Miten eräs japanilainen ministeri yllätti hakkerit?
Vihollisen salaamiseen, naamiointiin ja harhaanjohtamiseen käytettävien menetelmien määrä - olipa kyse sitten tietoverkkorikollisuudesta tai kybersodankäynnistä - kasvaa vääjäämättä. Voidaan sanoa, että nykyään hakkerit paljastavat hyvin harvoin maineensa tai bisneksen takia mitä ovat tehneet.
Sarja teknisiä vikoja viime vuoden avajaisissa Talviolympialaiset Koreassa se oli seurausta kyberhyökkäyksestä. The Guardian raportoi, että Games-verkkosivuston poissaolo, Wi-Fi-häiriö stadionilla ja rikkinäiset televisiot lehdistöhuoneessa olivat seurausta paljon kehittyneemmästä hyökkäyksestä kuin alun perin luultiin. Hyökkääjät pääsivät etukäteen järjestäjien verkkoon ja estivät monet tietokoneet hyvin ovelalla tavalla - lukuisista turvatoimista huolimatta.
Kunnes sen vaikutukset nähtiin, vihollinen oli näkymätön. Kun tuho nähtiin, se pysyi suurelta osin sellaisena (1). Hyökkäyksen takana on ollut useita teorioita. Suosituimpien mukaan jäljet johtivat Venäjälle - joidenkin kommentoijien mukaan tämä voi olla kosto Venäjän valtion lippujen poistamisesta kisoista.
Muut epäilyt ovat kohdistuneet Pohjois-Koreaan, joka pyrkii jatkuvasti kiusoittelemaan eteläistä naapuriaan, tai Kiinaan, joka on hakkerivalta ja on usein epäiltyjen joukossa. Mutta kaikki tämä oli enemmän etsivä päätelmä kuin kiistämättömiin todisteisiin perustuva johtopäätös. Ja useimmissa näistä tapauksista olemme tuomittuja vain tällaiseen spekulaatioon.
Pääsääntöisesti kyberhyökkäyksen tekijän selvittäminen on vaikea tehtävä. Rikolliset eivät yleensä jätä tunnistettavia jälkiä, vaan he lisäävät myös hämmentäviä vihjeitä menetelmiinsä.
Se oli näin hyökkäys puolalaisia pankkeja vastaan vuoden 2017 alussa. BAE Systems, joka kuvaili ensimmäisenä korkean profiilin hyökkäystä Bangladeshin keskuspankkiin, tutki huolellisesti joitakin puolalaisten pankkien tietokoneisiin kohdistuneen haittaohjelman osia ja päätteli, että sen tekijät yrittivät matkia venäjänkielisiä ihmisiä.
Koodin elementit sisälsivät venäläisiä sanoja oudolla translitteraatiolla - esimerkiksi venäjän sana epätavallisessa muodossa "asiakas". BAE Systems epäilee, että hyökkääjät käyttivät Google Kääntäjää teeskennelläkseen venäläisiä hakkereita käyttäen venäjän sanastoa.
Toukokuussa 2018 Banco de Chile myönsi, että hänellä oli ongelmia ja suositteli asiakkaita käyttämään verkko- ja mobiilipankkipalveluita sekä pankkiautomaatteja. Osastoissa sijaitsevien tietokoneiden näytöiltä asiantuntijat löysivät merkkejä levyjen käynnistyssektorien vaurioista.
Useiden päivien verkon selailun jälkeen löydettiin jälkiä, jotka vahvistivat, että tuhansissa tietokoneissa oli todellakin tapahtunut massiivisia levyvaurioita. Epävirallisten tietojen mukaan seuraukset koskivat 9 tuhatta ihmistä. tietokoneita ja 500 palvelinta.
Lisätutkimukset paljastivat, että virus oli kadonnut pankista hyökkäyksen aikaan. 11 miljoonaa dollariaja muut lähteet viittaavat vielä suurempaan summaan! Tietoturvaasiantuntijat päättelivät lopulta, että pankkitietokoneen vaurioituneet levyt olivat vain naamiointia hakkereille varastaakseen. Pankki ei kuitenkaan vahvista tätä virallisesti.
Nolla päivää valmisteluun ja nolla tiedostoja
Viimeisen vuoden aikana lähes kaksi kolmasosaa maailman suurimmista yrityksistä on joutunut onnistuneesti kyberrikollisten hyökkäyksen kohteeksi. Useimmiten he käyttivät nollapäivän haavoittuvuuksiin perustuvia tekniikoita ja ns. tiedostottomia hyökkäyksiä.
Nämä ovat Ponemon Instituten Barklyn puolesta laatiman State of Endpoint Security Risk -raportin havainnot. Molemmat hyökkäystekniikat ovat näkymättömän vihollisen muotoja, jotka ovat saamassa yhä enemmän suosiota.
Tutkimuksen tekijöiden mukaan pelkästään viimeisen vuoden aikana maailman suurimpia organisaatioita vastaan tehtyjen hyökkäysten määrä on lisääntynyt 20 prosenttia. Raportista opimme myös, että tällaisten toimien seurauksena syntyvän keskimääräisen tappion arvioidaan olevan 7,12 miljoonaa dollaria kummastakin, mikä on 440 dollaria hyökkäyskohtaa kohden. Näihin summiin sisältyy sekä rikollisten aiheuttamia erityisiä menetyksiä että kustannukset, jotka aiheutuvat hyökkäysten kohteena olevien järjestelmien palauttamisesta alkuperäiseen tilaan.
Tyypillisiä hyökkäyksiä on erittäin vaikea torjua, koska ne perustuvat yleensä ohjelmistojen haavoittuvuuksiin, joista valmistaja tai käyttäjät eivät ole tietoisia. Edellinen ei voi valmistella asianmukaista tietoturvapäivitystä, ja jälkimmäinen ei voi toteuttaa asianmukaisia suojaustoimenpiteitä.
”Jopa 76 % onnistuneista hyökkäyksistä perustui nollapäivän haavoittuvuuksien tai jonkin aiemmin tuntemattoman haittaohjelman hyväksikäyttöön, mikä tarkoittaa, että ne olivat neljä kertaa tehokkaampia kuin perinteiset kyberrikollisten aiemmin käyttämät tekniikat”, Ponemon Instituten edustajat selittävät. .
Toinen näkymätön menetelmä, tiedostottomia hyökkäyksiä, on suorittaa haitallista koodia järjestelmässä käyttämällä erilaisia "temppuja" (esimerkiksi lisäämällä hyväksikäyttö verkkosivustoon) ilman, että käyttäjän tarvitsee ladata tai suorittaa mitään tiedostoa.
Rikolliset käyttävät tätä menetelmää yhä useammin, sillä klassiset hyökkäykset haitallisten tiedostojen (kuten Office-asiakirjojen tai PDF-tiedostojen) lähettämiseksi käyttäjille ovat yhä tehottomampia. Lisäksi hyökkäykset perustuvat yleensä jo tunnettuihin ja korjattuihin ohjelmistohaavoittuvuuksiin – ongelmana on, että monet käyttäjät eivät päivitä sovelluksiaan tarpeeksi usein.
Toisin kuin yllä olevassa skenaariossa, haittaohjelma ei sijoita suoritettavaa tiedostoa levylle. Sen sijaan se toimii tietokoneesi sisäisessä muistissa, joka on RAM-muistia.
Tämä tarkoittaa, että perinteisen virustorjuntaohjelmiston on vaikea havaita haitallista infektiota, koska se ei löydä siihen viittaavaa tiedostoa. Haittaohjelmia käyttämällä hyökkääjä voi piilottaa läsnäolonsa tietokoneella hälyttämättä ja aiheuttaa monenlaista vahinkoa (tietojen varkaus, lisähaittaohjelmien lataaminen, korkeampien oikeuksien saaminen jne.).
Tiedostottomia haittaohjelmia kutsutaan myös nimellä (AVT). Jotkut asiantuntijat sanovat, että se on jopa huonompi kuin (APT).
2. Tietoja hakkeroidusta sivustosta
Kun HTTPS ei auta
Näyttää siltä, että ajat, jolloin rikolliset ottivat sivuston haltuunsa, muuttivat pääsivun sisältöä ja laittoivat sille tietoa isolla kirjaimilla (2), ovat menneet ikuisesti.
Tällä hetkellä hyökkäysten tavoitteena on ensisijaisesti rahan hankkiminen, ja rikolliset käyttävät kaikkia keinoja saadakseen konkreettista taloudellista hyötyä missä tahansa tilanteessa. Haltuunoton jälkeen osapuolet yrittävät pysyä piilossa mahdollisimman pitkään ja tehdä voittoa tai hyödyntää hankittua infrastruktuuria.
Haitallisen koodin lisäämisellä huonosti suojatuille verkkosivustoille voi olla useita tarkoituksia, kuten taloudellisia (luottokorttitietojen varkaus). Siitä kirjoitettiin joskus bulgarialaiset käsikirjoitukset esiteltiin Puolan tasavallan presidentin kanslian verkkosivuilla, mutta ulkomaisiin kirjasimiin liittyvien linkkien tarkoitusta ei voitu selkeästi sanoa.
Suhteellisen uusi menetelmä ovat ns. peittokuvat, jotka varastavat luottokorttinumeroita kauppojen verkkosivuilla. HTTPS(3):a käyttävän verkkosivuston käyttäjä on jo koulutettu ja tottunut tarkistamaan, onko tietty verkkosivusto merkitty tällä tunnusmerkillä, ja jo riippulukon olemassaolosta on tullut todiste siitä, ettei uhkia ole olemassa.
3. HTTPS:n nimeäminen Internet-osoitteessa
Rikolliset kuitenkin käyttävät tätä liiallista turvallisuutta sivuston turvallisuuteen eri tavoin: he käyttävät ilmaisia varmenteita, sijoittavat sivulle riippulukon muodossa olevan faviconin ja syöttävät tartunnan saaneen koodin sivuston lähdekoodiin.
Eräiden verkkokauppojen tartuntatapojen analyysi osoittaa, että hyökkääjät siirsivät pankkiautomaattien fyysiset skimmerit kybermaailmaan muodossa . Tehdessään ostosten vakiosiirtoa asiakas täyttää maksulomakkeen, jossa hän ilmoittaa kaikki tiedot (luottokortin numero, viimeinen voimassaolopäivä, CVV-numero, etu- ja sukunimi).
Maksu valtuutetaan kaupan toimesta perinteisellä tavalla ja koko ostoprosessi sujuu oikein. Käytön yhteydessä kuitenkin myymäläsivustolle ruiskutetaan koodi (yksi JavaScript-rivi riittää), jolloin lomakkeelle syötetyt tiedot lähetetään hyökkääjien palvelimelle.
Yksi tunnetuimmista tämän tyyppisistä rikoksista oli hyökkäys verkkosivustoon USA:n republikaanien juhlakauppa. Kuuden kuukauden kuluessa asiakkaan luottokorttitiedot varastettiin ja siirrettiin venäläiselle palvelimelle.
Kauppojen liikennettä ja mustan pörssin tietoja arvioimalla todettiin, että varastetut luottokortit tuottivat kyberrikollisille 600 XNUMX dollarin voittoa. dollaria.
Vuonna 2018 ne varastettiin samalla tavalla. älypuhelinten valmistajan OnePlus-asiakastiedot. Yritys myönsi, että sen palvelin oli saastunut, ja siirretyt luottokorttitiedot piilotettiin suoraan selaimeen ja lähetettiin tuntemattomille rikollisille. Kerrottiin, että tällä tavalla otettiin haltuunsa 40 henkilön tiedot. asiakkaita.
Vaarat laitteissa
Valtava ja kasvava alue näkymättömiä kyberuhkia koostuu kaikenlaisista digitaalisiin laitteisiin perustuvista tekniikoista, olivatpa ne sitten vaarattomalta vaikuttaviin komponentteihin salaa asennettuja siruja tai vakoilulaitteita.
Bloombergin viime vuoden lokakuussa ilmoittaman ylimääräisen löydön johdosta, pienoiskoossa olevat vakoojasirut tietoliikennelaitteissa, mm. Applen tai Amazonin myymistä Ethernet-pisteistä (4) tuli sensaatio vuonna 2018. Polku johti kiinalaisen laitevalmistajan Supermicroon. Myöhemmin kaikki kiinnostuneet osapuolet - kiinalaisista Appleen ja Amazoniin - kuitenkin kumosivat Bloombergin tiedot.
4. Ethernet-verkkoportit
Kuten kävi ilmi, myös ilman erityisiä implantteja, "tavallista" tietokonelaitteistoa voidaan käyttää hiljaisessa hyökkäyksessä. Esimerkiksi on havaittu, että Intel-suorittimissa oleva bugi, josta äskettäin kirjoitimme MT:ssä, joka koostuu kyvystä "ennustaa" myöhempiä toimintoja, pystyy sallimaan minkä tahansa ohjelmiston (tietokantamoottorista yksinkertaiseen JavaScriptiin) suorittamisen. selaimessa) päästäksesi ytimen muistin suojattujen alueiden rakenteeseen tai sisältöön.
Muutama vuosi sitten kirjoitimme laitteista, joiden avulla voit salaa hakkeroida ja vakoilla elektronisia laitteita. Kuvailimme 50-sivuista "ANT Shopping Catalogia", joka oli saatavilla verkossa. Kuten Spiegel kirjoittaa, häneltä kybersodankäyntiin erikoistuneet tiedusteluagentit valitsevat "aseensa".
Listalla on eri luokkien tuotteita ääniaalto- ja 30 dollarin LOUDAUTO salakuuntelulaitteesta 40 XNUMX dollariin. CANDYGRAM-dollareita, joita käytetään oman kopion asentamiseen GSM-solutornista.
Luettelossa ei ole vain laitteistoa, vaan myös erikoisohjelmistoja, kuten DROPOUTJEEP, joka iPhoneen "istutuksensa" jälkeen mahdollistaa muun muassa tiedostojen hakemisen muististaan tai tiedostojen tallentamisen siihen. Siten voit vastaanottaa postituslistoja, tekstiviestejä, ääniviestejä sekä ohjata ja paikantaa kameraa.
Kun kohtaat näkymättömien vihollisten voiman ja kaikkialla läsnäolon, tunnet joskus olosi avuttomaksi. Siksi kaikki eivät ole yllättyneitä ja huvittuneita Yoshitaka Sakuradan asenne, Tokion 2020 olympialaisten valmisteluista vastaava ministeri ja hallituksen kyberturvallisuusstrategiatoimiston apulaisjohtaja, joka ei ole kuulemma koskaan käyttänyt tietokonetta.
Hän oli ainakin viholliselle näkymätön, ei vihollinen hänelle.
Luettelo näkymättömään kyberviholliseen liittyvistä termeistä
Haittaohjelmat, jotka on suunniteltu salaa kirjautumiseen järjestelmään, laitteeseen, tietokoneeseen tai ohjelmistoon tai kiertämällä perinteisiä suojaustoimenpiteitä.
vene – erillinen Internetiin yhdistetty laite, joka on saastunut haittaohjelmilla ja sisältyy samankaltaisten tartunnan saaneiden laitteiden verkkoon. tämä on useimmiten tietokone, mutta se voi olla myös älypuhelin, tabletti tai IoT:hen yhdistetty laite (kuten reititin tai jääkaappi). Se saa toimintaohjeet komento- ja ohjauspalvelimelta tai suoraan, ja joskus myös muilta verkon käyttäjiltä, mutta aina ilman omistajan tietämystä tai tietämystä. ne voivat sisältää jopa miljoona laitetta ja lähettää jopa 60 miljardia roskapostia päivässä. Niitä käytetään petollisiin tarkoituksiin, online-kyselyjen vastaanottamiseen, sosiaalisten verkostojen manipulointiin sekä roskapostin levittämiseen ja.
– Vuonna 2017 ilmestyi uusi tekniikka Moneron kryptovaluutan louhintaan verkkoselaimissa. Skripti luotiin JavaScriptillä ja voidaan helposti upottaa mille tahansa sivulle. Kun käyttäjä
tietokone vierailee tällaisella tartunnan saaneella sivulla, sen laitteen laskentatehoa käytetään kryptovaluutan louhintaan. Mitä enemmän aikaa vietämme tämän tyyppisillä verkkosivustoilla, sitä enemmän kyberrikollinen voi käyttää laitteissamme olevia prosessorijaksoja.
– Haittaohjelmisto, joka asentaa muuntyyppisiä haittaohjelmia, kuten viruksen tai takaoven. usein suunniteltu välttämään havaitseminen perinteisillä ratkaisuilla
virustorjunta, sis. viivästyneen aktivoinnin vuoksi.
Haittaohjelma, joka hyödyntää laillisen ohjelmiston haavoittuvuutta tietokoneen tai järjestelmän vaarantamiseksi.
– ohjelmiston käyttäminen tietyntyyppiseen näppäimistön käyttöön liittyvien tietojen keräämiseen, kuten tiettyihin sanoihin liittyvien aakkosnumeeristen/erikoismerkkien järjestys
avainsanat, kuten "bankofamerica.com" tai "paypal.com". Jos se toimii tuhansissa yhdistetyissä tietokoneissa, kyberrikollinen pystyy keräämään arkaluonteisia tietoja nopeasti.
– Haittaohjelmat, jotka on erityisesti suunniteltu vahingoittamaan tietokonetta, järjestelmää tai tietoja. Se sisältää useita työkaluja, kuten troijalaisia, viruksia ja matoja.
– yritys saada arkaluonteisia tai luottamuksellisia tietoja Internetiin yhdistetyn laitteen käyttäjältä. Verkkorikolliset käyttävät tätä menetelmää sähköisen sisällön jakamiseen suurelle joukolle uhreja, jotka kehottavat heitä ryhtymään tiettyihin toimiin, kuten napsauttamaan linkkiä tai vastaamaan sähköpostiin. Tässä tapauksessa he antavat henkilökohtaisia tietoja, kuten käyttäjätunnusta, salasanaa, pankki- tai rahoitustietoja tai luottokorttitietoja heidän tietämättään. Jakelutapoja ovat sähköposti, verkkomainonta ja tekstiviestit. Variantti on hyökkäys tiettyihin henkilöihin tai henkilöryhmiin, kuten yritysjohtajiin, julkkiksiin tai korkeisiin valtion virkamiehiin.
– Haittaohjelmisto, jonka avulla voit päästä salaa tietokoneen, ohjelmiston tai järjestelmän osiin. Se muuttaa usein laitteiston käyttöjärjestelmää siten, että se pysyy piilossa käyttäjältä.
- haittaohjelmat, jotka vakoilevat tietokoneen käyttäjää, sieppaavat näppäinpainalluksia, sähköposteja, asiakirjoja ja jopa käynnistävät videokameran hänen tietämättään.
- tapa piilottaa tiedosto, viesti, kuva tai elokuva toiseen tiedostoon. Hyödynnä tätä tekniikkaa lataamalla näennäisesti vaarattomia kuvatiedostoja, jotka sisältävät monimutkaisia streameja.
C&C-kanavan kautta (tietokoneen ja palvelimen välillä) lähetetyt viestit, jotka soveltuvat laittomaan käyttöön. Kuvat voidaan tallentaa hakkeroidulle verkkosivustolle tai jopa
kuvanjakopalveluissa.
Salaus/monimutkaiset protokollat on menetelmä, jota käytetään koodissa lähetysten hämärtämiseen. Jotkut haittaohjelmapohjaiset ohjelmat, kuten troijalainen, salaavat sekä haittaohjelmien jakelun että C&C-viestinnän.
on ei-replikoituvan haittaohjelman muoto, joka sisältää piilotettuja toimintoja. Troijalainen ei yleensä yritä levittää tai ruiskuttaa itseään muihin tiedostoihin.
- sanojen yhdistelmä ("ääni") ja. Tarkoittaa puhelinyhteyden käyttöä arkaluonteisten henkilötietojen, kuten pankki- tai luottokorttinumeroiden, hankkimiseen.
Tyypillisesti uhri saa automaattisen viestihaasteen henkilöltä, joka väittää edustavansa rahoituslaitosta, Internet-palveluntarjoajaa tai teknologiayritystä. Viesti saattaa pyytää tilinumeroa tai PIN-koodia. Kun yhteys on aktivoitu, se ohjataan palvelun kautta hyökkääjälle, joka pyytää lisää arkaluonteisia henkilötietoja.
(BEC) - hyökkäystyyppi, jonka tarkoituksena on huijata ihmisiä tietystä yrityksestä tai organisaatiosta ja varastaa rahaa esiintymällä
hallitsee. Rikolliset pääsevät yrityksen järjestelmään tyypillisen hyökkäyksen tai haittaohjelman kautta. Sitten he tutkivat yrityksen organisaatiorakennetta, talousjärjestelmiä sekä johdon sähköpostityyliä ja aikataulua.
Katso myös:
