Чим японський міністр здивував хакерів?
Зміст
Кількість прийомів приховування, маскування та введення в оману супротивника — чи то кіберзлочинність, чи кібервійна — невблаганно зростає. Можна сказати, що сьогодні хакери дуже рідко, заради слави чи справи розкривають те, що вони зробили.
Серія технічних збоїв під час минулорічної церемонії відкриття Зимова Олімпіада у Кореї це було результатом кібератаки. The Guardian повідомила, що недоступність веб-сайту Ігор, збій Wi-Fi на стадіоні та зламані телевізори в прес-центрі стали результатом набагато витонченішої атаки, ніж передбачалося спочатку. Зловмисники заздалегідь отримали доступ до мережі організаторів і дуже хитрим способом вивели з ладу багато комп'ютерів, незважаючи на численні заходи безпеки.
Поки його ефекти були помічені, ворог був невидимий. Якщо руйнування було помічено, воно значною мірою залишилося таким (1). Було кілька теорій у тому, хто стояв за нападом. За найпопулярнішою сліди вели в Росію — на думку деяких коментаторів, це могла бути помста за зняття з Ігор державних прапорів Росії.
Інші підозри були спрямовані на Північну Корею, яка завжди прагне подразнити свого південного сусіда, або Китай, оскільки він є хакерською державою і часто опиняється серед підозрюваних. Але це було швидше детективної дедукцією, ніж висновком, заснованим на незаперечних доказах. І в більшості таких випадків ми приречені лише на такі спекуляції.
Як правило, встановлення авторства кібератаки є складним завданням. Злочинці як зазвичай залишають відомих слідів, а й додають заплутані підказки до своїх методів.
Це було так атака на польські банки на початку 2017 року. Компанія BAE Systems, яка першою описала гучну атаку на національний банк Бангладеш, ретельно вивчила деякі елементи шкідливого ПЗ, націленого на комп'ютери в польських банках, і прийшла до висновку, що його автори намагалися видати себе за російські люди.
Елементи коду містили російські слова з дивною транслітерацією, наприклад, російське слово в незвичайній формі «клієнт». BAE Systems підозрює, що зловмисники використовували Google Translate, щоб прикинутися російськими хакерами за допомогою російської лексики.
У травні 2018 р Banco de Chile визнав, що він мав проблеми, і рекомендував клієнтам користуватися послугами онлайн- та мобільного банкінгу, а також банкоматами. На екранах комп'ютерів, що знаходяться у відділеннях, фахівці виявили ознаки пошкодження завантажувальних секторів дисків.
Після кількох днів перегляду мережі було виявлено сліди, що підтверджували, що справді мало місце масове пошкодження дисків на тисячах комп'ютерів. За неофіційною інформацією, наслідки торкнулися 9 тис. людей. комп'ютерів та 500 серверів.
Подальше розслідування показало, що вірус зник із банку під час атаки. 11 мільйонів доларівта інші джерела вказують на ще більшу суму! Експерти з безпеки нарешті дійшли висновку, що пошкоджені диски банківських комп'ютерів були просто камуфляжем для крадіжки хакерами. Проте офіційно банк цього не підтверджує.
Нуль днів на підготовку та нуль файлів
За останній рік майже дві третини найбільших компаній світу зазнали успішних атак кіберзлочинців. Вони найчастіше використовували методики, засновані на вразливості нульового дня і т.зв. безфайлові атаки.
Такими є висновки звіту «State of Endpoint Security Risk», підготовленого Ponemon Institute за дорученням Barkly. Обидві техніки атаки є різновидами невидимого ворога, які набирають все більшої популярності.
За даними авторів дослідження, лише за останній рік кількість атак, спрямованих на найбільші світові організації, збільшилась на 20%. Також зі звіту ми дізнаємося, що середні збитки, завдані в результаті таких дій, оцінюються в $7,12 млн на кожне, що становить $440 на одну позицію, що зазнала атаки. Ці суми включають як конкретні збитки, заподіяні злочинцями, так і витрати на відновлення атакованих систем до вихідного стану.
Типові атаки дуже складно протидіяти, оскільки зазвичай вони засновані на вразливості в програмному забезпеченні, про які не знають ні виробник, ні користувачі. Перші не можуть підготувати відповідне оновлення безпеки, а другі не можуть реалізувати відповідні процедури безпеки.
«Цілих 76% успішних атак були засновані на експлуатації вразливостей нульового дня або якогось раніше невідомого шкідливого ПЗ — а це означає, що вони були вчетверо ефективніші за класичні техніки, що раніше використовувалися кіберзлочинцями», — пояснюють представники Ponemon Institute. .
Другий невидимий метод, безфайлові атаки, полягає в запуску шкідливого коду в системі з використанням різних «хитрощів» (наприклад, шляхом впровадження експлойту на веб-сайт), не вимагаючи від користувача завантаження або запуску будь-якого файлу.
Злочинці використовують цей метод дедалі частіше, оскільки класичні атаки надсилання користувачам шкідливих файлів (наприклад, документів Office або PDF-файлів) стають все менш і менш ефективними. Додамо, що атаки зазвичай засновані на вразливості програмного забезпечення, які вже відомі та виправлені – проблема в тому, що багато користувачів недостатньо часто оновлюють свої програми.
На відміну від описаного вище сценарію, шкідливе програмне забезпечення не розміщує виконуваний файл на диску. Натомість він працює у внутрішній пам'яті вашого комп'ютера, яка є оперативною пам'яттю.
Це означає, що традиційному антивірусному програмному забезпеченню важко виявити шкідливу інфекцію, оскільки воно не знайде файл, що вказує на нього. Завдяки використанню шкідливого програмного забезпечення зловмисник може приховати свою присутність на комп'ютері, не піднімаючи тривоги, і завдати різноманітних збитків (крадіжка інформації, завантаження додаткових шкідливих програм, отримання доступу до вищих привілеїв тощо).
Безфайлове шкідливе програмне забезпечення також називається (AVT). Деякі експерти кажуть, що це навіть гірше (APT).
2. Інформація про зламаний сайт
Коли HTTPS не допомагає
Здається, часи, коли злочинці брали під свій контроль сайт, змінювали зміст головної сторінки, розміщуючи на ній інформацію великим шрифтом (2), пішли назавжди.
В даний час метою атак є насамперед отримання грошей, і злочинці використовують усі методи для отримання відчутної фінансової вигоди у будь-якій ситуації. Після поглинання сторони намагаються якомога довше залишатися прихованими та отримувати прибуток або використати придбану інфраструктуру.
Впровадження шкідливого коду в погано захищені веб-сайти може мати різні цілі, наприклад, фінансові (крадіжка інформації про кредитну картку). Колись було написано про Болгарські сценарії введено на веб-сайті Канцелярії Президента Республіки Польща, але не було можливості чітко вказати, яка мета посилань на іноземні шрифти.
Відносно новим методом є так званий , тобто оверлеї, які крадуть номери кредитних карток на сайтах магазинів. Користувач веб-сайту, який використовує HTTPS (3), вже навчений і звик перевіряти, чи цей веб-сайт позначений цим характерним символом, і сама наявність замку стала доказом відсутності будь-яких загроз.
3. Позначення HTTPS в Інтернет-адресі
Проте злочинці використовують цю надмірну довіру до безпеки сайту по-різному: використовують безкоштовні сертифікати, розміщують на сайті фавіконку у вигляді замку, запроваджують заражений код у вихідний код сайту.
Аналіз способів зараження деяких інтернет-магазинів показує, що фізичні скіммери банкоматів зловмисники перенесли до кіберсвіту у вигляді . При здійсненні типового переказу за покупки клієнт заповнює платіжну форму, в якій вказує всі дані (номер кредитної картки, термін дії, номер CVV, ім'я та прізвище).
Оплата авторизована магазином традиційним способом і весь процес купівлі здійснюється коректно. Однак у разі використання на сайт магазину вводиться код (досить одного рядка JavaScript), який викликає надсилання даних, введених у форму, на сервер зловмисників.
Одним із найвідоміших злочинів такого типу була атака на сайт Магазин Республіканської партії США. Протягом півроку дані кредитної картки клієнта було вкрадено та перенесено на російський сервер.
Шляхом оцінки трафіку в магазині та даних чорного ринку було встановлено, що вкрадені кредитні картки принесли кіберзлочинцям прибуток у розмірі 600 XNUMX. доларів.
У 2018 році їх було вкрадено ідентичним способом. дані про клієнтів виробника смартфонів OnePlus. Компанія визнала, що її сервер був заражений, а передані дані кредитної картки були приховані у браузері і відправлені невідомим злочинцям. Повідомлялося, що таким чином було присвоєно дані 40 XNUMX осіб. клієнтів.
Небезпеки в обладнанні
Величезну і зростаючу область невидимих кіберзагроз становлять всілякі техніки, засновані на цифровому обладнанні, чи то у вигляді чіпів, таємно встановлених у нешкідливих на вигляд компонентах або шпигунських пристроях.
Про виявлення додаткових, оголошених у жовтні минулого року агентством Bloomberg, мініатюрні шпигунські чіпи у телекомунікаційному устаткуванні, у т.ч. у розетках Ethernet (4), проданих Apple чи Amazon, стало сенсацією 2018 року. Сліди призвели до Supermicro, виробника пристроїв у Китаї. Однак згодом інформацію Блумберга спростували всі зацікавлені сторони - від китайців до Apple та Amazon.
4. Мережеві порти Ethernet
Як виявилося, також позбавлене спеціальних імплантів, «звичайне» комп'ютерне залізо може бути використане у безшумній атаці. Наприклад, встановлено, що баг у процесорах Intel, про який ми нещодавно писали в "МТ", що полягає в можливості "передбачати" наступні операції, здатний дозволити будь-яке програмне забезпечення (від движка бази даних до простого JavaScript запускати в браузері) для доступу до структури або вмісту захищених областей пам'яті ядра.
Кілька років тому ми писали про обладнання, яке дозволяє таємно зламувати та шпигунувати за електронними пристроями. Ми описали 50-сторінковий «Каталог покупок ANT», доступний в Інтернеті. Як пише «Шпігель», саме у нього агенти спецслужб, що спеціалізуються на кібервійнах, вибирають собі «зброю».
До списку увійшли продукти різного класу, від звукової хвилі та пристрою LOUDAUTO, що підслуховує, за 30 доларів до 40 XNUMX доларів. CANDYGRAM доларів, які використовуються для встановлення власної копії вежі стільникового зв'язку мережі GSM.
До списку входить не тільки апаратне забезпечення, але й спеціалізоване програмне забезпечення, таке як DROPOUTJEEP, яке після "вживлення" в iPhone дозволяє, в тому числі, вилучати з пам'яті або зберігати в нього файли. Таким чином, ви можете отримувати списки розсилки, SMS-повідомлення, голосові повідомлення, а також контролювати та визначати розташування камери.
Зіткнувшись із силою та всюдисущістю невидимих ворогів, іноді почуваєшся безпорадним. Ось чому не всі дивуються і бавляться ставлення Йошитаки Сакуради, міністр, який відповідає за підготовку до Олімпійських ігор у Токіо в 2020 році, та заступник голови урядового управління зі стратегії кібербезпеки, який, як повідомляється, ніколи не користувався комп'ютером.
Принаймні він був невидимий для ворога, а не ворогом для нього.
Список термінів, пов'язаних з невидимим кібер-ворогом
– шкідливе програмне забезпечення, спрямоване на прихований вхід у систему, пристрій, комп'ютер чи програмне забезпечення або шляхом обходу встановлених у них традиційних заходів безпеки.
Бот – окремий пристрій, підключений до мережі Інтернет, заражений шкідливим програмним забезпеченням та вхідний до мережі подібних заражених пристроїв. Найчастіше це комп'ютер, але це також може бути смартфон, планшет або обладнання, підключене до Інтернету (наприклад, маршрутизатор або холодильник). Він отримує оперативні інструкції від сервера управління та контролю або безпосередньо, а іноді й від інших користувачів у мережі, але завжди без відома чи відома власника. вони можуть включати до мільйона пристроїв та розсилати до 60 мільярдів спаму на день. Вони використовуються для шахрайських цілей, отримання онлайн-опитування, маніпулювання соціальними мережами, а також для поширення спаму та.
– у 2017 році з'явилася нова технологія видобутку криптовалюти Monero у веб-браузерах. Скрипт був створений на JavaScript і може бути легко вбудований у будь-яку сторінку. Коли користувач
комп'ютер відвідує таку заражену сторінку, обчислювальна потужність його пристрою використовується для майнінгу криптовалюти. Що більше часу ми проводимо на веб-сайтах такого типу, то більше циклів процесора в нашому устаткуванні може використовувати кіберзлочинець.
– Шкідливе програмне забезпечення, яке встановлює інший тип шкідливого програмного забезпечення, наприклад вірус або лазівку. часто призначені для того, щоб уникнути виявлення традиційних рішень
антивірус, у т.ч. за рахунок відстроченої активації.
– шкідливе програмне забезпечення, яке використовує вразливість законного програмного забезпечення для злому комп'ютера або системи.
– використання програмного забезпечення для збору інформації, що відноситься до певного типу використання клавіатури, наприклад, послідовності буквено-цифрових/спеціальних символів, пов'язаних з певними словами
ключові слова, такі як "bankofamerica.com" або "paypal.com". Якщо він працює на тисячах підключених комп'ютерів, кіберзлочинець може швидко збирати конфіденційну інформацію.
– Шкідливе програмне забезпечення, спеціально розроблене для завдання шкоди комп'ютеру, системі або даним. Він включає кілька типів інструментів, включаючи трояни, віруси і черв'яки.
– спроба отримати чутливу або конфіденційну інформацію від користувача обладнання, підключеного до Інтернету. Кіберзлочинці використовують цей метод для поширення електронного контенту серед широкого кола жертв, спонукаючи їх до певних дій, таких як перехід за посиланням або відповідь на електронний лист. У цьому випадку вони нададуть особисту інформацію, таку як ім'я користувача, пароль, банківські чи фінансові реквізити або дані кредитної картки, без їх відома. Методи розповсюдження включають електронну пошту, інтернет-рекламу та SMS. Різновид — атака, спрямована на конкретних людей чи групи людей, наприклад, на правління корпорації, знаменитостей чи високопосадовців.
– Шкідливе програмне забезпечення, яке дозволяє таємно отримати доступ до частин комп'ютера, програмного забезпечення або системи. Він часто модифікує апаратну операційну систему таким чином, що вона залишається прихованою від користувача.
– шкідливе програмне забезпечення, що шпигує за користувачем комп'ютера, що перехоплює натискання клавіш, електронні листи, документи і навіть включає відеокамеру без його відома.
– спосіб приховування файлу, повідомлення, зображення або фільму в іншому файлі. Скористайтеся перевагами цієї технології, завантаживши, начебто, нешкідливі файли зображень, що містять складні потоки.
повідомлення, що надсилаються каналом C&C (між комп'ютером та сервером), придатні для незаконного використання. Зображення можуть зберігатися на зламаному веб-сайті або навіть
у сервісах обміну зображеннями.
Шифрування/складні протоколи – метод, який використовується у коді для заплутування передач. Деякі шкідливі програми, такі як троян, шифрують як поширення шкідливого ПЗ, так і зв'язок C&C (управління).
- Форма нереплікованого шкідливого ПЗ, що містить прихований функціонал. Троянець зазвичай не намагається поширюватися або впроваджуватися в інші файли.
– поєднання слів («голос») та . Означає використання телефонного з'єднання для отримання конфіденційної особистої інформації, як-от номери банків або кредитних карток.
Як правило, жертва отримує автоматичний виклик повідомлення від когось, хто стверджує, що представляє фінансову установу, інтернет-провайдера чи технологічну компанію. У повідомленні може бути запитаний номер рахунку або PIN-код. Після активації з'єднання воно перенаправляється через сервіс до зловмисника, який запитує додаткові конфіденційні персональні дані.
(BEC) - тип атаки, спрямований на обман людей з даної компанії або організації та крадіжку грошей шляхом видачі себе за
під керуванням. Злочинці отримують доступ до корпоративної системи через типову атаку або шкідливе ПЗ. Потім вони вивчають організаційну структуру компанії, її фінансові системи, а також стиль та розклад електронної пошти керівництва.
Дивіться також:
