Hoe het 'n sekere Japanse minister die kuberkrakers verras?

Die aantal metodes om die vyand te verberg, te verdoesel en te mislei – of dit nou kubermisdaad of kuberoorlogvoering is – groei onverbiddelik. Daar kan gesê word dat hackers vandag baie selde, ter wille van roem of besigheid, onthul wat hulle gedoen het.

'n Reeks tegniese mislukkings tydens verlede jaar se openingseremonie Olimpiese Winterspele in Korea was dit die gevolg van 'n kuberaanval. The Guardian het berig dat die onbeskikbaarheid van die Spele-webwerf, Wi-Fi-onderbreking in die stadion en stukkende televisies in die perskamer die gevolg was van 'n baie meer gesofistikeerde aanval as wat oorspronklik gedink is. Die aanvallers het vooraf toegang tot die organiseerders se netwerk gekry en baie rekenaars op ’n baie slinkse manier gedeaktiveer – ondanks talle veiligheidsmaatreëls.

Totdat die uitwerking daarvan gesien is, was die vyand onsigbaar. Sodra die vernietiging gesien is, het dit grotendeels so gebly (1). Daar was verskeie teorieë oor wie agter die aanval was. Volgens die gewildste het die spore na Rusland gelei – volgens sommige kommentators kan dit wraak wees vir die verwydering van die staatsbaniere van Rusland van die Spele.

Ander vermoedens is gerig teen Noord-Korea, wat altyd op soek is na sy suidelike buurland, of China, wat 'n kubermag is en dikwels onder die verdagtes is. Maar dit alles was meer 'n speurafleiding as 'n gevolgtrekking gebaseer op onweerlegbare bewyse. En in die meeste van hierdie gevalle is ons net tot hierdie soort spekulasie gedoem.

As 'n reël is dit 'n moeilike taak om die outeurskap van 'n kuberaanval vas te stel. Nie net laat misdadigers gewoonlik geen herkenbare spore nie, maar hulle voeg ook verwarrende leidrade by hul metodes.

Dit was so aanval op Poolse banke aan die begin van 2017. BAE Systems, wat die eerste keer die hoëprofiel-aanval op die Bangladesj Nasionale Bank beskryf het, het sommige elemente van die wanware wat rekenaars in Poolse banke geteiken het, noukeurig ondersoek en tot die gevolgtrekking gekom dat die skrywers daarvan probeer het om Russiessprekende mense na te doen.

Kode-elemente het Russiese woorde met vreemde transliterasie bevat - byvoorbeeld die Russiese woord in die ongewone vorm "kliënt". BAE Systems vermoed dat die aanvallers Google Translate gebruik het om voor te gee dat hulle Russiese kuberkrakers is wat Russiese woordeskat gebruik.

Mei 2018 Banco de Chile het erken dat hy probleme gehad het en aanbeveel dat kliënte aanlyn- en mobiele bankdienste, sowel as OTM'e, gebruik. Op die skerms van rekenaars wat in die departemente geleë is, het kenners tekens van skade aan die selflaaisektore van die skywe gevind.

Na 'n paar dae se rondsnuffel op die internet, is spore gevind wat bevestig dat massiewe skyfkorrupsie inderdaad op duisende rekenaars plaasgevind het. Volgens nie-amptelike inligting het die gevolge 9 duisend mense geraak. rekenaars en 500 bedieners.

Verdere ondersoek het aan die lig gebring dat die virus ten tyde van die aanval uit die bank verdwyn het. 11 miljoenen ander bronne dui op 'n nog groter som! Sekuriteitskenners het uiteindelik tot die gevolgtrekking gekom dat die bankrekenaar se beskadigde skywe bloot kamoefleer was vir kuberkrakers om te steel. Die bank bevestig dit egter nie amptelik nie.

Nul dae om voor te berei en geen lêers nie

Die afgelope jaar is byna twee derdes van die wêreld se grootste maatskappye suksesvol deur kubermisdadigers aangeval. Hulle het meestal tegnieke gebruik wat gebaseer is op nul-dag kwesbaarhede en die sg. lêerlose aanvalle.

Dit is die bevindinge van die State of Endpoint Security Risk-verslag wat deur die Ponemon Institute namens Barkly opgestel is. Albei aanvalstegnieke is variëteite van die onsigbare vyand wat al hoe meer gewild raak.

Volgens die skrywers van die studie het die aantal aanvalle teen die wêreld se grootste organisasies in die afgelope jaar alleen met 20% toegeneem. Ons leer ook uit die verslag dat die gemiddelde verlies aangegaan as gevolg van sulke optrede op $7,12 miljoen elk geskat word, wat $440 per posisie is wat aangeval is. Hierdie bedrae sluit beide spesifieke verliese in wat deur misdadigers veroorsaak word en die koste om aangeval stelsels na hul oorspronklike toestand te herstel.

Tipiese aanvalle is uiters moeilik om teë te werk, aangesien dit gewoonlik gebaseer is op kwesbaarhede in sagteware waarvan nie die vervaardiger of die gebruikers bewus is nie. Eersgenoemde kan nie die toepaslike sekuriteitsopdatering voorberei nie, en laasgenoemde kan nie die toepaslike sekuriteitsprosedures implementeer nie.

"Soveel as 76% van suksesvolle aanvalle was gebaseer op die uitbuiting van nul-dag kwesbaarhede of een of ander voorheen onbekende wanware, wat beteken dat hulle vier keer meer doeltreffend was as klassieke tegnieke wat voorheen deur kubermisdadigers gebruik is," verduidelik die Ponemon Institute-verteenwoordigers. .

Tweede onsigbare metode, lêerlose aanvalle, is om kwaadwillige kode op die stelsel uit te voer deur verskeie "truuks" te gebruik (byvoorbeeld deur 'n uitbuiting in 'n webwerf in te spuit), sonder dat die gebruiker vereis om enige lêer af te laai of te laat loop.

Misdadigers gebruik hierdie metode al hoe meer namate klassieke aanvalle om kwaadwillige lêers (soos Office-dokumente of PDF-lêers) aan gebruikers te stuur al hoe minder doeltreffend word. Boonop is aanvalle gewoonlik gebaseer op sagteware-kwesbaarhede wat reeds bekend en reggestel is – die probleem is dat baie gebruikers nie hul toepassings gereeld genoeg opdateer nie.

Anders as die scenario hierbo, plaas die wanware nie die uitvoerbare op skyf nie. In plaas daarvan werk dit op jou rekenaar se interne geheue, wat RAM is.

Dit beteken dat tradisionele antivirusprogrammatuur moeilik 'n kwaadwillige infeksie sal opspoor omdat dit nie die lêer sal vind wat daarna verwys nie. Deur die gebruik van wanware kan 'n aanvaller sy teenwoordigheid op die rekenaar versteek sonder om alarm te maak en verskeie soorte skade aanrig (diefstal van inligting, aflaai van bykomende wanware, toegang tot hoër voorregte, ens.).

Lêerlose wanware word ook (AVT) genoem. Sommige kenners sê dit is selfs erger as (APT).

Wanneer HTTPS nie help nie

Dit blyk dat die tye toe misdadigers beheer oor die webwerf geneem het, die inhoud van die hoofblad verander het, inligting daarop in groot druk geplaas het (2), vir altyd verby is.

Tans is die doel van aanvalle hoofsaaklik om geld te bekom, en misdadigers gebruik alle metodes om tasbare finansiële voordele in enige situasie te verkry. Na die oorname probeer die partye so lank as moontlik weggesteek bly en wins maak of die verkrygde infrastruktuur gebruik.

Die inspuiting van kwaadwillige kode in swak beskermde webwerwe kan verskeie doeleindes hê, soos finansieel (diefstal van kredietkaartinligting). Daar is eenkeer daaroor geskryf Bulgaarse skrifte op die webwerf van die Kantoor van die President van die Republiek van Pole bekendgestel, maar dit was nie moontlik om duidelik te stel wat die doel van skakels na buitelandse lettertipes was nie.

'n Relatief nuwe metode is die sogenaamde, dit wil sê, oorlegsels wat kredietkaartnommers op winkelwebwerwe steel. Die gebruiker van 'n webwerf wat HTTPS(3) gebruik, is reeds opgelei en gewoond daaraan om te kyk of 'n gegewe webwerf met hierdie kenmerkende simbool gemerk is, en die teenwoordigheid van 'n hangslot het bewys geword dat daar geen bedreigings is nie.

Misdadigers gebruik egter hierdie oormatige afhanklikheid van werfsekuriteit op verskillende maniere: hulle gebruik gratis sertifikate, plaas 'n favicon in die vorm van 'n hangslot op die werf, en spuit besmette kode in die bronkode van die werf in.

'n Ontleding van die metodes van infeksie van sommige aanlynwinkels toon dat die aanvallers die fisiese skimmers van OTM'e na die kuberwêreld oorgedra het in die vorm van . Wanneer 'n standaardoorplasing vir aankope gedoen word, vul die kliënt 'n betaalvorm in waarin hy al die data (kredietkaartnommer, vervaldatum, CVV-nommer, voornaam en van) aandui.

Betaling word op die tradisionele manier deur die winkel gemagtig, en die hele aankoopproses word korrek uitgevoer. In die geval van gebruik word 'n kode ('n enkele reël JavaScript is genoeg) egter in die winkelwebwerf ingespuit, wat veroorsaak dat die data wat in die vorm ingevoer is, na die bediener van die aanvallers gestuur word.

Een van die bekendste misdade van hierdie tipe was die aanval op die webwerf VSA Republikeinse Party Winkel. Binne ses maande is die kliënt se kredietkaartbesonderhede gesteel en na 'n Russiese bediener oorgeplaas.

Deur winkelverkeer en swartmarkdata te evalueer, is vasgestel dat die gesteelde kredietkaarte 'n wins van $600 XNUMX vir kubermisdadigers opgelewer het. dollars.

In 2018 is hulle op dieselfde manier gesteel. Slimfoonvervaardiger OnePlus-kliëntedata. Die maatskappy het erken dat sy bediener besmet is, en die oorgeplaasde kredietkaartbesonderhede is reg in die blaaier versteek en aan onbekende misdadigers gestuur. Daar is berig dat die data van 40 mense op hierdie manier toegeëien is. kliënte.

Toerustinggevare

'n Groot en groeiende gebied van onsigbare kuberbedreigings bestaan ​​uit allerhande tegnieke gebaseer op digitale toerusting, hetsy in die vorm van skyfies wat in die geheim geïnstalleer is in oënskynlik onskadelike komponente of spioenasietoestelle.

By die ontdekking van bykomende, wat in Oktober verlede jaar deur Bloomberg aangekondig is, miniatuur spioenskyfies in telekommunikasietoerusting, inkl. in Ethernet-sokke (4) wat deur Apple of Amazon verkoop word, het in 2018 'n sensasie geword. Die roete het gelei na Supermicro, 'n toestelvervaardiger in China. Bloomberg se inligting is egter daarna deur alle belanghebbende partye ontken – van die Chinese tot Apple en Amazon.

Soos dit geblyk het, ook sonder spesiale inplantings, kan "gewone" rekenaarhardeware in 'n stille aanval gebruik word. Daar is byvoorbeeld gevind dat 'n fout in Intel-verwerkers, waaroor ons onlangs in MT geskryf het, wat bestaan ​​uit die vermoë om daaropvolgende bewerkings te "voorspel", in staat is om enige sagteware (van 'n databasis-enjin tot eenvoudige JavaScript te laat loop) in 'n blaaier) om toegang te verkry tot die struktuur of die inhoud van beskermde areas van kerngeheue.

'n Paar jaar gelede het ons geskryf oor toerusting wat jou toelaat om in die geheim elektroniese toestelle te hack en te spioeneer. Ons het 'n 50-bladsy "ANT Shopping Catalog" beskryf wat aanlyn beskikbaar was. Soos Spiegel skryf, is dit van hom dat intelligensie-agente wat spesialiseer in kuberoorlogvoering hul "wapens" kies.

Die lys sluit produkte van verskeie klasse in, van die klankgolf en die $30 LOUDAUTO-luistertoestel tot $40K. CANDYGRAM-dollars, wat gebruik word om jou eie kopie van 'n GSM-seltoring te installeer.

Die lys sluit nie net hardeware in nie, maar ook gespesialiseerde sagteware, soos DROPOUTJEEP, wat, nadat dit in die iPhone “geïmplanteer” is, onder meer toelaat om lêers uit sy geheue te haal of lêers daarin te stoor. U kan dus poslyste, SMS-boodskappe, stemboodskappe ontvang, asook die kamera beheer en opspoor.

Gekonfronteer met die krag en alomteenwoordigheid van onsigbare vyande, voel jy soms hulpeloos. Daarom is nie almal verbaas en geamuseerd nie houding van Yoshitaka Sakurada, die minister in beheer van voorbereidings vir die Olimpiese Spele in Tokio 2020 en adjunkhoof van die regering se kuberveiligheidstrategiekantoor, wat glo nog nooit 'n rekenaar gebruik het nie.

Ten minste was hy onsigbaar vir die vyand, nie 'n vyand vir hom nie.

Sien ook: