Hur överraskade en viss japansk minister hackarna?
Antalet tekniker för att dölja, dölja och lura fienden - vare sig det är cyberbrott eller cyberkrig - växer obönhörligt. Man kan säga att hackare i dag mycket sällan, för berömmelsens eller affärens skull, avslöjar vad de har gjort.
En rad tekniska fel under förra årets öppningsceremoni Vinter-OS i Korea var det resultatet av en cyberattack. The Guardian rapporterade att otillgängligheten till spelwebbplatsen, Wi-Fi-fel på stadion och trasiga TV-apparater i pressrummet var resultatet av en mycket mer sofistikerad attack än man först trodde. Angriparna fick tillgång till arrangörernas nätverk i förväg och inaktiverade på ett mycket listigt sätt många datorer – trots åtskilliga säkerhetsåtgärder.
Till dess effekterna märktes var fienden osynlig. När förstörelsen väl märktes förblev den i stort sett så (1). Det fanns flera teorier om vem som låg bakom attacken. Enligt den mest populära ledde spåren till Ryssland - enligt vissa kommentatorer kan detta vara en hämnd för borttagandet av ryska statliga banderoller från spelen.
Andra misstankar har riktats mot Nordkorea, som alltid är angelägen om att reta sin södra granne, eller Kina, som är en hackarmakt och ofta är bland de misstänkta. Men allt detta var mer en detektivavdrag än en slutsats baserad på obestridliga bevis. Och i de flesta sådana fall är vi bara dömda till denna typ av spekulationer.
Att tillskriva ursprunget till en cyberattack är vanligtvis en svår uppgift. Inte nog med att brottslingar vanligtvis inte lämnar några igenkännbara spår, utan de lägger också till förvirrande ledtrådar till sina metoder.
Det var så här attack mot polska banker i början av 2017. BAE Systems, som först beskrev den högprofilerade attacken mot Bangladeshs nationalbank, har noggrant undersökt en del av skadlig programvara som riktade in sig på datorer på polska banker och kommit fram till att dess författare försökte utge sig för att vara rysktalande personer.
Kodelementen innehöll ryska ord med konstiga translitterationer - till exempel det ryska ordet i en ovanlig form "klient". BAE Systems misstänker att angriparna använde Google Translate för att låtsas vara ryska hackare som använder ryskt ordförråd.
I maj 2018 Banco de Chile medgav att de hade problem och rekommenderade kunderna att använda internet- och mobilbanktjänster samt bankomater. På datorskärmarna på avdelningarna hittade experter tecken på skador på skivornas startsektorer.
Efter flera dagars genomsökning av nätverket hittades spår som bekräftade att det verkligen hade förekommit massiv diskkorruption på tusentals datorer. Enligt inofficiell information påverkade konsekvenserna 9 tusen människor. datorer och 500 servrar.
Ytterligare undersökningar visade att viruset hade försvunnit från banken under attacken. 11 miljoneroch andra källor tyder på en ännu större mängd! Säkerhetsexperter drog så småningom slutsatsen att de korrupta bankdatordiskarna helt enkelt var ett kamouflage för hackare att stjäla. Banken bekräftar dock inte officiellt detta.
Noll dagar att förbereda och noll filer
Under det senaste året har nästan två tredjedelar av världens största företag framgångsrikt attackerats av cyberbrottslingar. De använde oftast tekniker baserade på nolldagssårbarheter och sk. fillösa attacker.
Detta är resultaten av rapporten State of Endpoint Security Risk, som utarbetats av Ponemon Institute på uppdrag av Barkly. Båda attackteknikerna är varianter av den osynliga fienden som blir allt mer populära.
Enligt studiens författare har antalet attacker riktade mot världens största organisationer bara under det senaste året ökat med 20 %. Vi lär oss också från rapporten att den genomsnittliga förlusten som uppstår till följd av sådana handlingar uppskattas till $7,12 miljoner vardera, vilket är $440 per position som attackerades. Dessa belopp inkluderar både specifika förluster orsakade av brottslingar och kostnaderna för att återställa de attackerade systemen till deras ursprungliga tillstånd.
Typiska attacker är extremt svåra att motverka, eftersom de oftast är baserade på sårbarheter i programvara som varken tillverkaren eller användarna känner till. De förra kan inte förbereda en lämplig säkerhetsuppdatering och de senare kan inte implementera lämpliga säkerhetsprocedurer.
"Så många som 76 % av framgångsrika attacker baserades på att utnyttja nolldagars sårbarheter eller någon tidigare okänd skadlig programvara - vilket betyder att de var fyra gånger effektivare än klassiska tekniker som tidigare använts av cyberkriminella", förklarar Ponemon Institute. .
Andra osynliga metoden fillösa attacker, består av att köra skadlig kod på ett system med hjälp av olika "trick" (till exempel genom att injicera ett utnyttjande på en webbplats) utan att användaren behöver ladda ner eller köra någon fil.
Brottslingar använder denna metod allt oftare eftersom klassiska attacker för att skicka skadliga filer (som Office-dokument eller PDF-filer) till användare blir mindre och mindre effektiva. Låt oss tillägga att attacker oftast är baserade på mjukvarusårbarheter som redan är kända och åtgärdade – problemet är att många användare inte uppdaterar sina applikationer tillräckligt ofta.
Till skillnad från ovanstående scenario, placerar inte skadlig programvara den körbara filen på disken. Istället körs den i din dators interna minne, vilket är RAM.
Detta innebär att traditionella antivirusprogram kommer att ha svårt att upptäcka en skadlig infektion eftersom den inte hittar filen som pekar på den. Genom att använda skadlig programvara kan en angripare dölja sin närvaro på en dator utan att larma och orsaka olika typer av skador (stöld av information, nedladdning av ytterligare skadlig programvara, få tillgång till högre privilegier etc.).
Fillös skadlig programvara kallas också (AVT). Vissa experter säger att det är ännu värre än (APT).
2. Information om den hackade webbplatsen
När HTTPS inte hjälper
Det verkar som att de dagar då brottslingar tog kontroll över en webbplats, ändrade innehållet på huvudsidan, placerade information på den i stort teckensnitt (2), är borta för alltid.
Numera är syftet med attacker i första hand att skaffa pengar, och kriminella använder alla metoder för att få påtaglig ekonomisk vinning i alla situationer. Efter ett övertagande försöker parterna hålla sig gömda så länge som möjligt och göra vinst eller använda den förvärvade infrastrukturen.
Att injicera skadlig kod på dåligt skyddade webbplatser kan ha olika syften, till exempel ekonomiska (stjäla kreditkortsinformation). Det skrevs en gång om det Bulgariska manus infördes på webbplatsen för Republiken Polens presidents kansli, men det var inte möjligt att tydligt ange vad syftet med länkarna till utländska typsnitt var.
En relativt ny metod är de så kallade, det vill säga overlays som stjäl kreditkortsnummer på butikswebbplatser. Användaren av en webbplats som använder HTTPS (3) är redan utbildad och van vid att kontrollera om webbplatsen är märkt med denna karakteristiska symbol, och själva närvaron av hänglåset blev ett bevis på att det inte fanns några hot.
3. HTTPS-beteckning i internetadressen
Brottslingar utnyttjar dock detta överdrivna förtroende för webbplatsens säkerhet på olika sätt: de använder gratiscertifikat, placerar en favicon på webbplatsen i form av ett lås och injicerar infekterad kod i webbplatsens källkod.
En analys av hur vissa nätbutiker infekterades visar att fysiska ATM-skimmers överfördes av angripare till cybervärlden i form av . När du gör en standardöverföring för köp, fyller kunden i ett betalningsformulär där han anger alla uppgifter (kreditkortsnummer, utgångsdatum, CVV-nummer, för- och efternamn).
Betalning godkänns av butiken på traditionellt sätt och hela köpprocessen genomförs korrekt. Men när den används matas en kod (en rad JavaScript räcker) in på butikens webbplats, vilket gör att data som anges i formuläret skickas till angriparnas server.
Ett av de mest kända brotten av denna typ var en attack mot webbplatsen US Republican Party Store. Inom sex månader stals klientens kreditkortsinformation och överfördes till en rysk server.
Genom att bedöma butikstrafik och svartmarknadsdata fastställdes det att de stulna kreditkorten genererade 600 dollar i vinst för cyberbrottslingarna. dollar.
2018 stals de på identiskt sätt. kunddata från smartphonetillverkaren OnePlus. Företaget medgav att dess server var infekterad, och den överförda kreditkortsinformationen gömdes direkt i webbläsaren och skickades till okända brottslingar. Det rapporterades att uppgifterna om 40 personer förskingrats på detta sätt. kunder.
Utrustningsrisker
Ett enormt och växande område av osynliga cyberhot består av alla möjliga typer av tekniker baserade på digital utrustning, oavsett om det är i form av chips installerade i hemlighet i till synes ofarliga komponenter eller spionutrustning.
Upptäckten av ytterligare sådana som tillkännagavs i oktober förra året av Bloomberg, spionchips i miniatyr i telekommunikationsutrustning, inkl. i Ethernet-uttag (4) som säljs av Apple eller Amazon blev en sensation under 2018. Spåret ledde till Supermicro, en enhetstillverkare i Kina. Men Bloombergs information förnekades senare av alla berörda parter - från kineserna till Apple och Amazon.
4. Ethernet-nätverksportar
Som det visade sig, även utan speciella implantat, kan "vanlig" datorhårdvara användas i en tyst attack. Till exempel har det konstaterats att en bugg i Intel-processorer, som vi nyligen skrev om i MT, som består i möjligheten att "förutsäga" efterföljande operationer, kan tillåta vilken programvara som helst (från en databasmotor till enkel JavaScript att köras i en webbläsare) för att komma åt strukturen eller innehållet i skyddade områden i kärnminnet.
För några år sedan skrev vi om utrustning som låter dig hacka och spionera på elektroniska enheter i hemlighet. Vi beskrev en 50-sidig "ANT Shopping Catalog" som var tillgänglig online. Som Spiegel skriver är det från honom som underrättelseagenter specialiserade på cyberkrigföring väljer sina "vapen".
Listan innehåller produkter i olika klasser, från ljudvågen och LOUDAUTO-lyssningsapparaten för $30 till $40. CANDYGRAM-dollar, som används för att installera din egen kopia av ett GSM-mobiltorn.
Listan innehåller inte bara hårdvara, utan även specialiserad mjukvara, som DROPOUTJEEP, som efter att ha "implanterats" i iPhone, bland annat tillåter att extrahera filer från sitt minne eller spara filer till den. På så sätt kan du ta emot e-postlistor, SMS, röstmeddelanden och övervaka och lokalisera kameran.
När du ställs inför makten och allestädes närvaro av osynliga fiender känner du dig ibland hjälplös. Det är därför inte alla är förvånade och roade attityd Yoshitaka Sakurada, ministern med ansvar för förberedelserna inför OS i Tokyo 2020 och biträdande chef för regeringens kontor för cybersäkerhetsstrategi, som enligt uppgift aldrig har använt en dator.
Åtminstone var han osynlig för fienden och inte en fiende för honom.
Lista över termer relaterade till den osynliga cyberfienden
Skadlig programvara utformad för att i hemlighet logga in på ett system, enhet, dator eller programvara, eller genom att kringgå traditionella säkerhetsåtgärder.
Boten – en separat enhet ansluten till Internet, infekterad med skadlig programvara och inkluderad i ett nätverk av liknande infekterade enheter. detta är oftast en dator, men det kan också vara en smartphone, surfplatta eller IoT-ansluten utrustning (som en router eller ett kylskåp). Den tar emot operativa instruktioner från kommando- och kontrollservern eller direkt, och ibland från andra användare på nätverket, men alltid utan ägarens vetskap eller vetskap. de kan inkludera upp till en miljon enheter och skicka upp till 60 miljarder skräppost per dag. De används för bedrägliga syften, för att ta emot onlineundersökningar, manipulera sociala nätverk, samt för att sprida spam och.
– 2017 dök en ny teknik för utvinning av Monero kryptovaluta i webbläsare upp. Skriptet skapades i JavaScript och kan enkelt bäddas in på vilken sida som helst. När användaren
en dator besöker en sådan infekterad sida används datorkraften hos dess enhet för att bryta kryptovaluta. Ju mer tid vi spenderar på dessa typer av webbplatser, desto fler CPU-cykler i vår hårdvara kan en cyberbrottsling utnyttja.
– Skadlig programvara som installerar en annan typ av skadlig programvara, till exempel ett virus eller bakdörr. ofta utformade för att undvika upptäckt av traditionella lösningar
antivirus, inkl. på grund av försenad aktivering.
Skadlig programvara som utnyttjar en sårbarhet i legitim programvara för att äventyra en dator eller ett system.
– använda programvara för att samla in information relaterad till en viss typ av tangentbordsanvändning, såsom sekvensen av alfanumeriska/speciella tecken som är associerade med särskilda ord
nyckelord som "bankofamerica.com" eller "paypal.com". Om den körs på tusentals anslutna datorer har en cyberbrottsling förmågan att snabbt samla in känslig information.
– Skadlig programvara speciellt utformad för att skada en dator, ett system eller data. Den innehåller flera typer av verktyg, inklusive trojaner, virus och maskar.
– ett försök att få känslig eller konfidentiell information från en användare av utrustning ansluten till Internet. Cyberkriminella använder den här metoden för att distribuera elektroniskt innehåll till ett brett spektrum av offer, vilket uppmanar dem att vidta vissa åtgärder, som att klicka på en länk eller svara på ett e-postmeddelande. I det här fallet kommer de att tillhandahålla personlig information som användarnamn, lösenord, bank- eller finansiella uppgifter eller kreditkortsuppgifter utan deras vetskap. Distributionsmetoder inkluderar e-post, onlineannonsering och SMS. En variant är en attack riktad mot specifika individer eller grupper av individer, såsom företagsledare, kändisar eller högt uppsatta regeringstjänstemän.
– Skadlig programvara som gör att du i hemlighet kan få tillgång till delar av en dator, programvara eller system. Det modifierar ofta hårdvaruoperativsystemet på ett sådant sätt att det förblir dolt för användaren.
- skadlig programvara som spionerar på en datoranvändare, fångar upp tangenttryckningar, e-postmeddelanden, dokument och till och med sätter på en videokamera utan hans vetskap.
- en metod för att dölja en fil, meddelande, bild eller film i en annan fil. Dra fördel av denna teknik genom att ladda upp till synes ofarliga bildfiler som innehåller komplexa strömmar.
meddelanden som skickas över en C&C-kanal (mellan en dator och en server) som är lämpliga för illegal användning. Bilderna kan lagras på en hackad webbplats eller till och med
i bilddelningstjänster.
Kryptering/komplexa protokoll är en metod som används i kod för att fördunkla överföringar. Vissa skadlig programvara baserade program, som trojanen, krypterar både distribution av skadlig programvara och C&C-kommunikation (kontroll).
- en form av icke-replikerande skadlig programvara som innehåller dold funktionalitet. Trojanen försöker vanligtvis inte sprida eller injicera sig själv i andra filer.
- en kombination av orden ("röst") och. Innebär att man använder en telefonanslutning för att få känslig personlig information som bank- eller kreditkortsnummer.
Vanligtvis får offret ett robocall-meddelande från någon som påstår sig representera en finansiell institution, internetleverantör eller teknikföretag. Meddelandet kan be om ett kontonummer eller en PIN-kod. När anslutningen är aktiverad omdirigeras den via tjänsten till angriparen, som sedan begär ytterligare känsliga personuppgifter.
(BEC) är en typ av attack som syftar till att lura människor från ett visst företag eller en viss organisation och stjäla pengar genom att imitera
styrs av. Brottslingar får tillgång till ett företagssystem genom en generisk attack eller skadlig programvara. De studerar sedan företagets organisationsstruktur, dess finansiella system och ledningens e-poststil och schema.
Se även:
