Kuidas üks Jaapani minister häkkereid üllatas?
Vaenlase varjamise, maskeerimise ja eksitamise meetodite arv – olgu selleks küberkuritegevus või kübersõda – kasvab vääramatult. Võib öelda, et tänapäeval avaldavad häkkerid väga harva, kuulsuse või äri nimel, mida nad on teinud.
Tehniliste rikete jada eelmise aasta avatseremoonial taliolümpiamängud Koreas oli see küberrünnaku tagajärg. The Guardian teatas, et mängude veebisaidi kättesaamatus, Wi-Fi rike staadionil ja katkised televiisorid pressiruumis olid palju keerukama rünnaku tagajärg, kui algselt arvati. Ründajad said eelnevalt ligipääsu korraldajate võrku ja keelasid paljud arvutid väga kavalal moel – hoolimata arvukatest turvameetmetest.
Kuni selle mõju nähti, oli vaenlane nähtamatu. Kui hävingut nähti, jäi see suures osas nii (1). Selle kohta, kes oli rünnaku taga, on olnud mitmeid teooriaid. Kõige populaarsemate arvates viisid jäljed Venemaale – mõne kommentaatori arvates võib see olla kättemaks Venemaa riiklike bännerite mängudelt eemaldamise eest.
Teised kahtlustused on suunatud Põhja-Koreale, kes püüab alati oma lõunanaabrit kiusata, või Hiinale, mis on häkkerriik ja on sageli kahtlusaluste seas. Kuid see kõik oli pigem detektiivlik järeldus kui ümberlükkamatutel tõenditel põhinev järeldus. Ja enamikul neist juhtudest oleme me määratud ainult sedalaadi spekulatsioonidele.
Küberrünnaku autorluse kindlakstegemine on reeglina keeruline ülesanne. Kurjategijad mitte ainult ei jäta tavaliselt äratuntavaid jälgi, vaid lisavad oma meetoditele ka segadusse ajavaid vihjeid.
See oli selline rünnak Poola pankadele 2017 aasta alguses. BAE Systems, mis kirjeldas esmalt kõrgetasemelist rünnakut Bangladeshi keskpanga vastu, uuris hoolikalt mõningaid Poola pankade arvuteid sihtinud pahavara elemente ja jõudis järeldusele, et selle autorid üritasid kehastada vene keelt kõnelevate inimestena.
Koodi elemendid sisaldasid kummalise transliteratsiooniga venekeelseid sõnu – näiteks venekeelne sõna ebatavalises vormis "klient". BAE Systems kahtlustab, et ründajad kasutasid Google'i tõlget, et esineda venekeelse sõnavara abil vene häkkeritena.
2018. aasta mais Banco de Chile tunnistas, et tal on probleeme ja soovitas klientidel kasutada interneti- ja mobiilipanga teenuseid ning sularahaautomaate. Osakondades asuvate arvutite ekraanidelt leidsid eksperdid märke ketaste alglaadimissektorite kahjustusest.
Pärast mitut päeva veebis sirvimist leiti jälgi, mis kinnitasid, et tuhandetes arvutites oli tõepoolest aset leidnud massiline ketta rikkumine. Mitteametliku teabe kohaselt mõjutasid tagajärjed 9 tuhat inimest. arvuteid ja 500 serverit.
Edasine uurimine näitas, et viirus oli rünnaku ajal pangast kadunud. 11 miljonitja teised allikad viitavad veelgi suuremale summale! Turvaeksperdid jõudsid lõpuks järeldusele, et pangaarvuti kahjustatud kettad olid häkkerite jaoks lihtsalt kamuflaaž, mida nad varastasid. Ametlikult pank seda aga ei kinnita.
Null päeva ettevalmistamiseks ja null faile
Viimase aasta jooksul on küberkurjategijate poolt edukalt rünnatud ligi kaks kolmandikku maailma suurimatest ettevõtetest. Kõige sagedamini kasutasid nad nullpäeva haavatavustel põhinevaid võtteid ja nn. failita rünnakud.
Need on Ponemoni Instituudi poolt Barkly nimel koostatud lõpp-punkti turvariski olukorra aruande järeldused. Mõlemad rünnakutehnikad on nähtamatu vaenlase sordid, mis koguvad üha enam populaarsust.
Uuringu autorite sõnul on ainuüksi viimase aastaga maailma suurimate organisatsioonide vastu suunatud rünnakute arv kasvanud 20%. Samuti saame aruandest teada, et selliste toimingute tulemusel kantud keskmine kahju on hinnanguliselt 7,12 miljonit dollarit, mis on 440 dollarit rünnatud positsiooni kohta. Need summad sisaldavad nii konkreetseid kurjategijate tekitatud kahjusid kui ka rünnatud süsteemide algseisundi taastamise kulusid.
Tüüpilistele rünnakutele on äärmiselt raske vastu seista, kuna need põhinevad tavaliselt tarkvara haavatavustel, millest tootja ega kasutajad ei tea. Esimene ei saa ette valmistada sobivat turbevärskendust ja teine ei saa rakendada asjakohaseid turbeprotseduure.
"Kogu 76% edukatest rünnakutest põhinesid nullpäeva haavatavuste või mõne senitundmatu pahavara ärakasutamisel, mis tähendab, et need olid neli korda tõhusamad kui klassikalised tehnikad, mida küberkurjategijad varem kasutasid," selgitavad Ponemoni Instituudi esindajad. .
Teine nähtamatu meetod, failita rünnakud, on käivitada süsteemis pahatahtlikku koodi, kasutades erinevaid "nippe" (näiteks sisestades veebisaidile ärakasutamise), ilma et kasutaja peaks faili alla laadima või käivitama.
Kurjategijad kasutavad seda meetodit üha sagedamini, kuna klassikalised rünnakud pahatahtlike failide (nt Office'i dokumentide või PDF-failide) kasutajatele saatmiseks muutuvad üha vähem tõhusaks. Lisaks põhinevad ründed enamasti juba teada ja parandatud tarkvara haavatavustel – probleem on selles, et paljud kasutajad ei uuenda oma rakendusi piisavalt sageli.
Erinevalt ülaltoodud stsenaariumist ei paiguta pahavara käivitatavat faili kettale. Selle asemel töötab see teie arvuti sisemälus, milleks on RAM.
See tähendab, et traditsioonilisel viirusetõrjetarkvaral on raske pahatahtlikku infektsiooni tuvastada, kuna see ei leia sellele viitavat faili. Pahavara kasutamise kaudu saab ründaja oma kohalolekut arvutis varjata ilma häiret andmata ja tekitada mitmesuguseid kahjusid (teabe vargus, täiendava pahavara allalaadimine, juurdepääsu kõrgematele privileegidele jne).
Failivaba pahavara nimetatakse ka (AVT). Mõned eksperdid ütlevad, et see on isegi hullem kui (APT).
2. Teave häkitud saidi kohta
Kui HTTPS ei aita
Tundub, et ajad, mil kurjategijad said saidi kontrolli alla, muutsid avalehe sisu, pannes sinna infot suures kirjas (2), on igaveseks möödas.
Praegu on rünnakute eesmärk eelkõige raha hankimine ning kurjategijad kasutavad kõiki meetodeid, et igas olukorras käegakatsutavat rahalist kasu saada. Pärast ülevõtmist püüavad pooled võimalikult kaua varjatud olla ja kasumit teenida või omandatud taristut kasutada.
Pahatahtliku koodi sisestamisel halvasti kaitstud veebisaitidele võivad olla erinevad eesmärgid, näiteks rahalised (krediitkaarditeabe vargus). Kunagi kirjutati sellest Bulgaaria skriptid tutvustati Poola Vabariigi Presidendi Kantselei veebilehel, kuid ei olnud võimalik selgelt välja tuua, mis oli välismaistele kirjatüüpidele viitavate linkide eesmärk.
Suhteliselt uus meetod on niinimetatud ehk ülekatted, mis varastavad kaupluste veebisaitidel krediitkaardinumbreid. HTTPS-i(3) kasutava veebisaidi kasutaja on juba koolitatud ja harjunud kontrollima, kas antud veebisait on selle iseloomuliku sümboliga tähistatud, ning tabaluku olemasolu on saanud tõendiks, et ohte pole.
3. HTTPS-i määramine Interneti-aadressis
Kuid kurjategijad kasutavad seda liigset saidi turvalisusele tuginemist erineval viisil: nad kasutavad tasuta sertifikaate, asetavad saidile tabaluku kujul oleva faviconi ja sisestavad saidi lähtekoodi nakatunud koodi.
Mõne veebipoe nakatumismeetodite analüüs näitab, et ründajad kandsid sularahaautomaatide füüsilised skimmerid kübermaailma üle kujul . Ostude eest tavaülekande tegemisel täidab klient maksevormi, kuhu märgib kõik andmed (krediitkaardi number, aegumiskuupäev, CVV number, ees- ja perekonnanimi).
Makse autoriseerib pood traditsioonilisel viisil ning kogu ostuprotsess toimub korrektselt. Kasutamise korral aga sisestatakse poe saidile kood (piisab ühest reast JavaScriptist), mille tõttu saadetakse vormi sisestatud andmed ründajate serverisse.
Üks kuulsamaid seda tüüpi kuritegusid oli rünnak veebisaidile USA vabariiklaste peopood. Kuue kuu jooksul varastati kliendi krediitkaardiandmed ja viidi need üle Venemaa serverisse.
Kaupluste liiklust ja musta turu andmeid hinnates tehti kindlaks, et varastatud krediitkaardid teenisid küberkurjategijatele 600 XNUMX dollarit kasumit. dollarit.
2018. aastal varastati need identsel viisil. nutitelefonide tootja OnePlusi kliendiandmed. Ettevõte tunnistas, et tema server oli nakatunud ning ülekantud krediitkaardiandmed peideti otse brauseris ja saadeti tundmatutele kurjategijatele. Teatati, et sel viisil omastati 40 inimese andmed. kliendid.
Seadmete ohud
Tohutu ja kasvav nähtamatute küberohtude ala koosneb kõikvõimalikest digiseadmetel põhinevatest tehnikatest, olgu siis näiliselt kahjututesse komponentidesse salaja paigaldatud kiipide või spiooniseadmete näol.
Eelmise aasta oktoobris Bloombergi poolt välja kuulutatud lisade avastamisel miniatuursed spioonikiibid telekommunikatsiooniseadmetes, sh. Apple'i või Amazoni müüdud Etherneti pistikupesades (4) sai 2018. aastal sensatsiooniks. Rada viis Hiina seadmetootja Supermicroni. Bloombergi teabe lükkasid aga hiljem ümber kõik huvilised – hiinlastest Apple’i ja Amazonini.
4. Etherneti võrgu pordid
Nagu selgus, saab ka ilma spetsiaalsete implantaatideta "tavalist" arvutiriistvara kasutada vaiksel rünnakul. Näiteks on leitud, et Inteli protsessorite viga, millest hiljuti MT-s kirjutasime, mis seisneb võimes "ennustada" järgnevaid toiminguid, suudab lubada mis tahes tarkvara (alates andmebaasimootorist kuni lihtsa JavaScriptini) käivitada. brauseris), et pääseda juurde tuumamälu kaitstud alade struktuurile või sisule.
Mõned aastad tagasi kirjutasime seadmetest, mis võimaldavad salaja elektroonikaseadmeid häkkida ja luurata. Kirjeldasime 50-leheküljelist "ANT Shoppingu kataloogi", mis oli Internetis saadaval. Nagu Spiegel kirjutab, valivad kübersõjale spetsialiseerunud luureagendid oma “relvad” just temalt.
Nimekirjas on erinevate klasside tooteid, alates helilainest ja 30 $ LOUDAUTO kuulamisseadmest kuni $ 40 XNUMX-ni. CANDYGRAMi dollareid, mida kasutatakse teie GSM-mobiiltelefonitorni koopia installimiseks.
Nimekirjas pole mitte ainult riistvara, vaid ka spetsialiseeritud tarkvara, näiteks DROPOUTJEEP, mis pärast iPhone'i "implanteerimist" võimaldab muuhulgas oma mälust faile laadida või faile sinna salvestada. Nii saate vastu võtta meililoendeid, SMS-sõnumeid, häälsõnumeid, samuti juhtida ja määrata kaamera asukohta.
Nähtamatute vaenlaste jõu ja kõikjalviibimisega silmitsi seistes tunnete end mõnikord abituna. Seetõttu ei ole kõik üllatunud ja lõbustatud suhtumine Yoshitaka Sakurada, Tokyo 2020 olümpiamängude ettevalmistamise eest vastutav minister ja valitsuse küberjulgeolekustrateegia büroo asejuht, kes pole väidetavalt kunagi arvutit kasutanud.
Vähemalt oli ta vaenlasele nähtamatu, tema jaoks mitte vaenlane.
Nähtamatu kübervaenlasega seotud terminite loend
Pahatahtlik tarkvara, mis on loodud varjatud süsteemi, seadmesse, arvutisse või tarkvarasse sisselogimiseks või traditsioonilistest turvameetmetest möödahiilimiseks.
Bot – eraldiseisev seade, mis on ühendatud Internetti, on nakatunud pahavaraga ja kuulub sarnaste nakatunud seadmete võrku. see on enamasti arvuti, kuid see võib olla ka nutitelefon, tahvelarvuti või asjade internetiga ühendatud seade (nt ruuter või külmkapp). See saab tööjuhiseid käsu- ja juhtimisserverist või otse ning mõnikord ka teistelt võrgu kasutajatelt, kuid alati ilma omaniku teadmata või teadmata. need võivad hõlmata kuni miljonit seadet ja saata päevas kuni 60 miljardit rämpsposti. Neid kasutatakse pettuse eesmärgil, veebiküsitluste vastuvõtmiseks, suhtlusvõrgustikega manipuleerimiseks, samuti rämpsposti levitamiseks ja.
– 2017. aastal ilmus uus tehnoloogia Monero krüptovaluuta kaevandamiseks veebibrauserites. Skript loodi JavaScriptis ja seda saab hõlpsasti igale lehele manustada. Kui kasutaja
arvuti külastab sellist nakatunud lehte, mille seadme arvutusvõimsust kasutatakse krüptoraha kaevandamiseks. Mida rohkem aega veedame seda tüüpi veebisaitidel, seda rohkem meie seadmetes olevaid protsessoritsükleid saavad küberkurjategijad kasutada.
– Pahatahtlik tarkvara, mis installib teist tüüpi pahavara, näiteks viiruse või tagaukse. sageli mõeldud traditsiooniliste lahenduste abil tuvastamise vältimiseks
viirusetõrje, sh. aktiveerimise hilinemise tõttu.
Pahavara, mis kasutab arvuti või süsteemi ohustamiseks ära seadusliku tarkvara haavatavust.
– tarkvara kasutamine teatud tüüpi klaviatuuri kasutamisega seotud teabe kogumiseks, näiteks teatud sõnadega seotud tähtnumbriliste/erimärkide jada
märksõnad nagu "bankofamerica.com" või "paypal.com". Kui see töötab tuhandetes ühendatud arvutites, on küberkurjategijal võimalus tundlikku teavet kiiresti koguda.
– ründetarkvara, mis on spetsiaalselt loodud arvuti, süsteemi või andmete kahjustamiseks. See sisaldab mitut tüüpi tööriistu, sealhulgas troojalasi, viiruseid ja usse.
– katse saada Internetiga ühendatud seadmete kasutajalt tundlikku või konfidentsiaalset teavet. Küberkurjategijad kasutavad seda meetodit elektroonilise sisu levitamiseks paljudele ohvritele, ajendades neid tegema teatud toiminguid, näiteks klõpsama lingil või vastama meilile. Sel juhul edastavad nad isikuandmeid, nagu kasutajanimi, parool, panga- või finantsandmed või krediitkaardiandmed, ilma nende teadmata. Levitamismeetodid hõlmavad e-posti, veebireklaami ja SMS-i. Variant on rünnak, mis on suunatud konkreetsetele isikutele või isikute rühmadele, nagu ettevõtete juhid, kuulsused või kõrged riigiametnikud.
– Pahatahtlik tarkvara, mis võimaldab teil salaja juurdepääsu arvuti, tarkvara või süsteemi osadele. Sageli muudab see riistvara operatsioonisüsteemi nii, et see jääb kasutaja eest varjatuks.
- pahavara, mis luurab arvutikasutaja järele, peatab pealt klahvivajutusi, e-kirju, dokumente ja isegi lülitab sisse videokaamera tema teadmata.
- meetod faili, sõnumi, pildi või filmi peitmiseks teises failis. Kasutage seda tehnoloogiat ära, laadides üles näiliselt kahjutuid pildifaile, mis sisaldavad keerulisi vooge.
C&C kanali kaudu (arvuti ja serveri vahel) saadetud sõnumid, mis sobivad ebaseaduslikuks kasutamiseks. Pilte võidakse salvestada häkitud veebisaidile või isegi
pildijagamisteenustes.
Krüpteerimine/keerulised protokollid on meetod, mida koodis kasutatakse ülekannete hägustamiseks. Mõned pahavarapõhised programmid, nagu Trooja, krüpteerivad nii pahavara levitamist kui ka C&C (juhtimis) sidet.
on mittereplitseeruva pahavara vorm, mis sisaldab peidetud funktsioone. Troojalane tavaliselt ei ürita levitada ega end teistesse failidesse süstida.
- sõnade kombinatsioon ("hääl") ja. Tähendab telefoniühenduse kasutamist tundliku isikuandmete (nt panga- või krediitkaardinumbrite) hankimiseks.
Tavaliselt saab ohver automaatse sõnumi väljakutse kelleltki, kes väidab, et esindab finantsasutust, Interneti-teenuse pakkujat või tehnoloogiaettevõtet. Sõnum võib küsida kontonumbrit või PIN-koodi. Kui ühendus on aktiveeritud, suunatakse see teenuse kaudu ründajale, kes seejärel küsib täiendavaid tundlikke isikuandmeid.
(BEC) – teatud tüüpi rünnak, mille eesmärk on petta inimesi teatud ettevõttest või organisatsioonist ja varastada raha, esinedes
juhitud. Kurjategijad saavad juurdepääsu ettevõtte süsteemile tüüpilise rünnaku või pahavara kaudu. Seejärel uurivad nad ettevõtte organisatsioonilist struktuuri, finantssüsteeme ning juhtkonna e-posti stiili ja ajakava.
Vaata ka:
