Hvernig kom ákveðinn japanskur ráðherra tölvuþrjótunum á óvart?
Fjöldi aðferða til að fela, dylja og villa um fyrir óvininum - hvort sem það er netglæpur eða netstríð - fer óumflýjanlega vaxandi. Það má segja að í dag upplýsa tölvuþrjótar mjög sjaldan, vegna frægðar eða viðskipta, hvað þeir hafa gert.
Röð tæknibilana á opnunarhátíðinni í fyrra Vetrarólympíuleikar í Kóreu var það afleiðing netárásar. Guardian greindi frá því að óaðgengi leikjavefsins, Wi-Fi bilun á leikvanginum og biluð sjónvörp í blaðamannaherberginu væru afleiðing af mun flóknari árás en upphaflega var talið. Árásarmennirnir fengu aðgang að neti skipuleggjenda fyrirfram og slökktu á mörgum tölvum á mjög lævísan hátt - þrátt fyrir fjölmargar öryggisráðstafanir.
Þar til áhrif þess sáust var óvinurinn ósýnilegur. Þegar eyðileggingin sást var hún að mestu áfram þannig (1). Nokkrar kenningar voru uppi um hver stóð á bak við árásina. Samkvæmt þeim vinsælustu leiddu ummerkin til Rússlands - að mati sumra fréttaskýrenda gæti þetta verið hefnd fyrir brottnám ríkisborða Rússlands frá leikunum.
Aðrar grunsemdir hafa beinst að Norður-Kóreu, sem er alltaf að reyna að stríða nágranna sínum í suður, eða Kína, sem er tölvuþrjótaveldi og er oft á meðal hinna grunuðu. En allt var þetta meira leynilögreglumaður en niðurstaða byggð á óhrekjanlegum sönnunargögnum. Og í flestum þessara tilfella erum við aðeins dæmd fyrir svona vangaveltur.
Að jafnaði er erfitt verkefni að koma á höfundarrétti netárásar. Ekki aðeins skilja glæpamenn yfirleitt engin auðþekkjanleg ummerki eftir, heldur bæta þeir líka ruglingslegum vísbendingum um aðferðir sínar.
Þetta var svona árás á pólska banka í byrjun árs 2017. BAE Systems, sem fyrst lýsti áberandi árás á Bangladesh National Bank, skoðaði vandlega suma þætti spilliforritsins sem beitti sér fyrir tölvur í pólskum bönkum og komst að þeirri niðurstöðu að höfundar þess væru að reyna að líkja eftir rússneskumælandi fólki.
Hlutir kóðans innihéldu rússnesk orð með undarlegri umritun - til dæmis rússneska orðið í óvenjulegu formi "viðskiptavinur". BAE Systems grunar að árásarmennirnir hafi notað Google Translate til að þykjast vera rússneskir tölvuþrjótar með rússneskan orðaforða.
Í maí 2018 Banco de Chile viðurkenndi að hann ætti í vandræðum og mælti með því að viðskiptavinir notuðu net- og farsímabankaþjónustu, auk hraðbanka. Á skjám tölva sem staðsettir eru á deildunum fundu sérfræðingar merki um skemmdir á ræsisviðum diskanna.
Eftir nokkurra daga vafra um netið fundust ummerki sem staðfesta að gríðarleg diskspilling hefði örugglega átt sér stað á þúsundum tölvur. Samkvæmt óopinberum upplýsingum höfðu afleiðingarnar áhrif á 9 þúsund manns. tölvur og 500 netþjóna.
Frekari rannsókn leiddi í ljós að veiran var horfin úr bankanum þegar árásin var gerð. 11 milljónir dalaog aðrar heimildir benda til enn stærri upphæðar! Öryggissérfræðingar komust að lokum að þeirri niðurstöðu að skemmdir diskar bankatölvunnar væru einfaldlega felulitur fyrir tölvuþrjóta til að stela. Bankinn staðfestir þetta hins vegar ekki opinberlega.
Núll dagar til að undirbúa og núll skrár
Undanfarið ár hafa tæplega tveir þriðju stærstu fyrirtækja heims orðið fyrir árásum netglæpamanna með góðum árangri. Þeir notuðu oftast tækni sem byggði á núlldaga veikleikum og svokölluðum. skráarlausar árásir.
Þetta eru niðurstöður skýrslu State of Endpoint Security Risk sem unnin var af Ponemon Institute fyrir hönd Barkly. Báðar árásaraðferðirnar eru afbrigði af ósýnilega óvininum sem njóta sífellt meiri vinsælda.
Samkvæmt höfundum rannsóknarinnar hefur á síðasta ári einu og sér fjölgað um 20% árásum gegn stærstu stofnunum heims. Við lærum líka af skýrslunni að meðaltap sem hlýst af slíkum aðgerðum er metið á $7,12 milljónir hvor, sem er $440 á hverja stöðu sem ráðist var á. Þessar upphæðir innihalda bæði sérstakt tjón af völdum glæpamanna og kostnað við að endurheimta árásarkerfi í upprunalegt ástand.
Dæmigert árás er afar erfitt að vinna gegn, þar sem þær byggjast yfirleitt á veikleikum í hugbúnaði sem hvorki framleiðandi né notendur eru meðvitaðir um. Hið fyrra getur ekki undirbúið viðeigandi öryggisuppfærslu og hið síðarnefnda getur ekki innleitt viðeigandi öryggisaðferðir.
„Allt að 76% af vel heppnuðum árásum voru byggðar á nýtingu á núlldaga veikleikum eða einhverjum áður óþekktum spilliforritum, sem þýðir að þær voru fjórum sinnum árangursríkari en klassísk tækni sem áður var notuð af netglæpamönnum,“ útskýra fulltrúar Ponemon Institute. .
Önnur ósýnilega aðferðin, skráarlausar árásir, er að keyra skaðlegan kóða á kerfinu með því að nota ýmsar „brellur“ (til dæmis með því að sprauta hetjudáð inn á vefsíðu), án þess að krefjast þess að notandinn hali niður eða keyrir einhverja skrá.
Glæpamenn nota þessa aðferð æ oftar þar sem klassískar árásir til að senda skaðlegar skrár (eins og Office skjöl eða PDF skjöl) til notenda verða sífellt minna árangursrík. Auk þess eru árásir venjulega byggðar á hugbúnaðarveikleikum sem þegar eru þekktir og lagaðir - vandamálið er að margir notendur uppfæra forritin sín ekki nógu oft.
Ólíkt atburðarásinni hér að ofan setur spilliforritið ekki keyrsluna á diskinn. Þess í stað keyrir það á innra minni tölvunnar, sem er vinnsluminni.
Þetta þýðir að hefðbundinn vírusvarnarhugbúnaður mun eiga erfitt með að greina skaðlega sýkingu vegna þess að hann finnur ekki skrána sem bendir á hana. Með því að nota spilliforrit getur árásarmaður falið nærveru sína á tölvunni án þess að vekja viðvörun og valdið ýmiss konar skemmdum (þjófnaður á upplýsingum, hlaðið niður viðbótar spilliforritum, fengið aðgang að meiri réttindi osfrv.).
Skráalaus spilliforrit er einnig kallað (AVT). Sumir sérfræðingar segja að það sé jafnvel verra en (APT).
2. Upplýsingar um innbrotssíðuna
Þegar HTTPS hjálpar ekki
Svo virðist sem tíminn þegar glæpamenn tóku völdin á síðunni, breyttu innihaldi aðalsíðunnar, settu upplýsingar á hana með stóru letri (2), séu liðin að eilífu.
Eins og er er markmið árása fyrst og fremst að afla peninga og glæpamenn nota allar aðferðir til að fá áþreifanlegan fjárhagslegan ávinning í hvaða aðstæðum sem er. Eftir yfirtökuna reyna aðilar að halda sig huldu eins lengi og hægt er og græða eða nýta yfirtekna innviði.
Að dæla skaðlegum kóða inn á illa verndaðar vefsíður getur haft margvíslegan tilgang, svo sem fjárhagslega (þjófnað á kreditkortaupplýsingum). Einu sinni var skrifað um það Búlgarsk handrit kynnt á vef skrifstofu forseta Lýðveldisins Póllands en ekki var hægt að greina skýrt frá því hver tilgangur krækju í erlend leturgerð væri.
Tiltölulega ný aðferð er svokölluð, það er yfirlögn sem stela kreditkortanúmerum á vefsíðum verslana. Notandi vefsíðu sem notar HTTPS(3) er þegar þjálfaður og vanur að athuga hvort tiltekin vefsíða sé merkt með þessu einkennandi tákni og tilvist hengilás hefur orðið sönnun þess að engar ógnir séu til staðar.
3. HTTPS tilnefning í netfanginu
Hins vegar nota glæpamenn þessa oftrú á öryggi vefsvæðisins á mismunandi hátt: þeir nota ókeypis vottorð, setja favicon í formi hengilás á síðuna og dæla sýktum kóða inn í frumkóða síðunnar.
Greining á smitaðferðum sumra netverslana sýnir að árásarmennirnir fluttu líkamlega skúmar hraðbanka yfir í netheiminn í formi . Við staðlaða millifærslu fyrir innkaup fyllir viðskiptavinurinn út greiðslueyðublað þar sem hann tilgreinir öll gögn (kreditkortanúmer, gildistíma, CVV númer, fornafn og eftirnafn).
Greiðsla er heimiluð af verslun með hefðbundnum hætti og allt kaupferlið er rétt framkvæmt. Hins vegar, ef um er að ræða notkun, er kóða (ein lína af JavaScript er nóg) sprautað inn á verslunarsíðuna, sem veldur því að gögnin sem færð eru inn á formi eru send til netþjóns árásarmannanna.
Einn frægasti glæpurinn af þessu tagi var árásin á vefsíðuna Verslun repúblikanaflokksins í Bandaríkjunum. Innan sex mánaða var kreditkortaupplýsingum viðskiptavinarins stolið og flutt á rússneskan netþjón.
Með því að meta verslunarumferð og svartamarkaðsgögn var komist að þeirri niðurstöðu að stolnu kreditkortin skiluðu hagnaði upp á $600 fyrir netglæpamenn. dollara.
Árið 2018 var þeim stolið á sama hátt. snjallsímaframleiðandinn OnePlus gögn viðskiptavina. Fyrirtækið viðurkenndi að þjónn þess væri sýktur og yfirfærðar kreditkortaupplýsingar voru faldar beint í vafranum og sendar óþekktum glæpamönnum. Greint var frá því að gögnum um 40 manns væri eignað með þessum hætti. viðskiptavinum.
Hætta á búnaði
Stórt og vaxandi svæði ósýnilegra netógna samanstendur af alls kyns tækni sem byggir á stafrænum búnaði, hvort sem það er í formi flísa sem settir eru leynilega upp í að því er virðist skaðlausum íhlutum eða njósnatækjum.
Við uppgötvun viðbótar, tilkynnt í október á síðasta ári af Bloomberg, litlum njósnaflísum í fjarskiptabúnaði, þ.m.t. í Ethernet-innstungum (4) sem Apple eða Amazon seldi urðu tilkomumikil árið 2018. Leiðin lá til Supermicro, tækjaframleiðanda í Kína. Hins vegar var upplýsingum Bloomberg í kjölfarið hafnað af öllum hagsmunaaðilum - frá Kínverjum til Apple og Amazon.
4. Ethernet net tengi
Eins og það kom í ljós, einnig án sérstakra ígræðslu, er hægt að nota „venjulegan“ tölvubúnað í þögulli árás. Til dæmis hefur komið í ljós að villa í Intel örgjörvum, sem við skrifuðum nýlega um í MT, sem felst í hæfileikanum til að „spá fyrir“ síðari aðgerðir, getur leyft hvaða hugbúnaði sem er (frá gagnagrunnsvél til einfaldrar JavaScript að keyra í vafra) til að fá aðgang að uppbyggingu eða innihaldi verndarsvæða í kjarnaminni.
Fyrir nokkrum árum skrifuðum við um búnað sem gerir þér kleift að hakka inn og njósna um rafeindatæki á laun. Við lýstum 50 síðna „ANT-verslunarskrá“ sem var fáanleg á netinu. Eins og Spiegel skrifar er það frá honum sem leyniþjónustumenn sem sérhæfa sig í nethernaði velja „vopn“ sín.
Listinn inniheldur vörur af ýmsum flokkum, allt frá hljóðbylgjunni og $30 LOUDAUTO hlerunarbúnaðinum til $40. CANDYGRAM dollara, sem eru notaðir til að setja upp þitt eigið eintak af GSM farsímaturni.
Á listanum er ekki aðeins vélbúnaður, heldur einnig sérhæfður hugbúnaður, eins og DROPOUTJEEP, sem, eftir að hafa verið „græddur“ í iPhone, gerir meðal annars kleift að sækja skrár úr minni þess eða vista skrár á hann. Þannig geturðu tekið á móti póstlista, SMS skilaboðum, talskilaboðum, auk þess að stjórna og staðsetja myndavélina.
Þegar þú stendur frammi fyrir krafti og nærveru ósýnilegra óvina finnur þú stundum fyrir hjálparleysi. Þess vegna eru ekki allir hissa og skemmtilegir viðhorf Yoshitaka Sakurada, ráðherra sem fer með undirbúning fyrir Ólympíuleikana í Tókýó 2020 og staðgengill yfirmanns netöryggisstefnuskrifstofu ríkisstjórnarinnar, sem að sögn hefur aldrei notað tölvu.
Að minnsta kosti var hann ósýnilegur óvininum, ekki óvinur hans.
Listi yfir hugtök sem tengjast ósýnilegum netóvini
Illgjarn hugbúnaður hannaður til að skrá sig á leynilegan hátt inn á kerfi, tæki, tölvu eða hugbúnað eða með því að sniðganga hefðbundnar öryggisráðstafanir.
Botninn – sérstakt tæki tengt við internetið, sýkt af spilliforritum og innifalið í neti sambærilegra sýktra tækja. þetta er oftast tölva, en það getur líka verið snjallsími, spjaldtölva eða IoT-tengdur búnaður (eins og bein eða ísskápur). Það fær rekstrarleiðbeiningar frá stjórn- og eftirlitsþjóninum eða beint, og stundum frá öðrum notendum á netinu, en alltaf án vitundar eða vitundar eigandans. þau geta innihaldið allt að milljón tæki og sent allt að 60 milljarða ruslpóst á dag. Þau eru notuð í sviksamlegum tilgangi, til að taka á móti könnunum á netinu, vinna með samfélagsnet, sem og til að dreifa ruslpósti og.
- árið 2017 birtist ný tækni til að vinna Monero cryptocurrency í vefvöfrum. Handritið var búið til í JavaScript og er auðvelt að fella það inn á hvaða síðu sem er. Þegar notandinn
tölva heimsækir slíka sýkta síðu, þá er tölvugeta tækisins notað til námuvinnslu á dulritunargjaldmiðlum. Því meiri tíma sem við eyðum í þessar tegundir vefsíðna, því fleiri örgjörvalotur í búnaði okkar geta netglæpamenn notað.
– Illgjarn hugbúnaður sem setur upp annars konar spilliforrit, svo sem vírus eða bakdyr. oft hannað til að forðast uppgötvun með hefðbundnum lausnum
vírusvarnarefni, þ.m.t. vegna seinkaðrar virkjunar.
Spilliforrit sem hagnýtir sér varnarleysi í lögmætum hugbúnaði til að koma í veg fyrir tölvu eða kerfi.
- að nota hugbúnað til að safna upplýsingum sem tengjast tiltekinni tegund lyklaborðsnotkunar, svo sem röð af tölustöfum/sérstöfum sem tengjast tilteknum orðum
leitarorð eins og "bankofamerica.com" eða "paypal.com". Ef það keyrir á þúsundum tengdra tölva hefur netglæpamaður getu til að safna viðkvæmum upplýsingum fljótt.
– Skaðlegur hugbúnaður sem er sérstaklega hannaður til að skaða tölvu, kerfi eða gögn. Það inniheldur nokkrar gerðir af verkfærum, þar á meðal Tróverji, vírusar og orma.
– tilraun til að fá viðkvæmar eða trúnaðarupplýsingar frá notanda búnaðar sem er tengdur við internetið. Netglæpamenn nota þessa aðferð til að dreifa rafrænu efni til margs konar fórnarlamba og hvetja þá til að grípa til ákveðinna aðgerða, eins og að smella á hlekk eða svara tölvupósti. Í þessu tilviki munu þeir veita persónulegar upplýsingar eins og notandanafn, lykilorð, banka- eða fjárhagsupplýsingar eða kreditkortaupplýsingar án þeirra vitundar. Dreifingaraðferðir eru meðal annars tölvupóstur, auglýsingar á netinu og SMS. Afbrigði er árás sem beinist að ákveðnum einstaklingum eða hópum einstaklinga, eins og stjórnendur fyrirtækja, frægt fólk eða háttsetta embættismenn.
– Illgjarn hugbúnaður sem gerir þér kleift að fá aðgang að hluta tölvu, hugbúnaðar eða kerfis með leynd. Það breytir oft vélbúnaðarstýrikerfinu á þann hátt að það haldist falið fyrir notandanum.
- spilliforrit sem njósnar um tölvunotanda, stöðva áslátt, tölvupóst, skjöl og jafnvel kveikja á myndbandsupptökuvél án hans vitundar.
- aðferð til að fela skrá, skilaboð, mynd eða kvikmynd í annarri skrá. Nýttu þér þessa tækni með því að hlaða upp að því er virðist skaðlausum myndskrám sem innihalda flókna strauma.
skilaboð send í gegnum C&C rásina (milli tölvu og netþjóns) sem henta til ólöglegrar notkunar. Myndir kunna að vera geymdar á vefsíðu sem er tölvusnápur eða jafnvel
í myndmiðlunarþjónustu.
Dulkóðun/flóknar samskiptareglur er aðferð sem notuð er í kóða til að torvelda sendingar. Sum forrit sem byggja á spilliforritum, eins og Trójuverjinn, dulkóða bæði dreifingu spilliforrita og C&C (stjórna) samskipti.
er tegund af spilliforritum sem ekki endurtaka sig og inniheldur falinn virkni. Trójumaðurinn reynir venjulega ekki að dreifa sér eða sprauta sig inn í aðrar skrár.
- samsetning orðanna ("rödd") og. Þýðir að nota símatengingu til að fá viðkvæmar persónuupplýsingar eins og banka- eða kreditkortanúmer.
Venjulega fær fórnarlambið sjálfvirka skilaboðaáskorun frá einhverjum sem segist vera fulltrúi fjármálastofnunar, ISP eða tæknifyrirtækis. Skilaboðin gætu beðið um reikningsnúmer eða PIN-númer. Þegar tengingin hefur verið virkjuð er henni vísað í gegnum þjónustuna til árásarmannsins, sem síðan biður um viðkvæmar viðkvæmar persónuupplýsingar.
(BEC) - tegund árásar sem miðar að því að blekkja fólk frá tilteknu fyrirtæki eða stofnun og stela peningum með því að herma eftir
stjórnað af. Glæpamenn fá aðgang að fyrirtækjakerfi með dæmigerðri árás eða spilliforriti. Þeir kynna sér síðan skipulag fyrirtækisins, fjármálakerfi þess og tölvupóststíl og tímaáætlun stjórnenda.
Sjá einnig:
