Hvordan overraskede en vis japansk minister hackerne?
Antallet af metoder til at skjule, skjule og vildlede fjenden - hvad enten det er cyberkriminalitet eller cyberkrigsførelse - vokser ubønhørligt. Man kan sige, at hackere i dag meget sjældent, for berømmelse eller forretningens skyld, afslører, hvad de har gjort.
En række tekniske fejl under sidste års åbningsceremoni Vinter-OL i Korea var det resultatet af et cyberangreb. The Guardian rapporterede, at utilgængeligheden af Games-webstedet, Wi-Fi-fejl på stadion og ødelagte fjernsyn i presserummet var resultatet af et langt mere sofistikeret angreb end oprindeligt antaget. Angriberne fik på forhånd adgang til arrangørernes netværk og deaktiverede mange computere på en meget snedig måde - trods talrige sikkerhedsforanstaltninger.
Indtil dens virkninger blev set, var fjenden usynlig. Når først ødelæggelsen blev set, forblev den stort set sådan (1). Der har været flere teorier om, hvem der stod bag angrebet. Ifølge de mest populære førte sporene til Rusland - ifølge nogle kommentatorer kunne dette være hævn for fjernelsen af Ruslands statsbannere fra legene.
Andre mistanker har været rettet mod Nordkorea, som altid søger at drille sin sydlige nabo, eller Kina, som er en hackermagt og ofte er blandt de mistænkte. Men alt dette var mere en detektivdeduktion end en konklusion baseret på uigendrivelige beviser. Og i de fleste af disse tilfælde er vi kun dømt til denne form for spekulationer.
Som regel er det en vanskelig opgave at fastslå forfatterskabet til et cyberangreb. Ikke alene efterlader kriminelle normalt ingen genkendelige spor, men de tilføjer også forvirrende spor til deres metoder.
Det var sådan her angreb på polske banker i begyndelsen af 2017. BAE Systems, som først beskrev det højprofilerede angreb på Bangladeshs nationalbank, undersøgte omhyggeligt nogle elementer af den malware, der var rettet mod computere i polske banker, og konkluderede, at dets forfattere forsøgte at efterligne russisktalende personer.
Elementer af koden indeholdt russiske ord med mærkelig translitteration - for eksempel det russiske ord i den usædvanlige form "klient". BAE Systems har mistanke om, at angriberne brugte Google Translate til at udgive sig for at være russiske hackere, der bruger russisk ordforråd.
I maj 2018 Banco de Chile erkendte, at han havde problemer og anbefalede kunderne at bruge net- og mobilbanktjenester samt pengeautomater. På skærmene på computere placeret i afdelingerne fandt eksperter tegn på skader på diskenes bootsektorer.
Efter flere dages browsing på nettet blev der fundet spor, der bekræftede, at der faktisk havde fundet en massiv diskkorruption sted på tusindvis af computere. Ifølge uofficielle oplysninger påvirkede konsekvenserne 9 tusinde mennesker. computere og 500 servere.
Yderligere undersøgelser viste, at virussen var forsvundet fra banken på tidspunktet for angrebet. 11 millioner dollarsog andre kilder peger på en endnu større sum! Sikkerhedseksperter konkluderede til sidst, at bankcomputerens beskadigede diske simpelthen var camouflage for hackere at stjæle. Det bekræfter banken dog ikke officielt.
Nul dage til at forberede og nul filer
I løbet af det seneste år er næsten to tredjedele af verdens største virksomheder med succes blevet angrebet af cyberkriminelle. De brugte oftest teknikker baseret på zero-day sårbarheder og den såkaldte. filløse angreb.
Dette er resultaterne af rapporten State of Endpoint Security Risk udarbejdet af Ponemon Institute på vegne af Barkly. Begge angrebsteknikker er varianter af den usynlige fjende, der vinder mere og mere popularitet.
Ifølge forfatterne til undersøgelsen er antallet af angreb mod verdens største organisationer alene i det seneste år steget med 20 %. Vi lærer også fra rapporten, at det gennemsnitlige tab som følge af sådanne handlinger er anslået til $7,12 millioner hver, hvilket er $440 pr. position, der blev angrebet. Disse beløb inkluderer både specifikke tab forårsaget af kriminelle og omkostningerne ved at genoprette angrebne systemer til deres oprindelige tilstand.
Typiske angreb er ekstremt svære at imødegå, da de som regel er baseret på sårbarheder i software, som hverken producenten eller brugerne er klar over. Førstnævnte kan ikke forberede den relevante sikkerhedsopdatering, og sidstnævnte kan ikke implementere de relevante sikkerhedsprocedurer.
"Så mange som 76% af de vellykkede angreb var baseret på udnyttelse af nul-dages sårbarheder eller noget tidligere ukendt malware, hvilket betyder, at de var fire gange mere effektive end klassiske teknikker, der tidligere blev brugt af cyberkriminelle," forklarer Ponemon Institute-repræsentanterne. .
Anden usynlig metode, filløse angreb, er at køre ondsindet kode på systemet ved hjælp af forskellige "tricks" (for eksempel ved at injicere en udnyttelse på et websted), uden at kræve, at brugeren skal downloade eller køre nogen fil.
Kriminelle bruger denne metode oftere og oftere, da klassiske angreb til at sende ondsindede filer (såsom Office-dokumenter eller PDF-filer) til brugere bliver mindre og mindre effektive. Derudover er angreb som regel baseret på softwaresårbarheder, som allerede er kendt og rettet – problemet er, at mange brugere ikke opdaterer deres applikationer ofte nok.
I modsætning til ovenstående scenarie placerer malwaren ikke den eksekverbare på disken. I stedet kører den på din computers interne hukommelse, som er RAM.
Det betyder, at traditionel antivirussoftware vil have svært ved at opdage en ondsindet infektion, fordi den ikke finder den fil, der peger på den. Ved at bruge malware kan en angriber skjule sin tilstedeværelse på computeren uden at slå alarm og forårsage forskellige former for skade (tyveri af information, download af yderligere malware, få adgang til højere privilegier osv.).
Filløs malware kaldes også (AVT). Nogle eksperter siger, at det er endnu værre end (APT).
2. Oplysninger om det hackede websted
Når HTTPS ikke hjælper
Det ser ud til, at de tidspunkter, hvor kriminelle tog kontrol over webstedet, ændrede indholdet på hovedsiden og placerede oplysninger på det med stor skrift (2), er væk for altid.
I øjeblikket er målet med angreb primært at skaffe penge, og kriminelle bruger alle metoder til at opnå håndgribelige økonomiske fordele i enhver situation. Efter overtagelsen forsøger parterne at holde sig skjult så længe som muligt og skabe overskud eller bruge den erhvervede infrastruktur.
Indsprøjtning af ondsindet kode på dårligt beskyttede websteder kan have forskellige formål, såsom økonomiske (tyveri af kreditkortoplysninger). Det blev der engang skrevet om Bulgarske skrifter indført på hjemmesiden for Republikken Polens præsidents kontor, men det var ikke muligt klart at angive, hvad formålet med links til udenlandske skrifttyper var.
En forholdsvis ny metode er de såkaldte, altså overlays, der stjæler kreditkortnumre på butikkernes hjemmesider. Brugeren af en hjemmeside, der bruger HTTPS(3), er allerede trænet og vant til at tjekke, om en given hjemmeside er markeret med dette karakteristiske symbol, og selve tilstedeværelsen af en hængelås er blevet et bevis på, at der ikke er nogen trusler.
3. Angivelse af HTTPS i internetadressen
Kriminelle bruger dog denne overdreven afhængighed af webstedets sikkerhed på forskellige måder: de bruger gratis certifikater, placerer et favicon i form af en hængelås på webstedet og injicerer inficeret kode i webstedets kildekode.
En analyse af infektionsmetoderne i nogle netbutikker viser, at angriberne overførte de fysiske skimmere af pengeautomater til cyberverdenen i form af . Når kunden foretager en standardoverførsel for køb, udfylder kunden en betalingsformular, hvor han angiver alle data (kreditkortnummer, udløbsdato, CVV-nummer, for- og efternavn).
Betaling autoriseres af butikken på traditionel vis, og hele købsprocessen gennemføres korrekt. Men i tilfælde af brug injiceres en kode (en enkelt linje JavaScript er nok) i butikssiden, hvilket får de data, der er indtastet i formularen, til at blive sendt til angribernes server.
En af de mest berømte forbrydelser af denne type var angrebet på hjemmesiden USA Republican Party Store. Inden for seks måneder blev kundens kreditkortoplysninger stjålet og overført til en russisk server.
Ved at evaluere butikstrafik og sorte markedsdata blev det fastslået, at de stjålne kreditkort genererede en fortjeneste på $600 for cyberkriminelle. dollars.
I 2018 blev de stjålet på en identisk måde. smartphone-producenten OnePlus kundedata. Virksomheden indrømmede, at dens server var inficeret, og de overførte kreditkortoplysninger blev gemt direkte i browseren og sendt til ukendte kriminelle. Det blev rapporteret, at data fra 40 personer blev tilegnet på denne måde. klienter.
Udstyrsfarer
Et enormt og voksende område af usynlige cybertrusler består af alle slags teknikker baseret på digitalt udstyr, hvad enten det er i form af chips, der hemmeligt er installeret i tilsyneladende harmløse komponenter eller spionenheder.
På opdagelsen af yderligere, annonceret i oktober sidste år af Bloomberg, miniature spionchips i teleudstyr, inkl. i Ethernet-udtag (4) solgt af Apple eller Amazon blev en sensation i 2018. Sporet førte til Supermicro, en enhedsproducent i Kina. Bloombergs oplysninger blev dog efterfølgende tilbagevist af alle interesserede parter – lige fra kineserne til Apple og Amazon.
4. Ethernet-netværksporte
Som det viste sig, også blottet for specielle implantater, kan "almindelig" computerhardware bruges i et stille angreb. For eksempel har det vist sig, at en fejl i Intel-processorer, som vi for nylig skrev om i MT, som består i evnen til at "forudsige" efterfølgende operationer, er i stand til at tillade enhver software (fra en databasemotor til simpel JavaScript at køre i en browser) for at få adgang til strukturen eller indholdet af beskyttede områder af kernehukommelsen.
For et par år siden skrev vi om udstyr, der giver dig mulighed for i hemmelighed at hacke og spionere på elektroniske enheder. Vi beskrev et 50-siders "ANT Shopping Catalog", der var tilgængeligt online. Som Spiegel skriver, er det fra ham, at efterretningsagenter med speciale i cyberkrigsførelse vælger deres "våben".
Listen inkluderer produkter af forskellige klasser, fra lydbølgen og $30 LOUDAUTO lytteenheden til $40K. CANDYGRAM dollars, som bruges til at installere din egen kopi af et GSM-mobiltårn.
Listen omfatter ikke kun hardware, men også specialiseret software, såsom DROPOUTJEEP, der efter at være "implanteret" i iPhonen blandt andet giver mulighed for at hente filer fra sin hukommelse eller gemme filer til den. Du kan således modtage postlister, SMS-beskeder, talebeskeder samt styre og lokalisere kameraet.
Stillet over for kraften og allestedsnærværelsen af usynlige fjender, føler du dig nogle gange hjælpeløs. Derfor er ikke alle overraskede og morede holdning Yoshitaka Sakurada, ministeren med ansvar for forberedelserne til OL i Tokyo 2020 og vicechef for regeringens cybersikkerhedsstrategikontor, som angiveligt aldrig har brugt en computer.
Han var i det mindste usynlig for fjenden, ikke en fjende for ham.
Liste over termer relateret til usynlig cyberfjende
Ondsindet software designet til hemmeligt at logge ind på et system, enhed, computer eller software eller ved at omgå traditionelle sikkerhedsforanstaltninger.
båd – en separat enhed forbundet til internettet, inficeret med malware og inkluderet i et netværk af lignende inficerede enheder. dette er oftest en computer, men det kan også være en smartphone, tablet eller IoT-forbundet udstyr (såsom en router eller et køleskab). Den modtager operationelle instruktioner fra kommando- og kontrolserveren eller direkte, og nogle gange fra andre brugere på netværket, men altid uden ejerens viden eller viden. de kan inkludere op til en million enheder og sende op til 60 milliarder spam om dagen. De bruges til svigagtige formål, modtagelse af onlineundersøgelser, manipulation af sociale netværk samt til spredning af spam og.
– i 2017 dukkede en ny teknologi til minedrift af Monero-cryptocurrency i webbrowsere op. Scriptet blev oprettet i JavaScript og kan nemt indlejres på enhver side. Når brugeren
en computer besøger en sådan inficeret side, bliver dens enheds computerkraft brugt til cryptocurrency-mining. Jo mere tid vi bruger på disse typer websteder, jo flere CPU-cyklusser i vores udstyr kan bruges af en cyberkriminel.
– Ondsindet software, der installerer en anden type malware, såsom en virus eller bagdør. ofte designet til at undgå opdagelse af traditionelle løsninger
antivirus, inkl. på grund af forsinket aktivering.
Malware, der udnytter en sårbarhed i legitim software til at kompromittere en computer eller et system.
– brug af software til at indsamle information relateret til en bestemt type tastaturbrug, såsom rækkefølgen af alfanumeriske/specielle tegn forbundet med bestemte ord
søgeord såsom "bankofamerica.com" eller "paypal.com". Hvis den kører på tusindvis af tilsluttede computere, har en cyberkriminel mulighed for hurtigt at indsamle følsomme oplysninger.
– Ondsindet software specielt designet til at skade en computer, et system eller data. Den indeholder flere typer værktøjer, herunder trojanske heste, vira og orme.
– et forsøg på at indhente følsomme eller fortrolige oplysninger fra en bruger af udstyr forbundet til internettet. Cyberkriminelle bruger denne metode til at distribuere elektronisk indhold til en bred vifte af ofre, hvilket får dem til at foretage visse handlinger, såsom at klikke på et link eller svare på en e-mail. I dette tilfælde vil de give personlige oplysninger såsom brugernavn, adgangskode, bank- eller finansielle oplysninger eller kreditkortoplysninger uden deres viden. Distributionsmetoder omfatter e-mail, online annoncering og SMS. En variant er et angreb rettet mod specifikke individer eller grupper af individer, såsom virksomhedsledere, berømtheder eller højtstående embedsmænd.
– Ondsindet software, der giver dig mulighed for i hemmelighed at få adgang til dele af en computer, software eller system. Det ændrer ofte hardwareoperativsystemet på en sådan måde, at det forbliver skjult for brugeren.
- malware, der spionerer på en computerbruger, opsnapper tastetryk, e-mails, dokumenter og endda tænder for et videokamera uden hans viden.
- en metode til at skjule en fil, besked, billede eller film i en anden fil. Udnyt denne teknologi ved at uploade tilsyneladende harmløse billedfiler, der indeholder komplekse strømme.
beskeder sendt over C&C-kanalen (mellem en computer og en server), der er egnet til ulovlig brug. Billeder kan gemmes på et hacket websted eller endda
i billeddelingstjenester.
Kryptering/komplekse protokoller er en metode, der bruges i kode til at sløre transmissioner. Nogle malware-baserede programmer, såsom trojaneren, krypterer både malware-distribution og C&C-kommunikation (kontrol).
er en form for ikke-replikerende malware, der indeholder skjult funktionalitet. Trojaneren forsøger normalt ikke at sprede eller injicere sig selv i andre filer.
- en kombination af ordene ("stemme") og. Betyder brug af en telefonforbindelse til at indhente følsomme personlige oplysninger såsom bank- eller kreditkortnumre.
Typisk modtager offeret en automatisk beskedudfordring fra en person, der hævder at repræsentere en finansiel institution, internetudbyder eller teknologivirksomhed. Meddelelsen kan bede om et kontonummer eller en PIN-kode. Når forbindelsen er aktiveret, omdirigeres den gennem tjenesten til angriberen, som derefter anmoder om yderligere følsomme personlige data.
(BEC) - en type angreb, der har til formål at bedrage folk fra en given virksomhed eller organisation og stjæle penge ved at efterligne
styret af. Kriminelle får adgang til et virksomhedssystem gennem et typisk angreb eller malware. De studerer derefter virksomhedens organisationsstruktur, dets finansielle systemer og ledelsens e-mail-stil og tidsplan.
Se også:
