Чем некий японский министр удивил хакеров?
Содержание
Количество приемов сокрытия, маскировки и введения в заблуждение противника — будь то киберпреступность или кибервойна — неумолимо растет. Можно сказать, что сегодня хакеры очень редко, ради славы или дела, раскрывают то, что они сделали.
Серия технических сбоев во время прошлогодней церемонии открытия Зимняя Олимпиада в Корее это было результатом кибератаки. The Guardian сообщила, что недоступность веб-сайта Игр, сбой Wi-Fi на стадионе и сломанные телевизоры в пресс-центре стали результатом гораздо более изощренной атаки, чем предполагалось изначально. Злоумышленники заранее получили доступ к сети организаторов и очень хитрым способом вывели из строя многие компьютеры — несмотря на многочисленные меры безопасности.
Пока его эффекты не были замечены, враг был невидим. Раз разрушение было замечено, оно в значительной степени осталось таковым (1). Было несколько теорий о том, кто стоял за нападением. По самой популярной, следы вели в Россию — по мнению некоторых комментаторов, это могла быть месть за снятие с Игр государственных знамен России.
Другие подозрения были направлены на Северную Корею, которая всегда стремится подразнить своего южного соседа, или на Китай, поскольку он является хакерской державой и часто оказывается среди подозреваемых. Но все это было скорее детективной дедукцией, чем выводом, основанным на неопровержимых доказательствах. И в большинстве таких случаев мы обречены только на такого рода спекуляции.
Как правило, установление авторства кибератаки является сложной задачей. Преступники не только обычно не оставляют узнаваемых следов, но и добавляют запутанные подсказки к своим методам.
Это было так атака на польские банки в начале 2017 года. Компания BAE Systems, которая первой описала громкую атаку на национальный банк Бангладеш, тщательно изучила некоторые элементы вредоносного ПО, нацеленного на компьютеры в польских банках, и пришла к выводу, что его авторы пытались выдать себя за российские -говорящие люди.
Элементы кода содержали русские слова со странной транслитерацией — например, русское слово в необычной форме «клиент». BAE Systems подозревает, что злоумышленники использовали Google Translate, чтобы притвориться русскими хакерами с помощью русской лексики.
В мае 2018 г. Banco de Chile признал, что у него были проблемы, и рекомендовал клиентам пользоваться услугами онлайн- и мобильного банкинга, а также банкоматами. На экранах компьютеров, находящихся в отделениях, специалисты обнаружили признаки повреждения загрузочных секторов дисков.
После нескольких дней просмотра сети были обнаружены следы, подтверждающие, что действительно имело место массовое повреждение дисков на тысячах компьютеров. По неофициальной информации, последствия затронули 9 тыс. человек. компьютеров и 500 серверов.
Дальнейшее расследование показало, что вирус исчез из банка во время атаки. 11 миллионов долларови другие источники указывают на еще большую сумму! Эксперты по безопасности в конце концов пришли к выводу, что поврежденные диски банковских компьютеров были просто камуфляжем для кражи хакерами. Однако официально банк этого не подтверждает.
Ноль дней на подготовку и ноль файлов
За последний год почти две трети крупнейших компаний мира подверглись успешным атакам киберпреступников. Они чаще всего использовали методики, основанные на уязвимостях нулевого дня и т.н. бесфайловые атаки.
Таковы выводы отчета «State of Endpoint Security Risk», подготовленного Ponemon Institute по поручению Barkly. Обе техники атаки являются разновидностями невидимого врага, которые набирают все большую популярность.
По данным авторов исследования, только за последний год количество атак, направленных на крупнейшие мировые организации, увеличилось на 20%. Также из отчета мы узнаем, что средний убыток, понесенный в результате таких действий, оценивается в $7,12 млн на каждое, что составляет $440 на одну позицию, подвергшуюся атаке. Эти суммы включают в себя как конкретные убытки, причиненные преступниками, так и затраты на восстановление атакованных систем до исходного состояния.
Типовые атаки крайне сложно противодействовать, так как обычно они основаны на уязвимостях в программном обеспечении, о которых не знают ни производитель, ни пользователи. Первые не могут подготовить соответствующее обновление безопасности, а вторые не могут реализовать соответствующие процедуры безопасности.
«Целых 76% успешных атак были основаны на эксплуатации уязвимостей нулевого дня или какого-то ранее неизвестного вредоносного ПО — а это значит, что они были в четыре раза эффективнее классических техник, ранее использовавшихся киберпреступниками», — поясняют представители Ponemon Institute. .
Второй невидимый метод, бесфайловые атаки, заключается в запуске вредоносного кода в системе с использованием различных «уловок» (например, путем внедрения эксплойта на веб-сайт), не требуя от пользователя загрузки или запуска какого-либо файла.
Преступники используют этот метод все чаще и чаще, поскольку классические атаки по отправке пользователям вредоносных файлов (например, документов Office или PDF-файлов) становятся все менее и менее эффективными. Добавим, что атаки обычно основаны на уязвимостях программного обеспечения, которые уже известны и исправлены — проблема в том, что многие пользователи недостаточно часто обновляют свои приложения.
В отличие от описанного выше сценария, вредоносное ПО не размещает исполняемый файл на диске. Вместо этого он работает во внутренней памяти вашего компьютера, которая является оперативной памятью.
Это означает, что традиционному антивирусному программному обеспечению будет трудно обнаружить вредоносную инфекцию, поскольку оно не найдет файл, указывающий на него. Благодаря использованию вредоносного ПО злоумышленник может скрыть свое присутствие на компьютере, не поднимая тревоги, и нанести различного рода ущерб (кража информации, загрузка дополнительных вредоносных программ, получение доступа к более высоким привилегиям и т. д.).
Бесфайловое вредоносное ПО также называется (AVT). Некоторые эксперты говорят, что это даже хуже, чем (APT).
2. Информация о взломанном сайте
Когда HTTPS не помогает
Кажется, что времена, когда преступники брали под свой контроль сайт, меняли содержание главной страницы, размещая на ней информацию крупным шрифтом (2), ушли навсегда.
В настоящее время целью атак является в первую очередь получение денег, и преступники используют все методы для получения ощутимой финансовой выгоды в любой ситуации. После поглощения стороны стараются как можно дольше оставаться скрытыми и получать прибыль или использовать приобретенную инфраструктуру.
Внедрение вредоносного кода в плохо защищенные веб-сайты может иметь различные цели, например финансовые (кража информации о кредитной карте). Когда-то было написано о Болгарские сценарии введены на веб-сайте Канцелярии Президента Республики Польша, но не было возможности четко указать, какова цель ссылок на иностранные шрифты.
Относительно новым методом является так называемый , то есть оверлеи, которые воруют номера кредитных карт на сайтах магазинов. Пользователь веб-сайта, использующего HTTPS (3), уже обучен и привык проверять, отмечен ли данный веб-сайт этим характерным символом, и само наличие замка стало доказательством отсутствия каких-либо угроз.
3. Обозначение HTTPS в интернет-адресе
Однако преступники используют это чрезмерное доверие к безопасности сайта по-разному: используют бесплатные сертификаты, размещают на сайте фавиконку в виде замка, внедряют зараженный код в исходный код сайта.
Анализ способов заражения некоторых интернет-магазинов показывает, что физические скиммеры банкоматов злоумышленники перенесли в кибермир в виде . При совершении типового перевода за покупки клиент заполняет платежную форму, в которой указывает все данные (номер кредитной карты, срок действия, номер CVV, имя и фамилию).
Оплата авторизована магазином традиционным способом, и весь процесс покупки осуществляется корректно. Однако в случае использования на сайт магазина вводится код (достаточно одной строки JavaScript), который вызывает отправку данных, введенных в форму, на сервер злоумышленников.
Одним из самых известных преступлений такого типа была атака на сайт Магазин Республиканской партии США. В течение полугода данные кредитной карты клиента были украдены и перенесены на российский сервер.
Путем оценки трафика в магазине и данных черного рынка было установлено, что украденные кредитные карты принесли киберпреступникам прибыль в размере 600 XNUMX. долларов.
В 2018 году они были украдены идентичным способом. данные о клиентах производителя смартфонов OnePlus. Компания признала, что ее сервер был заражен, а переданные данные кредитной карты были скрыты прямо в браузере и отправлены неизвестным преступникам. Сообщалось, что таким образом были присвоены данные 40 XNUMX человек. клиенты.
Опасности в оборудовании
Огромную и растущую область невидимых киберугроз составляют всевозможные техники, основанные на цифровом оборудовании, будь то в виде чипов, тайно установленных в безобидных на вид компонентах или шпионских устройствах.
Об обнаружении дополнительных, объявленных в октябре прошлого года агентством Bloomberg, миниатюрные шпионские чипы в телекоммуникационном оборудовании, в т.ч. в розетках Ethernet (4), проданных Apple или Amazon, стало сенсацией 2018 года. Следы привели к Supermicro, производителю устройств в Китае. Однако впоследствии информацию Блумберга опровергли все заинтересованные стороны — от китайцев до Apple и Amazon.
4. Сетевые порты Ethernet
Как оказалось, также лишенное специальных имплантов, «обычное» компьютерное железо может быть использовано в бесшумной атаке. Например, установлено, что баг в процессорах Intel, о котором мы недавно писали в «МТ», заключающийся в возможности «предсказывать» последующие операции, способен разрешить любое программное обеспечение (от движка базы данных до простого JavaScript запускать в браузере) для доступа к структуре или содержимому защищенных областей памяти ядра.
Несколько лет назад мы писали об оборудовании, которое позволяет тайно взламывать и шпионить за электронными устройствами. Мы описали 50-страничный «Каталог покупок ANT», который был доступен в Интернете. Как пишет «Шпигель», именно у него агенты спецслужб, специализирующиеся на кибервойнах, выбирают себе «оружие».
В список вошли продукты разного класса, от звуковой волны и подслушивающего устройства LOUDAUTO за 30 долларов до 40 XNUMX долларов. CANDYGRAM долларов, которые используются для установки собственной копии вышки сотовой связи сети GSM.
В список входит не только аппаратное обеспечение, но и специализированное программное обеспечение, такое как DROPOUTJEEP, которое после «вживления» в iPhone позволяет, в том числе, извлекать из его памяти или сохранять в него файлы. Таким образом, вы можете получать списки рассылки, SMS-сообщения, голосовые сообщения, а также контролировать и определять местоположение камеры.
Столкнувшись с силой и вездесущностью невидимых врагов, иногда чувствуешь себя беспомощным. Вот почему не все удивляются и забавляются отношение Ёситака Сакурада, министр, отвечающий за подготовку к Олимпийским играм в Токио в 2020 году, и заместитель главы правительственного управления по стратегии кибербезопасности, который, как сообщается, никогда не пользовался компьютером.
По крайней мере, он был невидим для врага, а не врагом для него.
Список терминов, связанных с невидимым кибер-врагом
– вредоносное программное обеспечение, направленное на скрытый вход в систему, устройство, компьютер или программное обеспечение либо путем обхода установленных в них традиционных мер безопасности.
Бот – отдельное устройство, подключенное к сети Интернет, зараженное вредоносным ПО и входящее в сеть подобных зараженных устройств. чаще всего это компьютер, но это также может быть смартфон, планшет или оборудование, подключенное к Интернету вещей (например, маршрутизатор или холодильник). Он получает оперативные инструкции от сервера управления и контроля или напрямую, а иногда и от других пользователей в сети, но всегда без ведома или ведома владельца. они могут включать до миллиона устройств и рассылать до 60 миллиардов спама в день. Они используются для мошеннических целей, получения онлайн-опросов, манипулирования социальными сетями, а также для распространения спама и.
– в 2017 году появилась новая технология добычи криптовалюты Monero в веб-браузерах. Скрипт был создан на JavaScript и может быть легко встроен в любую страницу. Когда пользователь
компьютер посещает такую зараженную страницу, вычислительная мощность его устройства используется для майнинга криптовалюты. Чем больше времени мы проводим на веб-сайтах такого типа, тем больше циклов процессора в нашем оборудовании может использовать киберпреступник.
– Вредоносное ПО, которое устанавливает другой тип вредоносного ПО, например вирус или лазейку. часто предназначены для того, чтобы избежать обнаружения традиционными решениями
антивирус, в т.ч. за счет отсроченной активации.
– вредоносное ПО, использующее уязвимость законного программного обеспечения для взлома компьютера или системы.
– использование программного обеспечения для сбора информации, относящейся к определенному типу использования клавиатуры, например последовательности буквенно-цифровых/специальных символов, связанных с определенными словами
ключевые слова, такие как «bankofamerica.com» или «paypal.com». Если он работает на тысячах подключенных компьютеров, киберпреступник имеет возможность быстро собирать конфиденциальную информацию.
– Вредоносное программное обеспечение, специально разработанное для нанесения вреда компьютеру, системе или данным. Он включает в себя несколько типов инструментов, включая трояны, вирусы и черви.
– попытка получить чувствительную или конфиденциальную информацию от пользователя оборудования, подключенного к сети Интернет. Киберпреступники используют этот метод для распространения электронного контента среди широкого круга жертв, побуждая их к определенным действиям, таким как переход по ссылке или ответ на электронное письмо. В этом случае они предоставят личную информацию, такую как имя пользователя, пароль, банковские или финансовые реквизиты или данные кредитной карты, без их ведома. Методы распространения включают электронную почту, интернет-рекламу и SMS. Разновидность — атака, направленная на конкретных людей или группы людей, например, на правление корпорации, знаменитостей или высокопоставленных государственных чиновников.
– Вредоносное программное обеспечение, которое позволяет тайно получить доступ к частям компьютера, программного обеспечения или системы. Он часто модифицирует аппаратную операционную систему таким образом, что она остается скрытой от пользователя.
– вредоносное ПО, шпионящее за пользователем компьютера, перехватывающее нажатия клавиш, электронные письма, документы и даже включающее видеокамеру без его ведома.
– метод сокрытия файла, сообщения, изображения или фильма в другом файле. Воспользуйтесь преимуществами этой технологии, загрузив, казалось бы, безобидные файлы изображений, содержащие сложные потоки.
сообщения, отправляемые по каналу C&C (между компьютером и сервером), пригодные для незаконного использования. Изображения могут храниться на взломанном веб-сайте или даже
в сервисах обмена изображениями.
Шифрование/сложные протоколы – метод, используемый в коде для запутывания передач. Некоторые вредоносные программы на основе, такие как троян, шифруют как распространение вредоносного ПО, так и связь C&C (управление).
— форма нереплицируемого вредоносного ПО, которое содержит скрытый функционал. Троянец обычно не пытается распространяться или внедряться в другие файлы.
– сочетание слов («голос») и . Означает использование телефонного соединения для получения конфиденциальной личной информации, такой как номера банков или кредитных карт.
Как правило, жертва получает автоматический вызов сообщения от кого-то, кто утверждает, что представляет финансовое учреждение, интернет-провайдера или технологическую компанию. В сообщении может быть запрошен номер счета или PIN-код. После активации соединения оно перенаправляется через сервис к злоумышленнику, который затем запрашивает дополнительные конфиденциальные персональные данные.
(BEC) — тип атаки, направленный на обман людей из данной компании или организации и кражу денег путем выдачи себя за
под управлением. Преступники получают доступ к корпоративной системе посредством типовой атаки или вредоносного ПО. Затем они изучают организационную структуру компании, ее финансовые системы, а также стиль и расписание электронной почты руководства.
Смотрите также:
