Čím jistý japonský ministr hackery překvapil?

Počet metod ukrývání, maskování a klamání nepřítele – ať už jde o kyberzločin nebo kybernetické války – neúprosně roste. Dá se říci, že dnes hackeři velmi zřídka prozradí, co udělali, kvůli slávě nebo obchodu.

Série technických poruch během loňského slavnostního zahájení Zimní olympiáda v Koreji to byl výsledek kybernetického útoku. The Guardian uvedl, že nedostupnost webu Games, výpadek Wi-Fi na stadionu a rozbité televize v tiskové místnosti byly výsledkem mnohem sofistikovanějšího útoku, než se původně předpokládalo. Útočníci získali předem přístup do sítě organizátorů a velmi mazaným způsobem – navzdory četným bezpečnostním opatřením – zneškodnili mnoho počítačů.

Dokud nebyly vidět jeho účinky, byl nepřítel neviditelný. Jakmile bylo zničení vidět, do značné míry to tak zůstalo (1). O tom, kdo za útokem stál, bylo několik teorií. Podle nejpopulárnějších vedly stopy do Ruska – podle některých komentátorů by to mohla být pomsta za odstranění státních praporů Ruska z her.

Další podezření směřovala na Severní Koreu, která se vždy snaží svého jižního souseda poškádlit, nebo na Čínu, která je hackerskou velmocí a často bývá mezi podezřelými. To vše ale byla spíše detektivní dedukce než závěr založený na nezvratných důkazech. A ve většině těchto případů jsme odsouzeni pouze k tomuto druhu spekulací.

Zjistit autorství kybernetického útoku je zpravidla obtížný úkol. Nejenže zločinci obvykle nezanechávají žádné rozpoznatelné stopy, ale navíc do svých metod přidávají matoucí stopy.

Bylo to takhle útok na polské banky na začátku roku 2017. Společnost BAE Systems, která poprvé popsala významný útok na Bangladéšskou národní banku, pečlivě prozkoumala některé prvky malwaru, který cílil na počítače v polských bankách, a dospěla k závěru, že se jeho autoři snažili vydávat za rusky mluvící lidi.

Prvky kódu obsahovaly ruská slova s ​​podivným přepisem – například ruské slovo v neobvyklé podobě „klient“. BAE Systems má podezření, že útočníci použili Google Translate k předstírání ruských hackerů pomocí ruského slovníku.

V květnu 2018 Banco de Chile uznal, že má problémy, a doporučil zákazníkům, aby využívali služby online a mobilního bankovnictví a také bankomaty. Na obrazovkách počítačů umístěných v odděleních našli odborníci známky poškození boot sektorů disků.

Po několika dnech brouzdání po síti byly nalezeny stopy potvrzující, že na tisících počítačů skutečně došlo k masivnímu poškození disku. Podle neoficiálních informací postihly následky 9 tisíc lidí. počítačů a 500 serverů.

Další vyšetřování odhalilo, že virus v době útoku z banky zmizel. 11 milionůa další zdroje uvádějí ještě větší sumu! Bezpečnostní experti nakonec dospěli k závěru, že poškozené disky bankovního počítače byly jen maskováním, které hackeři mohli ukrást. Oficiálně to ale banka nepotvrzuje.

Nula dní na přípravu a nula souborů

Za poslední rok byly téměř dvě třetiny největších světových společností úspěšně napadeny kyberzločinci. Nejčastěji využívali techniky založené na zero-day vulnerability a tzv. bezsouborové útoky.

Toto jsou zjištění zprávy o bezpečnostním riziku stavu koncových bodů, kterou jménem Barkly připravil Ponemon Institute. Obě techniky útoku jsou druhy neviditelného nepřítele, které si získávají stále větší oblibu.

Podle autorů studie jen za poslední rok vzrostl počet útoků proti největším světovým organizacím o 20 %. Ze zprávy se také dozvídáme, že průměrná ztráta vzniklá v důsledku takových akcí se odhaduje na 7,12 milionů $ na každou, což je 440 $ na pozici, která byla napadena. Tyto částky zahrnují jak konkrétní ztráty způsobené zločinci, tak náklady na uvedení napadených systémů do původního stavu.

Typickým útokům je extrémně obtížné čelit, protože jsou obvykle založeny na zranitelnostech softwaru, o kterých si výrobce ani uživatelé nejsou vědomi. První nemůže připravit příslušnou aktualizaci zabezpečení a druhá nemůže implementovat příslušné bezpečnostní postupy.

„Až 76 % úspěšných útoků bylo založeno na zneužití zero-day zranitelností nebo nějakého dříve neznámého malwaru, což znamená, že byly čtyřikrát účinnější než klasické techniky, které dříve používali kyberzločinci,“ vysvětlují zástupci Ponemon Institute. .

Druhá neviditelná metoda, bezsouborové útoky, je spouštění škodlivého kódu v systému pomocí různých „triků“ (například vložením exploitu do webové stránky), aniž by uživatel musel stahovat nebo spouštět jakýkoli soubor.

Zločinci tuto metodu využívají stále častěji, protože klasické útoky na zasílání škodlivých souborů (jako jsou dokumenty Office nebo soubory PDF) uživatelům jsou stále méně účinné. Útoky jsou navíc obvykle založeny na zranitelnostech softwaru, které jsou již známé a opravené – problém je v tom, že mnoho uživatelů neaktualizuje své aplikace dostatečně často.

Na rozdíl od výše uvedeného scénáře malware neumisťuje spustitelný soubor na disk. Místo toho běží na vnitřní paměti vašeho počítače, což je RAM.

To znamená, že tradiční antivirový software bude mít potíže s odhalováním škodlivé infekce, protože nenajde soubor, který na něj odkazuje. Pomocí malwaru může útočník skrýt svou přítomnost v počítači, aniž by vyvolal poplach a způsobit různé druhy škod (krádež informací, stahování dalšího malwaru, získání přístupu k vyšším oprávněním atd.).

Bezsouborový malware se také nazývá (AVT). Někteří odborníci říkají, že je to ještě horší než (APT).

Když HTTPS nepomůže

Zdá se, že časy, kdy web ovládli zločinci, měnili obsah hlavní stránky a umisťovali na ni informace velkým písmem (2), jsou nenávratně pryč.

V současnosti je cílem útoků především získání peněz a zločinci využívají všech metod k získání hmatatelných finančních výhod v jakékoli situaci. Po převzetí se strany snaží zůstat co nejdéle skryty a dosahovat zisku nebo využívat pořízenou infrastrukturu.

Vkládání škodlivého kódu na špatně chráněné webové stránky může mít různé účely, například finanční (krádež informací o kreditní kartě). Kdysi se o tom psalo Bulharská písma zavedena na stránkách Kanceláře prezidenta Polské republiky, ale nebylo možné jednoznačně uvést, k čemu odkazy na cizí písma slouží.

Poměrně novou metodou jsou takzvané, tedy překryvné vrstvy, které kradou čísla kreditních karet na webových stránkách obchodů. Uživatel webu využívajícího HTTPS(3) je již proškolen a zvyklý kontrolovat, zda je daný web označen tímto charakteristickým symbolem, a samotná přítomnost visacího zámku se stala důkazem, že žádné hrozby nehrozí.

Zločinci však toto přílišné spoléhání na zabezpečení stránek využívají různými způsoby: používají bezplatné certifikáty, umísťují na stránku favicon v podobě visacího zámku a vkládají infikovaný kód do zdrojového kódu stránky.

Analýza způsobů infekce některých internetových obchodů ukazuje, že útočníci přenesli fyzické skimmery bankomatů do kybernetického světa v podobě . Při standardním převodu za nákupy klient vyplní platební formulář, ve kterém uvede všechny údaje (číslo kreditní karty, datum platnosti, CVV, jméno a příjmení).

Platba je autorizována obchodem tradičním způsobem a celý proces nákupu probíhá správně. V případě použití je však na stránky obchodu vpraven kód (stačí jeden řádek JavaScriptu), který způsobí odeslání dat zadaných do formuláře na server útočníků.

Jedním z nejznámějších zločinů tohoto typu byl útok na webové stránky Obchod republikánské strany v USA. Během šesti měsíců byly údaje o kreditní kartě klienta ukradeny a přeneseny na ruský server.

Vyhodnocením návštěvnosti obchodů a údajů o černém trhu bylo zjištěno, že ukradené kreditní karty generovaly kyberzločincům zisk 600 XNUMX dolarů. dolarů.

V roce 2018 byly ukradeny identickým způsobem. zákaznická data výrobce smartphonů OnePlus. Společnost přiznala, že její server byl infikován a přenesené údaje o kreditní kartě byly skryty přímo v prohlížeči a odeslány neznámým zločincům. Bylo oznámeno, že tímto způsobem byla přivlastněna data 40 lidí. klientů.

Nebezpečí zařízení

Obrovská a rostoucí oblast neviditelných kybernetických hrozeb je tvořena všemožnými technikami založenými na digitálním vybavení, ať už ve formě čipů tajně instalovaných ve zdánlivě neškodných součástkách nebo špionážních zařízeních.

O objevu dalších, oznámeném v říjnu loňského roku agenturou Bloomberg, miniaturní špionážní čipy v telekomunikačních zařízeních vč. v ethernetových zásuvkách (4) prodávaných společnostmi Apple nebo Amazon se stal v roce 2018 senzací. Stopa vedla k Supermicro, výrobci zařízení v Číně. Informace Bloombergu však následně vyvrátily všechny zainteresované strany – od Číňanů po Apple a Amazon.

Jak se ukázalo, i bez speciálních implantátů lze k tichému útoku použít „obyčejný“ počítačový hardware. Zjistilo se například, že chyba v procesorech Intel, o které jsme nedávno psali v MT, která spočívá v možnosti „předvídat“ následné operace, je schopna umožnit spuštění libovolného softwaru (od databázového stroje až po jednoduchý JavaScript v prohlížeči) pro přístup ke struktuře nebo obsahu chráněných oblastí paměti jádra.

Před pár lety jsme psali o vybavení, které vám umožňuje tajně hackovat a špehovat elektronická zařízení. Popsali jsme 50stránkový „Katalog nakupování ANT“, který byl dostupný online. Jak píše Spiegel, právě od něj si zpravodajští agenti specializující se na kybernetickou válku vybírají své „zbraně“.

Seznam zahrnuje produkty různých tříd, od zvukové vlny a odposlechového zařízení LOUDAUTO za 30 USD až po 40 XNUMX USD. CANDYGRAM dolarů, které se používají k instalaci vlastní kopie GSM mobilní věže.

V seznamu je nejen hardware, ale i specializovaný software, jako je DROPOUTJEEP, který po „implantaci“ do iPhonu umožňuje mimo jiné načítat soubory z jeho paměti nebo do ní ukládat soubory. Můžete tak přijímat seznamy adresátů, SMS zprávy, hlasové zprávy a také ovládat a lokalizovat kameru.

Tváří v tvář síle a všudypřítomnosti neviditelných nepřátel se někdy cítíte bezmocní. Proto ne všechny překvapí a pobaví Postoj Yoshitaka Sakurady, ministr odpovědný za přípravu olympijských her v Tokiu 2020 a zástupce vedoucího vládního úřadu pro strategii kybernetické bezpečnosti, který prý nikdy nepoužil počítač.

Pro nepřítele byl alespoň neviditelný, pro něj ne nepřítel.

Viz též: