Hogyan lepte meg a hackereket egy bizonyos japán miniszter?
Tartalom
Az ellenség elrejtésére, álcázására és félrevezetésére szolgáló módszerek száma – legyen szó kiberbűnözésről vagy kiberhadviselésről – menthetetlenül növekszik. Elmondható, hogy manapság a hackerek nagyon ritkán árulják el, hogy a hírnév vagy az üzlet érdekében mit csináltak.
Műszaki hibák sorozata a tavalyi megnyitó ünnepségen Téli olimpia Koreában egy kibertámadás eredménye volt. A The Guardian arról számolt be, hogy a Games weboldalának elérhetetlensége, a Wi-Fi meghibásodása a stadionban és a sajtóteremben elromlott televíziók egy sokkal kifinomultabb támadás eredménye, mint azt eredetileg gondolták. A támadók előzetesen hozzáfértek a szervezők hálózatához, és nagyon ravasz módon - a számos biztonsági intézkedés ellenére - számos számítógépet letiltottak.
Amíg a hatásait nem látták, az ellenség láthatatlan volt. Ha a pusztulást látták, az nagyrészt az is maradt (1). Számos elmélet született arról, hogy ki állhat a támadás mögött. A legnépszerűbbek szerint a nyomok Oroszországba vezettek - egyes kommentátorok szerint ez bosszú lehet, amiért eltávolították Oroszország állami transzparenseit a játékokról.
Más gyanúk is irányultak Észak-Koreára, amely mindig ugratni akarja déli szomszédját, vagy Kínára, amely hackerhatalom, és gyakran a gyanúsítottak között van. De mindez inkább volt detektív következtetés, mint megcáfolhatatlan bizonyítékokon alapuló következtetés. És a legtöbb esetben csak az effajta spekulációra vagyunk ítélve.
A kibertámadás szerzőségének megállapítása általában nehéz feladat. A bûnözõk általában nem hagynak maguk után felismerhetõ nyomokat, de zavaró nyomokat is adnak módszereikhez.
Ilyen volt támadás a lengyel bankok ellen 2017 elején. A BAE Systems, amely először ismertette a Bangladesi Nemzeti Bank elleni nagy horderejű támadást, alaposan megvizsgálta a lengyel bankok számítógépeit célzó kártevő egyes elemeit, és arra a következtetésre jutott, hogy a szerzők oroszul beszélő embereket próbáltak kiadni.
A kódelemek furcsa átírású orosz szavakat tartalmaztak – például az orosz szót szokatlan „kliens” formában. A BAE Systems azt gyanítja, hogy a támadók a Google Fordítót használták arra, hogy orosz szókincset használva orosz hackereknek adtak ki magukat.
2018 májusában Banco de Chile elismerte, hogy problémái vannak, és javasolta az ügyfeleknek az online és mobilbanki szolgáltatások, valamint az ATM-ek használatát. Az osztályokon elhelyezett számítógépek képernyőjén a szakértők a lemezek rendszerindító szektorainak sérülésére utaló jeleket találtak.
Több napos neten való böngészés után nyomokat találtak, amelyek megerősítették, hogy valóban hatalmas lemezsérülés történt több ezer számítógépen. Nem hivatalos információk szerint a következmények 9 ezer embert érintettek. számítógépek és 500 szerver.
A további vizsgálatok során kiderült, hogy a vírus a támadás idején eltűnt a bankból. 11 millió dollárés más források még nagyobb összegre utalnak! A biztonsági szakértők végül arra a következtetésre jutottak, hogy a bankszámítógép sérült lemezei egyszerűen csak álcázást jelentenek a hackerek számára. Ezt azonban a bank hivatalosan nem erősíti meg.
Nulla nap az előkészítésre és nulla fájl
Az elmúlt évben a világ legnagyobb vállalatainak csaknem kétharmadát sikeresen megtámadták kiberbűnözők. Leggyakrabban a nulladik napi sebezhetőségen alapuló technikákat és az ún. fájl nélküli támadások.
Ezek az Állapot a végpont biztonsági kockázatáról szóló jelentés megállapításai, amelyet a Ponemon Institute készített a Barkly megbízásából. Mindkét támadási technika a láthatatlan ellenség fajtái, amelyek egyre népszerűbbek.
A tanulmány készítői szerint csak az elmúlt évben 20%-kal nőtt a világ legnagyobb szervezetei elleni támadások száma. A jelentésből azt is megtudjuk, hogy az ilyen akciók eredményeként elszenvedett átlagos veszteség egyenként 7,12 millió dollárra becsülhető, ami 440 dollár megtámadott pozíciónként. Ezek az összegek tartalmazzák a bűnözők által okozott konkrét veszteségeket és a megtámadott rendszerek eredeti állapotának helyreállításának költségeit is.
A tipikus támadásokat rendkívül nehéz leküzdeni, mivel általában olyan szoftverek sérülékenységein alapulnak, amelyekről sem a gyártó, sem a felhasználók nem tudnak. Az előbbi nem tudja elkészíteni a megfelelő biztonsági frissítést, az utóbbi pedig nem tudja végrehajtani a megfelelő biztonsági eljárásokat.
"A sikeres támadások 76%-a nulladik napi sebezhetőségen vagy valamilyen korábban ismeretlen rosszindulatú programon alapult, ami azt jelenti, hogy négyszer hatékonyabbak voltak, mint a kiberbűnözők által korábban használt klasszikus technikák" - magyarázzák a Ponemon Institute képviselői. .
Második láthatatlan módszer, fájl nélküli támadások, rosszindulatú kód futtatása a rendszeren különféle "trükkökkel" (például exploit beszúrásával egy webhelyre), anélkül, hogy a felhasználónak bármilyen fájlt kellene letöltenie vagy futtatnia.
A bûnözõk egyre gyakrabban használják ezt a módszert, mivel a klasszikus támadások rosszindulatú fájlok (például Office-dokumentumok vagy PDF-fájlok) küldésére a felhasználóknak egyre kevésbé hatékonyak. Ráadásul a támadások általában már ismert és kijavított szoftveres sebezhetőségeken alapulnak – a probléma az, hogy sok felhasználó nem frissíti elég gyakran az alkalmazásait.
A fenti forgatókönyvtől eltérően a rosszindulatú program nem helyezi el a végrehajtható fájlt a lemezen. Ehelyett a számítógép belső memóriáján, azaz RAM-on fut.
Ez azt jelenti, hogy a hagyományos víruskereső szoftver nehezen tudja észlelni a rosszindulatú fertőzést, mert nem találja meg a rá mutató fájlt. A rosszindulatú programok használatával a támadó elrejtheti jelenlétét a számítógépen anélkül, hogy riasztást adna, és különféle károkat okozhat (információlopás, további rosszindulatú programok letöltése, magasabb jogosultságokhoz való hozzáférés stb.).
A fájl nélküli rosszindulatú programokat AVT-nek is nevezik. Egyes szakértők szerint ez még rosszabb, mint az (APT).
2. Információ a feltört oldalról
Amikor a HTTPS nem segít
Úgy tűnik, örökre elmúltak azok az idők, amikor a bűnözők átvették az irányítást az oldal felett, megváltoztatták a főoldal tartalmát, és nagy betűkkel helyezték el az információkat (2).
Jelenleg a támadások célja elsősorban a pénz megszerzése, a bűnözők pedig minden módszert bevetnek, hogy minden helyzetben kézzelfogható anyagi haszonra tegyenek szert. Az átvétel után a felek igyekeznek minél tovább rejtve maradni, és profitot termelni, illetve kihasználni a megszerzett infrastruktúrát.
A rosszindulatú kódok gyengén védett webhelyekbe való bejuttatásának különféle céljai lehetnek, például pénzügyi (hitelkártyaadatok ellopása). Egyszer már írtak róla bolgár írások a Lengyel Köztársaság Elnöki Hivatalának honlapján vezették be, de nem lehetett egyértelműen megfogalmazni, hogy mi a célja a külföldi betűtípusokra mutató hivatkozásoknak.
Viszonylag új módszer az úgynevezett, vagyis a bankkártyaszámokat ellopó overlay-k az üzletek weboldalain. A HTTPS(3)-t használó weboldal használója már képzett és hozzászokott ahhoz, hogy ellenőrizze, hogy egy adott webhely meg van-e jelölve ezzel a jellegzetes szimbólummal, és már a lakat jelenléte is bizonyítja, hogy nincs veszély.
3. HTTPS kijelölése az Internet címben
A bûnözõk azonban különbözõ módokon használják fel ezt a túlzott támaszkodást a webhely biztonságára: ingyenes tanúsítványokat használnak, lakat formájában favicont helyeznek el az oldalon, és fertõzött kódot juttatnak be az oldal forráskódjába.
Egyes webáruházak fertőzési módszereinek elemzése azt mutatja, hogy a támadók az ATM-ek fizikai szkimmereit a kibervilágba adták át formában. Vásárlás esetén az ügyfél egy fizetési űrlapot tölt ki, amelyben megadja az összes adatot (hitelkártya száma, lejárati dátuma, CVV-szám, vezeték- és keresztnév).
A fizetést az üzlet hagyományos módon engedélyezi, és a teljes vásárlási folyamatot korrekt módon bonyolítják le. Használat esetén azonban egy kódot (elegendő egy sor JavaScript) befecskendeznek az áruház oldalára, amely hatására az űrlapon megadott adatok elküldésre kerülnek a támadók szerverére.
Az egyik leghíresebb ilyen típusú bűncselekmény a weboldal elleni támadás volt USA republikánus pártüzlet. Hat hónapon belül ellopták az ügyfél hitelkártyaadatait, és átvitték egy orosz szerverre.
A bolti forgalom és a feketepiaci adatok kiértékelésével megállapították, hogy az ellopott hitelkártyák 600 ezer dollár hasznot hoztak a kiberbűnözőknek. dollárt.
2018-ban azonos módon lopták el őket. okostelefon-gyártó OnePlus ügyféladatok. A cég elismerte, hogy szervere fertőzött, az átvitt hitelkártya-adatokat pedig közvetlenül a böngészőben rejtették el, és elküldték ismeretlen bűnözőknek. Közölték, 40 ember adatait sajátították el így. ügyfelek.
Berendezés veszélyei
A láthatatlan kiberfenyegetések hatalmas és egyre növekvő területe a digitális berendezéseken alapuló mindenféle technikából áll, akár ártalmatlannak tűnő alkatrészekbe, akár kémeszközökbe titkosan beépített chipek formájában.
A Bloomberg által tavaly októberben bejelentett további felfedezések kapcsán miniatűr kém chipek távközlési berendezésekben, beleértve a az Apple vagy az Amazon által értékesített Ethernet-aljzatokban (4) 2018-ban szenzáció lett. A nyom a Supermicro-hoz, egy kínai eszközgyártóhoz vezetett. A Bloomberg információit azonban ezt követően minden érdekelt fél – a kínaiaktól az Apple-ig és az Amazonig – cáfolta.
4. Ethernet hálózati portok
Mint kiderült, a speciális implantátumoktól is mentes, „hétköznapi” számítógépes hardver használható csendes támadásban. Kiderült például, hogy az Intel processzorok hibája, amelyről nemrég az MT-ben írtunk, és amely a következő műveletek "előrejelzésének" képességéből áll, képes bármilyen szoftver futtatását engedélyezni (az adatbázis-motortól az egyszerű JavaScript-ig). böngészőben) elérheti a kernel memória védett területeinek szerkezetét vagy tartalmát.
Néhány éve írtunk olyan berendezésekről, amelyek lehetővé teszik az elektronikus eszközök titkos feltörését és kémkedését. Leírtunk egy 50 oldalas "ANT Shopping Catalog"-t, amely elérhető volt az interneten. Mint a Spiegel írja, tőle választják ki a „fegyvereket” a kiberhadviselésre szakosodott titkosszolgálati ügynökök.
A listán a hanghullámtól és a 30 dolláros LOUDAUTO lehallgató készüléktől a 40 XNUMX dollárig különböző osztályokba tartozó termékek találhatók. CANDYGRAM dollár, amelyet egy GSM-cellatorony saját példányának telepítésére használnak fel.
A listán nem csak hardverek találhatók, hanem speciális szoftverek is, mint például a DROPOUTJEEP, amely az iPhone-ba "beültetés" után többek között lehetővé teszi a fájlok előhívását a memóriájából, vagy fájlok mentését rá. Így levelezőlistákat, SMS-eket, hangüzeneteket fogadhat, valamint vezérelheti és megkeresheti a kamerát.
A láthatatlan ellenségek erejével és mindenütt jelenlétével szemben néha tehetetlennek érzed magad. Ezért nem mindenki lepődik meg és szórakozik Yoshitaka Sakurada hozzáállása, a 2020-as tokiói olimpia előkészületeiért felelős miniszter és a kormány kiberbiztonsági stratégiai hivatalának helyettes vezetője, aki állítólag soha nem használt számítógépet.
Legalább láthatatlan volt az ellenség számára, nem ellenség neki.
A láthatatlan kiberellenséggel kapcsolatos kifejezések listája
Rosszindulatú szoftverek, amelyek titkos bejelentkezésre szolgálnak egy rendszerbe, eszközbe, számítógépbe vagy szoftverbe, vagy a hagyományos biztonsági intézkedések megkerülésével.
csónak – egy különálló, az internetre csatlakoztatott, rosszindulatú szoftverrel fertőzött eszköz, amely a hasonló fertőzött eszközök hálózatába tartozik. ez leggyakrabban számítógép, de lehet okostelefon, táblagép vagy IoT-csatlakozású berendezés is (például router vagy hűtőszekrény). Működési utasításokat kap a parancs- és vezérlőszervertől vagy közvetlenül, néha pedig a hálózat többi felhasználójától, de mindig a tulajdonos tudta vagy tudta nélkül. akár egymillió eszközt is tartalmazhatnak, és naponta akár 60 milliárd kéretlen levelet is küldhetnek. Csalárd célokra használják fel, online felmérések fogadására, közösségi hálózatok manipulálására, valamint spam terjesztésére és.
– 2017-ben megjelent egy új technológia a Monero kriptovaluta bányászatára webböngészőkben. A szkript JavaScriptben készült, és könnyen beágyazható bármely oldalba. Amikor a felhasználó
egy számítógép felkeres egy ilyen fertőzött oldalt, eszközének számítási teljesítményét kriptovaluta bányászathoz használja fel. Minél több időt töltünk az ilyen típusú webhelyeken, annál több CPU-ciklust használhat a kiberbűnözők a berendezéseinkben.
– Rosszindulatú szoftver, amely más típusú rosszindulatú programokat, például vírust vagy hátsó ajtót telepít. gyakran úgy tervezték, hogy elkerüljék a hagyományos megoldások általi észlelést
vírusirtó, beleértve késleltetett aktiválás miatt.
Rosszindulatú program, amely a legális szoftverek biztonsági rését használja ki számítógép vagy rendszer feltörésére.
– szoftverek használata bizonyos típusú billentyűzethasználattal kapcsolatos információk gyűjtésére, például az egyes szavakhoz kapcsolódó alfanumerikus/speciális karakterek sorozata
kulcsszavak, például „bankofamerica.com” vagy „paypal.com”. Ha több ezer csatlakoztatott számítógépen fut, a kiberbűnözők képesek gyorsan érzékeny információkat gyűjteni.
– Rosszindulatú szoftver, amelyet kifejezetten a számítógép, a rendszer vagy az adatok károsítására terveztek. Többféle eszközt tartalmaz, beleértve a trójaiakat, vírusokat és férgeket.
– kísérlet érzékeny vagy bizalmas információk megszerzésére az internethez csatlakoztatott berendezés felhasználójától. A kiberbűnözők ezt a módszert arra használják, hogy elektronikus tartalmat terjesztjenek az áldozatok széles köréhez, és bizonyos műveletekre késztetik őket, például kattintsanak egy linkre vagy válaszoljanak egy e-mailre. Ebben az esetben személyes adatokat, például felhasználónevet, jelszót, banki vagy pénzügyi adatokat vagy hitelkártyaadatokat adnak meg a tudta nélkül. A terjesztési módszerek közé tartozik az e-mail, az online hirdetés és az SMS. A változat olyan támadás, amely meghatározott személyek vagy személyek csoportjai, például vállalati vezetők, hírességek vagy magas rangú kormányzati tisztviselők ellen irányul.
– Rosszindulatú szoftver, amely lehetővé teszi, hogy titokban hozzáférjen egy számítógép, szoftver vagy rendszer részeihez. Gyakran módosítja a hardver operációs rendszert oly módon, hogy az rejtve maradjon a felhasználó elől.
- olyan rosszindulatú programok, amelyek egy számítógép-felhasználó után kémkednek, billentyűleütéseket, e-maileket, dokumentumokat lehallgatnak, sőt, a tudta nélkül bekapcsolnak egy videokamerát.
- egy fájl, üzenet, kép vagy film elrejtésének módja egy másik fájlban. Használja ki ezt a technológiát az összetett adatfolyamokat tartalmazó, ártalmatlannak tűnő képfájlok feltöltésével.
illegális felhasználásra alkalmas C&C csatornán (számítógép és szerver között) küldött üzenetek. A képeket egy feltört webhelyen tárolják, vagy akár
képmegosztó szolgáltatásokban.
Titkosító/komplex protokollok a kódban használt módszer az átvitelek elhomályosítására. Egyes kártevő-alapú programok, például a trójai, mind a rosszindulatú programok terjesztését, mind a C&C (vezérlő) kommunikációt titkosítják.
a nem replikálódó rosszindulatú programok egyik formája, amely rejtett funkciókat tartalmaz. A trójai rendszerint nem próbálja meg elterjedni vagy beilleszteni magát más fájlokba.
- a szavak kombinációja ("hang") és. Telefonos kapcsolat használata érzékeny személyes adatok, például bank- vagy hitelkártyaszámok megszerzésére.
Általában az áldozat automatikus üzenetkérést kap valakitől, aki azt állítja, hogy egy pénzintézetet, internetszolgáltatót vagy technológiai céget képvisel. Az üzenet számlaszámot vagy PIN-kódot kérhet. A kapcsolat aktiválása után a szolgáltatáson keresztül a támadóhoz irányítják, aki további érzékeny személyes adatokat kér.
(BEC) - egyfajta támadás, amelynek célja egy adott cégtől vagy szervezettől származó emberek megtévesztése, valamint pénzlopás megszemélyesítéssel
által irányított. A bûnözõk egy tipikus támadáson vagy rosszindulatú programokon keresztül jutnak hozzá a vállalati rendszerhez. Ezután tanulmányozzák a vállalat szervezeti felépítését, pénzügyi rendszereit, valamint a menedzsment e-mail stílusát és ütemezését.
Lásd még:
