kunder å bruke nett- og mobilbanktjenester, samt minibanker. På skjermene til datamaskiner plassert i avdelingene fant eksperter tegn på skade på oppstartssektorene til disker.
Etter flere dagers surfing på nettet ble det funnet spor som bekreftet at massiv diskkorrupsjon faktisk hadde funnet sted på tusenvis av datamaskiner. I følge uoffisiell informasjon påvirket konsekvensene 9 tusen mennesker. datamaskiner og 500 servere.
Ytterligere etterforskning avslørte at viruset hadde forsvunnet fra banken på tidspunktet for angrepet. 11 millioner dollarog andre kilder peker på en enda større sum! Sikkerhetseksperter konkluderte til slutt med at bankdatamaskinens skadede disker ganske enkelt var kamuflasje for hackere å stjele. Banken bekrefter imidlertid ikke offisielt dette.
Null dager å forberede og null filer
I løpet av det siste året har nesten to tredjedeler av verdens største selskaper blitt angrepet av nettkriminelle. De brukte oftest teknikker basert på zero-day sårbarheter og den såkalte. filløse angrep.
Dette er funnene i rapporten State of Endpoint Security Risk utarbeidet av Ponemon Institute på vegne av Barkly. Begge angrepsteknikkene er varianter av den usynlige fienden som får mer og mer popularitet.
Ifølge forfatterne av studien, bare det siste året har antallet angrep mot verdens største organisasjoner økt med 20 %. Vi lærer også fra rapporten at gjennomsnittlig tap som følge av slike handlinger er estimert til $7,12 millioner hver, som er $440 per posisjon som ble angrepet. Disse beløpene inkluderer både spesifikke tap forårsaket av kriminelle og kostnadene ved å gjenopprette angrepet systemer til sin opprinnelige tilstand.
Typiske angrep er ekstremt vanskelige å motvirke, da de vanligvis er basert på sårbarheter i programvare som verken produsenten eller brukerne er klar over. Førstnevnte kan ikke forberede riktig sikkerhetsoppdatering, og sistnevnte kan ikke implementere de riktige sikkerhetsprosedyrene.
"Så mange som 76 % av vellykkede angrep var basert på utnyttelse av nulldagssårbarheter eller noe tidligere ukjent skadelig programvare, noe som betyr at de var fire ganger mer effektive enn klassiske teknikker som tidligere ble brukt av nettkriminelle," forklarer Ponemon Institute-representantene. .
Den andre usynlige metoden, filløse angrep, er å kjøre ondsinnet kode på systemet ved å bruke forskjellige "triks" (for eksempel ved å injisere en utnyttelse på et nettsted), uten å kreve at brukeren laster ned eller kjører noen fil.
Kriminelle bruker denne metoden oftere og oftere ettersom klassiske angrep for å sende ondsinnede filer (som Office-dokumenter eller PDF-filer) til brukere blir mindre og mindre effektive. I tillegg er angrep vanligvis basert på programvaresårbarheter som allerede er kjent og fikset – problemet er at mange brukere ikke oppdaterer applikasjonene ofte nok.
I motsetning til scenariet ovenfor, plasserer ikke skadelig programvare den kjørbare filen på disken. I stedet kjører den på datamaskinens interne minne, som er RAM.
Dette betyr at tradisjonell antivirusprogramvare vil ha vanskelig for å oppdage en ondsinnet infeksjon fordi den ikke finner filen som peker på den. Gjennom bruk av skadelig programvare kan en angriper skjule sin tilstedeværelse på datamaskinen uten å slå alarm og forårsake ulike typer skade (tyveri av informasjon, nedlasting av ytterligere skadelig programvare, få tilgang til høyere privilegier, etc.).
Filløs skadelig programvare kalles også (AVT). Noen eksperter sier det er enda verre enn (APT).
2. Informasjon om det hackede nettstedet
Når HTTPS ikke hjelper
Det ser ut til at tidene da kriminelle tok kontroll over nettstedet, endret innholdet på hovedsiden, plasserte informasjon på den med stor skrift (2), er borte for alltid.
Foreløpig er målet med angrep først og fremst å skaffe penger, og kriminelle bruker alle metoder for å oppnå konkrete økonomiske fordeler i enhver situasjon. Etter overtakelsen prøver partene å holde seg skjult så lenge som mulig og tjene penger eller bruke den oppkjøpte infrastrukturen.
Å injisere ondsinnet kode på dårlig beskyttede nettsteder kan ha ulike formål, for eksempel økonomiske (tyveri av kredittkortinformasjon). Det ble en gang skrevet om det Bulgarske manus introdusert på nettsiden til kontoret til presidenten for republikken Polen, men det var ikke mulig å tydelig angi hva formålet med lenker til utenlandske fonter var.
En relativt ny metode er de såkalte, det vil si overlegg som stjeler kredittkortnumre på butikknettsider. Brukeren av et nettsted som bruker HTTPS(3) er allerede opplært og vant til å sjekke om et gitt nettsted er merket med dette karakteristiske symbolet, og selve tilstedeværelsen av en hengelås har blitt bevis på at det ikke finnes trusler.
3. Betegnelse på HTTPS i Internett-adressen
Kriminelle bruker imidlertid denne overavhengigheten av nettstedets sikkerhet på forskjellige måter: de bruker gratis sertifikater, plasserer et favorittikon i form av en hengelås på nettstedet, og injiserer infisert kode i kildekoden til nettstedet.
En analyse av smittemetodene til enkelte nettbutikker viser at angriperne overførte de fysiske skimmerne til minibanker til cyberverdenen i form av . Når du foretar en standardoverføring for kjøp, fyller klienten ut et betalingsskjema der han angir alle data (kredittkortnummer, utløpsdato, CVV-nummer, for- og etternavn).
Betaling autoriseres av butikken på tradisjonell måte, og hele kjøpsprosessen gjennomføres korrekt. Men i tilfelle bruk injiseres en kode (en enkelt linje med JavaScript er nok) på butikksiden, noe som fører til at dataene som er lagt inn i skjemaet sendes til serveren til angriperne.
En av de mest kjente forbrytelsene av denne typen var angrepet på nettstedet USA Republican Party Store. I løpet av seks måneder ble klientens kredittkortopplysninger stjålet og overført til en russisk server.
Ved å evaluere butikktrafikk og svartemarkedsdata ble det fastslått at de stjålne kredittkortene ga en fortjeneste på 600 XNUMX dollar for nettkriminelle. dollar.
I 2018 ble de stjålet på identisk måte. smarttelefonprodusenten OnePlus kundedata. Selskapet innrømmet at serveren var infisert, og de overførte kredittkortdetaljene ble gjemt rett i nettleseren og sendt til ukjente kriminelle. Det ble rapportert at dataene til 40 personer ble tilegnet på denne måten. klienter.
Utstyrsfarer
Et stort og voksende område med usynlige cybertrusler består av alle slags teknikker basert på digitalt utstyr, enten det er i form av brikker som er hemmelig installert i tilsynelatende ufarlige komponenter eller spionenheter.
Etter oppdagelsen av ytterligere, annonsert i oktober i fjor av Bloomberg, miniatyr spionbrikker innen teleutstyr, inkl. i Ethernet-uttak (4) solgt av Apple eller Amazon ble en sensasjon i 2018. Sporet førte til Supermicro, en enhetsprodusent i Kina. Bloombergs informasjon ble imidlertid senere tilbakevist av alle interesserte parter – fra kineserne til Apple og Amazon.
4. Ethernet-nettverksporter
Som det viste seg, også blottet for spesielle implantater, kan "vanlig" maskinvare brukes i et stille angrep. For eksempel har det blitt funnet at en feil i Intel-prosessorer, som vi nylig skrev om i MT, som består i muligheten til å "forutsi" påfølgende operasjoner, er i stand til å tillate hvilken som helst programvare (fra en databasemotor til enkel JavaScript) i en nettleser) for å få tilgang til strukturen eller innholdet i beskyttede områder av kjerneminnet.
For noen år siden skrev vi om utstyr som lar deg hacke og spionere på elektroniske enheter i hemmelighet. Vi beskrev en 50-siders "ANT Shopping Catalog" som var tilgjengelig på nettet. Som Spiegel skriver, er det fra ham at etterretningsagenter som spesialiserer seg på cyberkrigføring velger sine "våpen".
Listen inkluderer produkter i forskjellige klasser, fra lydbølgen og $30 LOUDAUTO-avlyttingsenheten til $40. CANDYGRAM-dollar, som brukes til å installere din egen kopi av et GSM-mobiltårn.
Listen inkluderer ikke bare maskinvare, men også spesialisert programvare, som DROPOUTJEEP, som etter å ha blitt «implantert» i iPhone, lar blant annet hente filer fra minnet eller lagre filer til den. Dermed kan du motta e-postlister, SMS-meldinger, talemeldinger, samt kontrollere og lokalisere kameraet.
Stilt overfor kraften og allestedsnærværet til usynlige fiender, føler du deg noen ganger hjelpeløs. Derfor er ikke alle overrasket og underholdt holdningen til Yoshitaka Sakurada, ministeren med ansvar for forberedelsene til OL i Tokyo 2020 og nestleder for regjeringens cybersikkerhetsstrategikontor, som angivelig aldri har brukt en datamaskin.
Han var i det minste usynlig for fienden, ikke en fiende for ham.
Liste over termer relatert til usynlig nettfiende
Skadelig programvare utviklet for å logge på et system, en enhet, en datamaskin eller programvare skjult, eller ved å omgå tradisjonelle sikkerhetstiltak.
Boten – en separat enhet koblet til Internett, infisert med skadelig programvare og inkludert i et nettverk av lignende infiserte enheter. dette er oftest en datamaskin, men det kan også være en smarttelefon, nettbrett eller IoT-tilkoblet utstyr (som en ruter eller kjøleskap). Den mottar operative instruksjoner fra kommando- og kontrollserveren eller direkte, og noen ganger fra andre brukere på nettverket, men alltid uten eierens viten eller kunnskap. de kan inkludere opptil en million enheter og sende opptil 60 milliarder spam per dag. De brukes til svindelformål, mottak av spørreundersøkelser på nettet, manipulering av sosiale nettverk, samt for å spre spam og.
– i 2017 dukket det opp en ny teknologi for utvinning av Monero-kryptovaluta i nettlesere. Skriptet ble laget i JavaScript og kan enkelt bygges inn på hvilken som helst side. Når brukeren
en datamaskin besøker en slik infisert side, brukes datakraften til enheten til kryptovalutautvinning. Jo mer tid vi bruker på denne typen nettsteder, jo flere CPU-sykluser i utstyret vårt kan brukes av en nettkriminell.
– Skadelig programvare som installerer en annen type skadelig programvare, for eksempel et virus eller bakdør. ofte designet for å unngå oppdagelse av tradisjonelle løsninger
antivirus, inkl. på grunn av forsinket aktivering.
Skadelig programvare som utnytter en sårbarhet i legitim programvare for å kompromittere en datamaskin eller et system.
– bruk av programvare for å samle informasjon relatert til en bestemt type tastaturbruk, for eksempel sekvensen av alfanumeriske/spesielle tegn assosiert med visse ord
søkeord som "bankofamerica.com" eller "paypal.com". Hvis den kjører på tusenvis av tilkoblede datamaskiner, har en nettkriminell muligheten til å samle inn sensitiv informasjon raskt.
– Skadelig programvare spesielt utviklet for å skade en datamaskin, et system eller data. Den inkluderer flere typer verktøy, inkludert trojanere, virus og ormer.
– et forsøk på å innhente sensitiv eller konfidensiell informasjon fra en bruker av utstyr koblet til Internett. Nettkriminelle bruker denne metoden til å distribuere elektronisk innhold til et bredt spekter av ofre, og ber dem om å utføre visse handlinger, for eksempel å klikke på en lenke eller svare på en e-post. I dette tilfellet vil de oppgi personlig informasjon som brukernavn, passord, bank- eller økonomiske detaljer eller kredittkortopplysninger uten deres viten. Distribusjonsmetoder inkluderer e-post, nettannonsering og SMS. En variant er et angrep rettet mot spesifikke individer eller grupper av individer, for eksempel bedriftsledere, kjendiser eller høytstående myndighetspersoner.
– Skadelig programvare som lar deg i hemmelighet få tilgang til deler av en datamaskin, programvare eller system. Det modifiserer ofte maskinvareoperativsystemet på en slik måte at det forblir skjult for brukeren.
- malware som spionerer på en datamaskinbruker, avskjærer tastetrykk, e-poster, dokumenter og til og med slår på et videokamera uten hans viten.
- en metode for å skjule en fil, melding, bilde eller film i en annen fil. Dra nytte av denne teknologien ved å laste opp tilsynelatende harmløse bildefiler som inneholder komplekse strømmer.
meldinger sendt over C&C-kanalen (mellom en datamaskin og en server) egnet for ulovlig bruk. Bilder kan lagres på et hacket nettsted eller til og med
i bildedelingstjenester.
Kryptering/komplekse protokoller er en metode som brukes i kode for å skjule overføringer. Noen malware-baserte programmer, som trojaneren, krypterer både distribusjon av skadelig programvare og C&C (kontroll)-kommunikasjon.
er en form for ikke-replikerende skadelig programvare som inneholder skjult funksjonalitet. Trojaneren prøver vanligvis ikke å spre seg eller injisere seg selv i andre filer.
- en kombinasjon av ordene ("stemme") og. Betyr å bruke en telefonforbindelse for å innhente sensitiv personlig informasjon som bank- eller kredittkortnummer.
Vanligvis mottar offeret en automatisk meldingsutfordring fra noen som hevder å representere en finansinstitusjon, ISP eller teknologiselskap. Meldingen kan be om et kontonummer eller en PIN-kode. Når tilkoblingen er aktivert, blir den omdirigert gjennom tjenesten til angriperen, som deretter ber om ytterligere sensitive personopplysninger.
(BEC) - en type angrep rettet mot å lure folk fra et gitt selskap eller organisasjon og stjele penger ved å utgi seg for
styrt av. Kriminelle får tilgang til et bedriftssystem gjennom et typisk angrep eller skadelig programvare. De studerer deretter selskapets organisasjonsstruktur, dets økonomiske systemer og ledelsens e-poststil og tidsplan.
Se også:
