Kā kāds Japānas ministrs pārsteidza hakerus?
To metožu skaits, kā slēpt, maskēt un maldināt ienaidnieku – vai tas būtu kibernoziegums vai kiberkara darbība – nepielūdzami pieaug. Var teikt, ka mūsdienās hakeri ļoti reti slavas vai biznesa nolūkos atklāj paveikto.
Tehnisku kļūmju sērija pagājušā gada atklāšanas ceremonijā ziemas olimpiskās spēles Korejā tas bija kiberuzbrukuma rezultāts. The Guardian ziņoja, ka spēļu vietnes nepieejamība, Wi-Fi kļūme stadionā un salauzti televizori preses telpā bija daudz sarežģītāka uzbrukuma, nekā sākotnēji domāts, rezultāts. Uzbrucēji jau iepriekš ieguva piekļuvi organizatoru tīklam un ļoti viltīgā veidā atspējoja daudzus datorus – neskatoties uz neskaitāmajiem drošības pasākumiem.
Kamēr tā sekas nebija redzamas, ienaidnieks bija neredzams. Kad iznīcināšana tika redzēta, tā lielākoties tā arī palika (1). Ir bijušas vairākas teorijas par to, kurš bija aiz uzbrukuma. Pēc populārākā domām, pēdas vedušas uz Krieviju – pēc dažu komentētāju domām, tā varētu būt atriebība par Krievijas valsts karogu noņemšanu no spēlēm.
Citas aizdomas ir vērstas pret Ziemeļkoreju, kas vienmēr vēlas ķircināt savu dienvidu kaimiņu, vai Ķīnu, kas ir hakeru lielvalsts un bieži vien ir aizdomās turamo vidū. Bet tas viss vairāk bija detektīvs secinājums, nevis secinājums, kas balstīts uz neapgāžamiem pierādījumiem. Un vairumā gadījumu mēs esam lemti tikai šāda veida spekulācijām.
Parasti kiberuzbrukuma autorības noteikšana ir sarežģīts uzdevums. Noziedznieki ne tikai parasti neatstāj nekādas atpazīstamas pēdas, bet arī pievieno savām metodēm mulsinošas norādes.
Tas bija šāds uzbrukums Polijas bankām 2017. gada sākumā. BAE Systems, kas pirmo reizi aprakstīja skaļo uzbrukumu Bangladešas Nacionālajai bankai, rūpīgi pārbaudīja dažus ļaunprātīgas programmatūras elementus, kas bija vērsti pret Polijas banku datoriem, un secināja, ka tās autori mēģina uzdoties par krievvalodīgajiem cilvēkiem.
Koda elementi saturēja krievu vārdus ar dīvainu transliterāciju - piemēram, krievu vārds neparastā formā "klients". BAE Systems ir aizdomas, ka uzbrucēji izmantoja Google tulkotāju, lai izliktos par krievu hakeriem, izmantojot krievu valodas vārdu krājumu.
2018. gada maijā Banco de Chile atzina, ka viņam ir problēmas, un ieteica klientiem izmantot tiešsaistes un mobilās bankas pakalpojumus, kā arī bankomātus. Nodaļās izvietoto datoru ekrānos eksperti konstatēja disku sāknēšanas sektoru bojājumu pazīmes.
Pēc vairāku dienu pārlūkošanas tīklā tika atrastas pēdas, kas apstiprināja, ka tūkstošiem datoru patiešām ir notikusi liela diska sabojāšana. Pēc neoficiālas informācijas, sekas skāra 9 tūkstošus cilvēku. datori un 500 serveri.
Turpmākā izmeklēšana atklāja, ka vīruss uzbrukuma brīdī no bankas bija pazudis. 11 miljoni ASV dolāruun citi avoti norāda uz vēl lielāku summu! Drošības eksperti galu galā secināja, ka bankas datora bojātie diski bija vienkārši maskēšanās, ko hakeri var nozagt. Taču banka oficiāli to neapstiprina.
Nulle dienu sagatavošanai un nulles failu
Pēdējā gada laikā gandrīz divām trešdaļām pasaules lielāko uzņēmumu ir veiksmīgi uzbrukuši kibernoziedznieki. Viņi visbiežāk izmantoja paņēmienus, kuru pamatā ir nulles dienas ievainojamības un t.s. bezfailu uzbrukumi.
Šie ir secinājumi Endpoint Security Riska stāvokļa ziņojumā, ko Barkly vārdā sagatavojis Ponemon institūts. Abas uzbrukuma metodes ir neredzamā ienaidnieka paņēmieni, kas iegūst arvien lielāku popularitāti.
Pēc pētījuma autoru domām, pēdējā gada laikā vien par 20% pieaudzis pret pasaules lielākajām organizācijām vērsto uzbrukumu skaits. No ziņojuma mēs arī uzzinājām, ka vidējie zaudējumi, kas radušies šādu darbību rezultātā, tiek lēsti USD 7,12 miljonu apmērā katram, kas ir USD 440 par katru pozīciju, kurai tika uzbrukts. Šīs summas ietver gan konkrētus noziedznieku radītos zaudējumus, gan izmaksas, kas saistītas ar uzbruktajām sistēmām to sākotnējā stāvoklī.
Tipiskiem uzbrukumiem ir ārkārtīgi grūti cīnīties, jo to pamatā parasti ir programmatūras ievainojamības, par kurām nezina ne ražotājs, ne lietotāji. Pirmais nevar sagatavot atbilstošu drošības atjauninājumu, bet otrs nevar ieviest atbilstošās drošības procedūras.
"Tik 76% veiksmīgo uzbrukumu bija balstīti uz nulles dienas ievainojamību vai kādas iepriekš nezināmas ļaunprogrammatūras izmantošanu, kas nozīmē, ka tie bija četras reizes efektīvāki par klasiskajiem paņēmieniem, ko iepriekš izmantoja kibernoziedznieki," skaidro Ponemon institūta pārstāvji. .
Otrā neredzamā metode, bezfailu uzbrukumi, ir palaist sistēmā ļaunprātīgu kodu, izmantojot dažādus "trikus" (piemēram, ievietojot vietnē ļaunprātīgu izmantošanu), neprasot lietotājam lejupielādēt vai palaist nevienu failu.
Noziedznieki šo metodi izmanto arvien biežāk, jo klasiskie uzbrukumi ļaunprātīgu failu (piemēram, Office dokumentu vai PDF failu) nosūtīšanai lietotājiem kļūst arvien mazāk efektīvi. Turklāt uzbrukumu pamatā parasti ir jau zināmas un novērstas programmatūras ievainojamības – problēma ir tā, ka daudzi lietotāji savas lietojumprogrammas neatjaunina pietiekami bieži.
Atšķirībā no iepriekš minētā scenārija, ļaunprogrammatūra neievieto izpildāmo failu diskā. Tā vietā tas darbojas jūsu datora iekšējā atmiņā, kas ir RAM.
Tas nozīmē, ka tradicionālajai pretvīrusu programmatūrai būs grūti noteikt ļaunprātīgu infekciju, jo tā neatradīs failu, kas norāda uz to. Izmantojot ļaunprātīgu programmatūru, uzbrucējs var slēpt savu klātbūtni datorā, neizraisot trauksmi un izraisīt dažāda veida bojājumus (informācijas zādzību, papildu ļaunprātīgas programmatūras lejupielādi, piekļuvi augstākām privilēģijām utt.).
Bezfailu ļaunprātīgu programmatūru sauc arī (AVT). Daži eksperti saka, ka tas ir vēl sliktāk nekā (APT).
2. Informācija par uzlauzto vietni
Kad HTTPS nepalīdz
Šķiet, tie laiki, kad noziedznieki pārņēma kontroli pār vietni, mainīja galvenās lapas saturu, ievietojot tajā informāciju lielā drukā (2), ir pagājuši uz visiem laikiem.
Šobrīd uzbrukumu mērķis primāri ir naudas iegūšana, un noziedznieki izmanto visas metodes, lai jebkurā situācijā iegūtu taustāmu finansiālu labumu. Pēc pārņemšanas puses cenšas pēc iespējas ilgāk palikt slēptas un gūt peļņu vai izmantot iegūto infrastruktūru.
Ļaunprātīga koda ievadīšanai slikti aizsargātās vietnēs var būt dažādi mērķi, piemēram, finansiāli (kredītkartes informācijas zādzība). Kādreiz par to bija rakstīts bulgāru raksti ieviests Polijas Republikas prezidenta kancelejas mājaslapā, taču nebija iespējams skaidri pateikt, kāds ir nolūks saitēm uz ārzemju fontiem.
Salīdzinoši jauna metode ir tā sauktie, tas ir, pārklājumi, kas veikalu vietnēs nozog kredītkaršu numurus. Tīmekļa vietnes lietotājs, kas izmanto HTTPS(3), jau ir apmācīts un pieradis pārbaudīt, vai konkrētā vietne ir atzīmēta ar šo raksturīgo simbolu, un pati piekaramās atslēgas klātbūtne ir kļuvusi par pierādījumu tam, ka draudi nepastāv.
3. HTTPS apzīmējums interneta adresē
Tomēr noziedznieki izmanto šo pārmērīgo paļaušanos uz vietnes drošību dažādos veidos: viņi izmanto bezmaksas sertifikātus, ievieto vietnē favicon piekaramās atslēgas veidā un ievada inficētu kodu vietnes avota kodā.
Atsevišķu interneta veikalu inficēšanās metožu analīze liecina, ka uzbrucēji bankomātu fiziskos skimmerus nodevuši kiberpasaulei formā . Veicot standarta pārskaitījumu pirkumiem, klients aizpilda maksājuma formu, kurā norāda visus datus (kredītkartes numuru, derīguma termiņu, CVV numuru, vārdu un uzvārdu).
Maksājumu veikals autorizē tradicionālā veidā, un viss pirkuma process tiek veikts pareizi. Taču lietošanas gadījumā veikala vietnē tiek ievadīts kods (pietiek ar vienu JavaScript rindiņu), kas liek formā ievadītos datus nosūtīt uzbrucēju serverim.
Viens no slavenākajiem šāda veida noziegumiem bija uzbrukums vietnei ASV Republikāņu partijas veikals. Sešu mēnešu laikā klienta kredītkartes dati tika nozagti un pārsūtīti uz Krievijas serveri.
Izvērtējot veikalu apmeklējumu un melnā tirgus datus, tika noskaidrots, ka nozagtās kredītkartes kibernoziedzniekiem radīja peļņu 600 XNUMX ASV dolāru apmērā. dolāru.
2018. gadā tās nozagtas identiskā veidā. viedtālruņu ražotāja OnePlus klientu dati. Uzņēmums atzina, ka tā serveris ir inficēts, un pārsūtītie kredītkartes dati tika paslēpti tieši pārlūkprogrammā un nosūtīti nezināmiem noziedzniekiem. Tika ziņots, ka šādā veidā tika piesavināti 40 cilvēku dati. klientiem.
Apdraudējums aprīkojumā
Milzīgu un augošu neredzamu kiberdraudu apgabalu veido visa veida tehnikas, kuru pamatā ir digitālais aprīkojums, neatkarīgi no tā, vai tie ir šķietami nekaitīgos komponentos slepeni uzstādīti mikroshēmas vai spiegošanas ierīces.
Par papildu atklāšanu, par ko Bloomberg paziņoja pagājušā gada oktobrī, miniatūras spiegu mikroshēmas telekomunikāciju iekārtās, t.sk. Ethernet kontaktligzdās (4), ko pārdod Apple vai Amazon, kļuva par sensāciju 2018. gadā. Taka veda uz Supermicro, ierīču ražotāju Ķīnā. Taču Bloomberg informāciju vēlāk atspēkoja visas ieinteresētās puses – no ķīniešiem līdz Apple un Amazon.
4. Ethernet tīkla porti
Kā izrādījās, arī bez īpašiem implantiem "parasto" datora aparatūru var izmantot klusā uzbrukumā. Piemēram, ir konstatēts, ka Intel procesoru kļūme, par kuru nesen rakstījām MT, kas sastāv no spējas "paredzēt" turpmākās darbības, spēj ļaut palaist jebkuru programmatūru (no datu bāzes dzinēja līdz vienkāršam JavaScript. pārlūkprogrammā), lai piekļūtu kodola atmiņas aizsargāto apgabalu struktūrai vai saturam.
Pirms dažiem gadiem rakstījām par aprīkojumu, kas ļauj slepeni uzlauzt un izspiegot elektroniskās ierīces. Mēs aprakstījām 50 lappušu garo "ANT Shopping Catalog", kas bija pieejams tiešsaistē. Kā raksta Spiegel, tieši no viņa izlūkdienesta aģenti, kas specializējas kiberkarā, izvēlas savus “ieročus”.
Sarakstā iekļauti dažādu klašu produkti, sākot no skaņas viļņa un 30 dolāru vērtas noklausīšanās ierīces LOUDAUTO līdz 40 XNUMX dolāru. CANDYGRAM dolāri, kas tiek izmantoti, lai instalētu savu GSM šūnu torņa kopiju.
Sarakstā ir iekļauta ne tikai aparatūra, bet arī specializēta programmatūra, piemēram, DROPOUTJEEP, kas pēc "ielikšanas" iPhone, cita starpā ļauj izgūt failus no savas atmiņas vai saglabāt tajā failus. Tādējādi jūs varat saņemt adresātu sarakstus, SMS ziņas, balss ziņas, kā arī kontrolēt un noteikt kameru.
Saskaroties ar neredzamo ienaidnieku spēku un visuresamību, dažreiz jūs jūtaties bezpalīdzīgs. Tāpēc ne visi ir pārsteigti un uzjautrināti Jošitaka Sakurada attieksme, ministrs, kas atbild par gatavošanos 2020. gada Tokijas olimpiskajām spēlēm, un valdības kiberdrošības stratēģijas biroja vadītāja vietnieks, kurš, kā ziņots, nekad nav lietojis datoru.
Vismaz viņš bija neredzams ienaidniekam, nevis viņam ienaidnieks.
Ar neredzamo kiberienaidnieku saistīto terminu saraksts
Ļaunprātīga programmatūra, kas paredzēta, lai slepeni pieteiktos sistēmā, ierīcē, datorā vai programmatūrā vai apietu tradicionālos drošības pasākumus.
Bot – atsevišķa ierīce, kas savienota ar internetu, inficēta ar ļaunprātīgu programmatūru un iekļauta līdzīgu inficētu ierīču tīklā. tas visbiežāk ir dators, taču tas var būt arī viedtālrunis, planšetdators vai ar IoT savienots aprīkojums (piemēram, maršrutētājs vai ledusskapis). Tas saņem darbības norādījumus no komandu un vadības servera vai tieši, un dažreiz arī no citiem tīkla lietotājiem, taču vienmēr bez īpašnieka ziņas vai ziņas. tie var ietvert līdz pat miljonam ierīču un nosūtīt līdz 60 miljardiem surogātpasta dienā. Tie tiek izmantoti krāpnieciskiem nolūkiem, tiešsaistes aptauju saņemšanai, manipulācijām ar sociālajiem tīkliem, kā arī surogātpasta izplatīšanai un.
– 2017. gadā parādījās jauna tehnoloģija Monero kriptovalūtas ieguvei tīmekļa pārlūkprogrammās. Skripts tika izveidots JavaScript, un to var viegli iegult jebkurā lapā. Kad lietotājs
dators apmeklē šādu inficētu lapu, tā ierīces skaitļošanas jauda tiek izmantota kriptovalūtas ieguvei. Jo vairāk laika mēs pavadām šāda veida vietnēs, jo vairāk CPU ciklu mūsu aprīkojumā var izmantot kibernoziedznieks.
– Ļaunprātīga programmatūra, kas instalē cita veida ļaunprātīgu programmatūru, piemēram, vīrusu vai aizmugures durvis. bieži izstrādāti, lai izvairītos no atklāšanas ar tradicionālajiem risinājumiem
antivīruss, t.sk. aizkavētas aktivizēšanas dēļ.
Ļaunprātīga programmatūra, kas izmanto likumīgas programmatūras ievainojamību, lai apdraudētu datoru vai sistēmu.
– programmatūras izmantošana, lai apkopotu informāciju, kas saistīta ar noteikta veida tastatūras lietojumu, piemēram, ar noteiktiem vārdiem saistīto burtu un ciparu/speciālo rakstzīmju secību
atslēgvārdi, piemēram, "bankofamerica.com" vai "paypal.com". Ja tas darbojas tūkstošiem savienotu datoru, kibernoziedzniekam ir iespēja ātri savākt sensitīvu informāciju.
– Ļaunprātīga programmatūra, kas īpaši izstrādāta, lai kaitētu datoram, sistēmai vai datiem. Tas ietver vairāku veidu rīkus, tostarp Trojas zirgus, vīrusus un tārpus.
– mēģinājums iegūt sensitīvu vai konfidenciālu informāciju no internetam pieslēgta aprīkojuma lietotāja. Kibernoziedznieki izmanto šo metodi, lai izplatītu elektronisku saturu plašam upuru lokam, mudinot viņus veikt noteiktas darbības, piemēram, noklikšķināt uz saites vai atbildēt uz e-pastu. Šādā gadījumā viņi bez viņu ziņas sniegs personisku informāciju, piemēram, lietotājvārdu, paroli, bankas vai finanšu informāciju vai kredītkartes informāciju. Izplatīšanas metodes ietver e-pastu, tiešsaistes reklāmu un SMS. Variants ir uzbrukums, kas vērsts pret konkrētām personām vai personu grupām, piemēram, uzņēmumu vadītājiem, slavenībām vai augsta ranga valsts amatpersonām.
– Ļaunprātīga programmatūra, kas ļauj slepeni piekļūt datora, programmatūras vai sistēmas daļām. Tas bieži pārveido aparatūras operētājsistēmu tā, ka tā paliek paslēpta no lietotāja.
- ļaunprātīga programmatūra, kas izspiego datora lietotāju, pārtver taustiņsitienus, e-pastus, dokumentus un pat ieslēdz videokameru bez viņa ziņas.
- metode faila, ziņojuma, attēla vai filmas paslēpšanai citā failā. Izmantojiet šīs tehnoloģijas priekšrocības, augšupielādējot šķietami nekaitīgus attēlu failus, kas satur sarežģītas straumes.
ziņojumi, kas nosūtīti pa C&C kanālu (starp datoru un serveri), kas ir piemēroti nelegālai lietošanai. Attēli var tikt saglabāti uzlauztā vietnē vai pat
attēlu koplietošanas pakalpojumos.
Šifrēšana/sarežģīti protokoli ir metode, ko kodā izmanto, lai aptumšotu pārraides. Dažas uz ļaunprātīgu programmatūru balstītas programmas, piemēram, Trojas zirgs, šifrē gan ļaunprātīgas programmatūras izplatīšanu, gan C&C (kontroles) sakarus.
ir nereplicējošas ļaunprātīgas programmatūras veids, kurā ir slēpta funkcionalitāte. Trojas zirgs parasti nemēģina izplatīties vai ievadīt sevi citos failos.
- vārdu kombinācija ("balss") un. Nozīmē tālruņa savienojuma izmantošanu, lai iegūtu sensitīvu personisku informāciju, piemēram, bankas vai kredītkaršu numurus.
Parasti upuris saņem automātisku ziņojuma izaicinājumu no kāda, kas apgalvo, ka pārstāv finanšu iestādi, interneta pakalpojumu sniedzēju vai tehnoloģiju uzņēmumu. Ziņojumā var tikt prasīts konta numurs vai PIN. Kad savienojums ir aktivizēts, tas caur pakalpojumu tiek novirzīts uzbrucējam, kurš pēc tam pieprasa papildu sensitīvus personas datus.
(BEC) - uzbrukuma veids, kura mērķis ir maldināt cilvēkus no konkrēta uzņēmuma vai organizācijas un nozagt naudu, uzdodoties
pārvalda. Noziedznieki piekļūst korporatīvajai sistēmai, izmantojot tipisku uzbrukumu vai ļaunprātīgu programmatūru. Pēc tam viņi pēta uzņēmuma organizatorisko struktūru, finanšu sistēmas un vadības e-pasta stilu un grafiku.
Skatīt arī:
