Чым нейкі японскі міністр здзівіў хакераў?
Змест
Колькасць прыёмаў утойвання, маскіроўкі і ўводзіны ў памылку суперніка – няхай гэта будзе кіберзлачыннасць ці кібервайна – няўмольна расце. Можна сказаць, што сёння хакеры вельмі рэдка, дзеля славы ці справы, раскрываюць тое, што яны зрабілі.
Серыя тэхнічных збояў падчас леташняй цырымоніі адкрыцця Зімовая Алімпіяда у Карэі гэта было вынікам кібератакі. The Guardian паведаміла, што недаступнасць вэб-сайта Гульняў, збой Wi-Fi на стадыёне і зламаныя тэлевізары ў прэс-цэнтры сталі вынікам значна больш выдасканаленай атакі, чым меркавалася першапачаткова. Зламыснікі загадзя атрымалі доступ да сеткі арганізатараў і вельмі хітрым спосабам вывелі са строю многія кампутары — нягледзячы на шматлікія меры бяспекі.
Пакуль яго эфекты не былі заўважаны, вораг быў нябачны. Раз разбурэнне было заўважана, яно ў значнай ступені засталося такім (1). Было некалькі тэорый аб тым, хто стаяў за нападам. Па самай папулярнай, сляды вялі ў Расію - на думку некаторых каментатараў, гэта магла быць помста за зняцце з Гульняў дзяржаўных сцягоў Расіі.
Іншыя падазрэнні былі накіраваны на Паўночную Карэю, якая заўсёды імкнецца падражніць свайго паўднёвага суседа, або на Кітай, паколькі ён з'яўляецца хакерскай дзяржавай і часта аказваецца сярод падазраваных. Але ўсё гэта было хутчэй дэтэктыўнай дэдукцыяй, чым высновай, заснаванай на неабвержных доказах. І ў большасці такіх выпадкаў мы асуджаныя толькі на такія спекуляцыі.
Як правіла, устанаўленне аўтарства кібератакі з'яўляецца складанай задачай. Злачынцы не толькі звычайна не пакідаюць вядомых слядоў, але і дадаюць заблытаныя падказкі да сваіх метадаў.
Гэта было так атака на польскія банкі у пачатку 2017 года. Кампанія BAE Systems, якая першай апісала гучную атаку на нацыянальны банк Бангладэш, старанна вывучыла некаторыя элементы шкоднаснага ПА, нацэленага на кампутары ў польскіх банках, і прыйшла да высновы, што яго аўтары спрабавалі выдаць сябе за расійскія -размаўлялыя людзі.
Элементы кода ўтрымоўвалі рускія словы з дзіўнай транслітарацыяй - напрыклад, рускае слова ў незвычайнай форме "кліент". BAE Systems падазрае, што зламыснікі выкарыстоўвалі Google Translate, каб прыкінуцца рускімі хакерамі з дапамогай рускай лексікі.
У маі 2018 г. Банка дэ Чылі прызнаў, што ў яго былі праблемы, і рэкамендаваў кліентам карыстацца паслугамі анлайн- і мабільнага банкінгу, а таксама банкаматамі. На экранах кампутараў, змешчаных у аддзяленнях, адмыслоўцы выявілі прыкметы пашкоджання загрузных сектараў кружэлак.
Пасля некалькіх дзён прагляду сеткі былі выяўлены сляды, якія пацвярджаюць, што сапраўды мела месца масавае пашкоджанне дыскаў на тысячах кампутараў. Па неафіцыйнай інфармацыі, наступствы закранулі 9 тыс. чалавек. кампутараў і 500 сервераў.
Далейшае расследаванне паказала, што вірус знік з банка падчас нападу. 11 мільёнаў даляраўі іншыя крыніцы паказваюць на яшчэ большую суму! Эксперты па бяспецы ў рэшце рэшт прыйшлі да высновы, што пашкоджаныя дыскі банкаўскіх кампутараў былі проста камуфляжам для крадзяжу хакерамі. Аднак афіцыйна банк гэтага не пацвярджае.
Нуль дзён на падрыхтоўку і нуль файлаў
За апошні год амаль дзве траціны найбуйных кампаній міру падвергліся паспяховым нападам кіберзлачынцаў. Яны часцей за ўсё выкарыстоўвалі методыкі, заснаваныя на ўразлівасцях нулявога дня і т.зв. бесфайлавыя атакі.
Такія высновы справаздачы "State of Endpoint Security Risk", падрыхтаванай Ponemon Institute па даручэнні Barkly. Абедзве тэхнікі нападу з'яўляюцца разнавіднасцямі нябачнага ворага, якія набіраюць усё большую папулярнасць.
Па дадзеных аўтараў даследавання, толькі за апошні год колькасць нападаў, накіраваных на найбуйныя сусветныя арганізацыі, павялічылася на 20%. Таксама са справаздачы мы даведаемся, што сярэдняя страта, панесеная ў выніку такіх дзеянняў, ацэньваецца ў $7,12 млн на кожнае, што складае $440 на адну пазіцыю, якая падверглася нападу. Гэтыя сумы складаюцца з як пэўныя страты, прычыненыя злачынцамі, так і выдаткі на аднаўленне атакаваных сістэм да зыходнага стану.
Тыпавыя напады вельмі складана супрацьдзейнічаць, бо звычайна яны заснаваныя на ўразлівасцях у праграмным забеспячэнні, аб якіх не ведаюць ні вытворца, ні карыстачы. Першыя не могуць падрыхтаваць адпаведнае абнаўленне бяспекі, а другія не могуць рэалізаваць адпаведныя працэдуры бяспекі.
"Цэлых 76% паспяховых нападаў былі заснаваныя на эксплуатацыі ўразлівасцяў нулявога дня або нейкага раней невядомага шкоднаснага ПА – а гэта значыць, што яны былі ў чатыры разы больш эфектыўна класічных тэхнік, якія раней выкарыстоўваліся кіберзлачынцамі", – тлумачаць прадстаўнікі Ponemon Institute. .
Другі нябачны метад, бесфайлавыя атакі, заключаецца ў запуску шкоднаснага кода ў сістэме з выкарыстаннем розных «выкрут» (напрыклад, шляхам укаранення эксплойта на вэб-сайт), не патрабуючы ад карыстальніка загрузкі або запуску якога-небудзь файла.
Злачынцы выкарыстоўваюць гэты метад усё часцей і часцей, паколькі класічныя атакі па адпраўцы карыстальнікам шкоднасных файлаў (напрыклад, дакументаў Office або PDF-файлаў) становяцца ўсё менш і менш эфектыўнымі. Дадамо, што напады звычайна заснаваныя на ўразлівасцях праграмнага забеспячэння, якія ўжо вядомыя і выпраўленыя – праблема ў тым, што шматлікія карыстачы нядосыць часта абнаўляюць свае прыкладанні.
У адрозненне ад апісанага вышэй сцэнара, шкоднаснае ПЗ не размяшчае выкананы файл на дыску. Замест гэтага ён працуе ва ўнутранай памяці вашага кампутара, якая з'яўляецца аператыўнай памяццю.
Гэта азначае, што традыцыйнаму антывіруснаму праграмнаму забеспячэнню будзе цяжка выявіць шкоднасную інфекцыю, паколькі яно не знойдзе файл, які паказвае на яго. Дзякуючы выкарыстанню шкоднаснага ПА зламыснік можа схаваць сваю прысутнасць на кампутары, не паднімаючы трывогі, і нанесці рознага роду шкоду (крадзеж інфармацыі, загрузка дадатковых шкоднасных праграм, атрыманне доступу да больш высокіх прывілеяў і т. д.).
Бесфайлавае шкоднаснае ПА таксама завецца (AVT). Некаторыя эксперты гавораць, што гэта нават горш, чым (APT).
2. Інфармацыя аб узламаным сайце
Калі HTTPS не дапамагае
Здаецца, што часы, калі злачынцы бралі пад свой кантроль сайт, змянялі змест галоўнай старонкі, размяшчаючы на ёй інфармацыю буйным шрыфтам (2), сышлі назаўжды.
У цяперашні час мэтай нападаў з'яўляецца ў першую чаргу атрыманне грошай, і злачынцы выкарыстоўваюць усе метады для атрымання адчувальнай фінансавай выгады ў любой сітуацыі. Пасля паглынання бакі імкнуцца як мага даўжэй заставацца ўтоенымі і атрымліваць прыбытак або выкарыстоўваць набытую інфраструктуру.
Укараненне шкоднаснага кода ў дрэнна абароненыя вэб-сайты можа мець розныя мэты, напрыклад фінансавыя (крадзеж інфармацыі аб крэдытнай карце). Калісьці было напісана аб Балгарскія сцэнары уведзены на вэб-сайце Канцылярыі Прэзідэнта Рэспублікі Польшча, але не было магчымасці дакладна ўказаць, якая мэта спасылак на замежныя шрыфты.
Адносна новым метадам з'яўляецца так званы , гэта значыць оверлеі, якія крадуць нумары крэдытных карт на сайтах крам. Карыстальнік вэб-сайта, які выкарыстоўвае HTTPS (3), ужо навучаны і прывык правяраць, ці адзначаны дадзены вэб-сайт гэтым характэрным сімвалам, і сама наяўнасць замка стала доказам адсутнасці якіх-небудзь пагроз.
3. Абазначэнне HTTPS у інтэрнэт-адрасе
Аднак злачынцы выкарыстоўваюць гэты празмерны давер да бяспекі сайта па-рознаму: выкарыстоўваюць бясплатныя сертыфікаты, размяшчаюць на сайце фавіконку ў выглядзе замка, укараняюць заражаны код у зыходны код сайта.
Аналіз спосабаў заражэння некаторых інтэрнэт-крам паказвае, што фізічныя скиммеры банкаматаў зламыснікі перанеслі ў кібермір у выглядзе. Пры здзяйсненні тыпавога пераводу за пакупкі кліент запаўняе аплатную форму, у якой паказвае ўсе дадзеныя (нумар крэдытнай карты, тэрмін дзеяння, нумар CVV, імя і прозвішча).
Аплата аўтарызаваная крамай традыцыйным спосабам, і ўвесь працэс пакупкі ажыццяўляецца карэктна. Аднак у выпадку выкарыстання на сайт крамы ўводзіцца код (дастаткова аднаго радка JavaScript), які выклікае адпраўку дадзеных, уведзеных у форму, на сервер зламыснікаў.
Адным з самых вядомых злачынстваў такога тыпу была атака на сайт. Крама Рэспубліканскай партыі ЗША. На працягу паўгода дадзеныя крэдытнай карты кліента былі выкрадзеныя і перанесеныя на расейскі сервер.
Шляхам адзнакі трафіку ў краме і дадзеных чорнага рынка было ўсталявана, што выкрадзеныя крэдытныя карты прынеслі кіберзлачынцам прыбытак у памеры 600 XNUMX. долараў.
У 2018 годзе яны былі скрадзеныя ідэнтычным спосабам. дадзеныя аб кліентах вытворцы смартфонаў OnePlus. Кампанія прызнала, што яе сервер быў заражаны, а перададзеныя дадзеныя крэдытнай карты былі схаваныя прама ў браўзэры і адпраўленыя невядомым злачынцам. Паведамлялася, што такім чынам былі прысвоены даныя 40 XNUMX чалавек. кліенты.
Небяспекі ў абсталяванні
Велізарную і якая расце вобласць нябачных кіберпагроз складаюць разнастайныя тэхнікі, заснаваныя на лічбавым абсталяванні, няхай гэта будзе ў выглядзе чыпаў, таемна ўсталяваных у бяскрыўдных з выгляду кампанентах ці шпіёнскіх прыладах.
Аб выяўленні дадатковых, абвешчаных у кастрычніку мінулага года агенцтвам Bloomberg, мініяцюрныя шпіёнскія чыпы у тэлекамунікацыйным абсталяванні, у т.л. у разетках Ethernet (4), прададзеных Apple ці Amazon, стала сенсацыяй 2018 гады. Сляды прывялі да Supermicro, вытворцы прылад у Кітаі. Аднак пасля інфармацыю Блумбэрга абверглі ўсе зацікаўленыя бакі – ад кітайцаў да Apple і Amazon.
4. Сеткавыя парты Ethernet
Як аказалася, таксама пазбаўленае спецыяльных імплантаў, "звычайнае" кампутарнае жалеза можа быць выкарыстана ў бясшумнай атацы. Напрыклад, усталявана, што баг у працэсарах Intel, аб якім мы нядаўна пісалі ў "МТ", які складаецца ў магчымасці "прадказваць" наступныя аперацыі, здольны дазволіць любое праграмнае забеспячэнне (ад рухавічка базы дадзеных да простага JavaScript запускаць у браўзэры) для доступу да структуры ці змесціва абароненых абласцей памяці ядра.
Некалькі гадоў таму мы пісалі аб абсталяванні, якое дазваляе таемна ўзломваць і шпіёніць за электроннымі прыладамі. Мы апісалі 50-старонкавы «Каталог пакупак ANT», які быў даступны ў Інтэрнеце. Як піша «Шпігель», менавіта ў яго агенты спецслужбаў, якія спецыялізуюцца на кібервайнах, выбіраюць сабе «зброю».
У спіс увайшлі прадукты рознага класа, ад гукавой хвалі і падслухоўваючай прылады LOUDAUTO за 30 даляраў да 40 XNUMX даляраў. CANDYGRAM даляраў, якія выкарыстоўваюцца для ўстаноўкі ўласнай копіі вышкі сотавай сувязі сеткі GSM.
У спіс уваходзіць не толькі апаратнае забеспячэнне, але і спецыялізаванае праграмнае забеспячэнне, такое як DROPOUTJEEP, якое пасля "ўжыўлення" у iPhone дазваляе, у тым ліку, здабываць з яго памяці або захоўваць у яго файлы. Такім чынам, вы можаце атрымліваць спісы рассылання, SMS-паведамленні, галасавыя паведамленні, а таксама кантраляваць і вызначаць месцазнаходжанне камеры.
Сутыкнуўшыся з сілай і ўсюдыіснасцю нябачных ворагаў, часам адчуваеш сябе бездапаможным. Вось чаму не ўсе дзівяцца і забаўляюцца стаўленне Ёсітака Сакурада, міністр, які адказвае за падрыхтоўку да Алімпійскіх гульняў у Токіа ў 2020 годзе, і намеснік кіраўніка ўрадавага ўпраўлення па стратэгіі кібербяспекі, які, як паведамляецца, ніколі не карыстаўся кампутарам.
Прынамсі, ён быў нябачны для ворага, а не ворагам для яго.
Спіс тэрмінаў, звязаных з нябачным кібер-ворагам
– шкоднаснае праграмнае забеспячэнне, накіраванае на ўтоены ўваход у сістэму, прыладу, кампутар ці праграмнае забеспячэнне альбо шляхам абыходу ўсталяваных у іх традыцыйных мер бяспекі.
бот – асобная прылада, падлучанае да сеткі Інтэрнэт, заражанае шкоднасным ПА і якое ўваходзіць у сетку падобных заражаных прылад. часцей за ўсё гэта кампутар, але гэта таксама можа быць смартфон, планшэт ці абсталяванне, падлучанае да Інтэрнэту рэчаў (напрыклад, маршрутызатар ці халадзільнік). Ён атрымлівае аператыўныя інструкцыі ад сервера кіравання і кантролю ці напроста, а часам і ад іншых карыстачоў у сетцы, але заўсёды без вядзёнай або вядзёнай уладальніка. яны могуць уключаць да мільёна прылад і рассылаць да 60 мільярдаў спаму ў дзень. Яны выкарыстоўваюцца для ашуканскіх мэт, атрыманні анлайн-апытанняў, маніпуляванні сацыяльнымі сеткамі, а таксама для распаўсюджвання спаму і.
– у 2017 годзе з'явілася новая тэхналогія здабычы крыптавалюты Monero у вэб-браўзэрах. Скрыпт быў створаны на JavaScript і можа быць лёгка убудаваны ў любую старонку. Калі карыстальнік
кампутар наведвае такую заражаную старонку, вылічальная магутнасць яго прылады выкарыстоўваецца для майнінгу криптовалюты. Чым больш часу мы праводзім на вэб-сайтах такога тыпу, тым больш цыклаў працэсара ў нашым абсталяванні можа выкарыстоўваць кіберзлачынца.
- Шкоднаснае ПА, якое ўсталёўвае іншы тып шкоднаснага ПА, напрыклад вірус ці шчыліну. часта прызначаны для таго, каб пазбегнуць выяўлення традыцыйнымі рашэннямі
антывірус, у т.л. за кошт адтэрмінаванай актывацыі.
– шкоднаснае ПЗ, якое выкарыстоўвае ўразлівасць законнага праграмнага забеспячэння для ўзлому кампутара ці сістэмы.
– выкарыстанне праграмнага забеспячэння для збору інфармацыі, якая адносіцца да вызначанага тыпу выкарыстання клавіятуры, напрыклад паслядоўнасці літарна-лічбавых/спецыяльных знакаў, злучаных з вызначанымі словамі
ключавыя словы, такія як "bankofamerica.com" або "paypal.com". Калі ён працуе на тысячах падлучаных кампутараў, кіберзлачынца мае магчымасць хутка збіраць канфідэнцыйную інфармацыю.
- Шкоднае праграмнае забеспячэнне, спецыяльна распрацаванае для нанясення шкоды кампутару, сістэме або дадзеным. Ён уключае ў сябе некалькі тыпаў інструментаў, уключаючы траяны, вірусы і чарвякі.
– спроба атрымаць адчувальную ці канфідэнцыйную інфармацыю ад карыстальніка абсталявання, падключанага да сеткі Інтэрнэт. Кіберзлачынцы выкарыстоўваюць гэты метад для распаўсюджвання электроннага кантэнту сярод шырокага кола ахвяр, падахвочваючы іх да пэўных дзеянняў, такім як пераход па спасылцы або адказ на электронны ліст. У гэтым выпадку яны дадуць асабістую інфармацыю, такую як імя карыстальніка, пароль, банкаўскія або фінансавыя рэквізіты або дадзеныя крэдытнай карты, без іх ведама. Метады распаўсюджвання ўключаюць электронную пошту, інтэрнэт-рэкламу і SMS. Разнавіднасць - атака, накіраваная на канкрэтных людзей або групы людзей, напрыклад, на кіраванне карпарацыі, знакамітасцяў або высокапастаўленых дзяржаўных чыноўнікаў.
– Шкоднае праграмнае забеспячэнне, якое дазваляе таемна атрымаць доступ да частак кампутара, праграмнага забеспячэння або сістэмы. Ён часта мадыфікуе апаратную аперацыйную сістэму такім чынам, што яна застаецца ўтоенай ад карыстача.
– шкоднаснае ПА, шпіёнскае за карыстачом кампутара, перахапляльнае націскі клавіш, электронныя лісты, дакументы і нават улучальнае відэакамеру без яго вядзёная.
– метад утойвання файла, паведамлення, выявы ці фільма ў іншым файле. Скарыстайцеся перавагамі гэтай тэхналогіі, загрузіўшы, здавалася б, бяскрыўдныя файлы малюнкаў, якія змяшчаюць складаныя патокі.
паведамленні, якія адпраўляюцца па канале C&C (паміж кампутарам і серверам), прыдатныя для незаконнага выкарыстання. Выявы могуць захоўвацца на ўзламаным вэб-сайце ці нават
у сэрвісах абмену выявамі.
Шыфраванне/складаныя пратаколы - метад, які выкарыстоўваецца ў кодзе для заблытвання перадач. Некаторыя шкоднасныя праграмы на аснове, такія як траян, шыфруюць як распаўсюджванне шкоднаснага ПЗ, так і сувязь C&C (кіраванне).
- Форма нерэпліцыруемага шкоднаснага ПА, якое змяшчае схаваны функцыянал. Траянец звычайна не спрабуе распаўсюджвацца ці ўкараняцца ў іншыя файлы.
– спалучэнне слоў («голас») і . Ці азначае выкарыстанне тэлефоннага злучэння для атрымання канфідэнцыйнай асабістай інфармацыі, такі як нумары банкаў або крэдытных карт.
Як правіла, ахвяра атрымлівае аўтаматычны выклік паведамлення ад кагосьці, хто сцвярджае, што прадстаўляе фінансавую ўстанову, інтэрнэт-правайдэра або тэхналагічную кампанію. У паведамленні можа быць запытаны нумар рахунку ці PIN-код. Пасля актывацыі злучэння яно перанакіроўваецца праз сэрвіс да зламысніка, які затым запытвае дадатковыя канфідэнцыйныя персанальныя дадзеныя.
(BEC) - тып нападу, накіраваны на падман людзей з дадзенай кампаніі або арганізацыі і крадзеж грошай шляхам выдачы сябе за
пад кіраваннем. Злачынцы атрымліваюць доступ да карпаратыўнай сістэмы пасродкам тыпавога нападу ці шкоднаснага ПА. Затым яны вывучаюць арганізацыйную структуру кампаніі, яе фінансавыя сістэмы, а таксама стыль і расклад электроннай пошты кіраўніцтва.
Глядзі таксама:
