Como sorprendeu un certo ministro xaponés aos hackers?
Contido
O número de métodos para ocultar, disfrazar e enganar ao inimigo, xa sexa cibercrime ou ciberguerra, está a crecer inexorablemente. Pódese dicir que hoxe os hackers moi poucas veces, por mor da fama ou dos negocios, revelan o que fixeron.
Unha serie de fallos técnicos durante a cerimonia de inauguración do ano pasado Xogos Olímpicos de inverno en Corea, foi o resultado dun ciberataque. The Guardian informou de que a non dispoñibilidade do sitio web dos Xogos, a falla da wifi no estadio e os televisores rotos na sala de prensa foron o resultado dun ataque moito máis sofisticado do que se pensaba orixinalmente. Os atacantes accederon con antelación á rede dos organizadores e desactivaron moitos ordenadores dun xeito moi astuto, a pesar das numerosas medidas de seguridade.
Ata que se viron os seus efectos, o inimigo era invisible. Unha vez que se viu a destrución, quedou así en gran parte (1). Había varias teorías sobre quen estaba detrás do ataque. Segundo o máis popular, os rastros levaron a Rusia - segundo algúns comentaristas, isto podería ser unha vinganza pola eliminación das pancartas estatais de Rusia dos Xogos.
Outras sospeitas dirixíronse a Corea do Norte, que sempre busca burlarse do seu veciño do sur, ou a China, que é un poder de hackers e adoita estar entre os sospeitosos. Pero todo isto foi máis unha dedución detectivesca que unha conclusión baseada en evidencias irrefutables. E na maioría destes casos, estamos condenados só a este tipo de especulacións.
Como regra xeral, establecer a autoría dun ciberataque é unha tarefa difícil. Non só os criminais adoitan deixar rastros recoñecibles, senón que tamén engaden pistas confusas aos seus métodos.
Foi así ataque a bancos polacos a principios de 2017. BAE Systems, que describiu por primeira vez o ataque de alto perfil contra o Banco Nacional de Bangladesh, examinou coidadosamente algúns elementos do malware que tiña como obxectivo os ordenadores dos bancos polacos e concluíu que os seus autores estaban tentando suplantar a xente de fala rusa.
Os elementos do código contiñan palabras rusas cunha transliteración estraña, por exemplo, a palabra rusa na forma inusual "cliente". BAE Systems sospeita que os atacantes utilizaron Google Translate para finxir ser piratas informáticos rusos usando vocabulario ruso.
En maio de 2018 Banco de Chile recoñeceu que tiña problemas e recomendou aos clientes que utilicen os servizos de banca en liña e móbil, así como os caixeiros automáticos. Nas pantallas dos ordenadores situados nos departamentos, os expertos atoparon indicios de danos nos sectores de arranque dos discos.
Despois de varios días de navegar pola rede, atopáronse rastros que confirmaban que se produciu unha corrupción masiva do disco en miles de ordenadores. Segundo información non oficial, as consecuencias afectaron a 9 mil persoas. ordenadores e 500 servidores.
Unha investigación adicional revelou que o virus desaparecera do banco no momento do ataque. 11 millóns de dólarese outras fontes apuntan a unha suma aínda maior! Os expertos en seguridade finalmente concluíron que os discos danados do ordenador do banco eran simplemente un camuflaxe para que os piratas informáticos os rouben. Non obstante, o banco non o confirma oficialmente.
Cero días para preparar e cero arquivos
Durante o ano pasado, case dous terzos das empresas máis grandes do mundo foron atacadas con éxito por ciberdelincuentes. Usaban máis a miúdo técnicas baseadas en vulnerabilidades de día cero e as chamadas. ataques sen ficheiros.
Estes son os resultados do informe State of Endpoint Security Risk elaborado polo Ponemon Institute en nome de Barkly. Ambas as técnicas de ataque son variedades do inimigo invisible que están gañando cada vez máis popularidade.
Segundo os autores do estudo, só no último ano aumentou un 20% o número de ataques contra as organizacións máis grandes do mundo. Tamén aprendemos do informe que a perda media sufrida como resultado de tales accións estímase en 7,12 millóns de dólares cada unha, o que supón 440 dólares por posición que foi atacada. Estas cantidades inclúen tanto as perdas específicas causadas por delincuentes como os custos de restaurar os sistemas atacados ao seu estado orixinal.
Os ataques típicos son extremadamente difíciles de contrarrestar, xa que adoitan estar baseados en vulnerabilidades do software que nin o fabricante nin os usuarios son conscientes. O primeiro non pode preparar a actualización de seguranza adecuada e o segundo non pode implementar os procedementos de seguranza adecuados.
"Ata o 76% dos ataques exitosos baseáronse na explotación de vulnerabilidades de día cero ou dalgún malware descoñecido anteriormente, o que significa que foron catro veces máis eficaces que as técnicas clásicas utilizadas anteriormente polos ciberdelincuentes", explican os representantes do Instituto Ponemon. .
Segundo método invisible, ataques sen ficheiros, é executar código malicioso no sistema mediante varios "trucos" (por exemplo, inxectando un exploit nun sitio web), sen que o usuario descargue ou execute ningún ficheiro.
Os delincuentes utilizan este método cada vez con máis frecuencia, xa que os ataques clásicos para enviar ficheiros maliciosos (como documentos de Office ou ficheiros PDF) aos usuarios son cada vez menos eficaces. Ademais, os ataques adoitan estar baseados en vulnerabilidades de software que xa se coñecen e solucionan; o problema é que moitos usuarios non actualizan as súas aplicacións con suficiente frecuencia.
A diferenza do escenario anterior, o malware non coloca o executable no disco. Pola contra, execútase na memoria interna do teu ordenador, que é a RAM.
Isto significa que o software antivirus tradicional terá dificultades para detectar unha infección maliciosa porque non atopará o ficheiro que apunta a ela. Mediante o uso de malware, un atacante pode ocultar a súa presenza no ordenador sen dar unha alarma e provocar diversos tipos de danos (roubo de información, descarga de malware adicional, acceso a privilexios superiores, etc.).
O malware sen ficheiros tamén se chama (AVT). Algúns expertos din que é aínda peor que (APT).
2. Información sobre o sitio pirateado
Cando HTTPS non axuda
Parece que os tempos nos que os criminais tomaron o control do sitio, cambiaron o contido da páxina principal, poñendo información sobre ela en letra grande (2), desapareceron para sempre.
Actualmente, o obxectivo dos ataques é principalmente obter diñeiro, e os criminais usan todos os métodos para obter beneficios financeiros tanxibles en calquera situación. Tras a toma de posesión, as partes tentan permanecer ocultas o maior tempo posible e obter beneficios ou utilizar a infraestrutura adquirida.
Inxectar código malicioso en sitios web mal protexidos pode ter varios propósitos, como o financeiro (roubo de información da tarxeta de crédito). Xa se escribiu sobre iso Escrituras búlgaras introducido no sitio web da Oficina do Presidente da República de Polonia, pero non foi posible indicar claramente cal era o propósito das ligazóns a fontes estranxeiras.
Un método relativamente novo é o chamado, é dicir, superposicións que rouban números de tarxeta de crédito nos sitios web das tendas. O usuario dun sitio web que utiliza HTTPS(3) xa está formado e afeito a comprobar se un sitio web determinado está marcado con este símbolo característico, e a propia presenza dun cadeado converteuse en evidencia de que non hai ameazas.
3. Designación HTTPS no enderezo de Internet
Non obstante, os criminais usan esta dependencia excesiva da seguridade do sitio de diferentes xeitos: usan certificados gratuítos, colocan un favicon en forma de cadeado no sitio e inxectan código infectado no código fonte do sitio.
Unha análise dos métodos de infección dalgunhas tendas en liña mostra que os atacantes trasladaron os skimmers físicos dos caixeiros automáticos ao mundo cibernético en forma de . Ao realizar unha transferencia estándar de compras, o cliente enche un formulario de pagamento no que indica todos os datos (número de tarxeta de crédito, data de caducidade, número de CVV, nome e apelidos).
O pago está autorizado pola tenda de xeito tradicional, e todo o proceso de compra realízase correctamente. Non obstante, no caso do uso, inxéctase un código (unha soa liña de JavaScript é suficiente) no sitio da tenda, o que fai que os datos introducidos no formulario sexan enviados ao servidor dos atacantes.
Un dos crimes máis famosos deste tipo foi o ataque á páxina web Tenda do Partido Republicano dos Estados Unidos. No prazo de seis meses, os datos da tarxeta de crédito do cliente foron roubados e transferidos a un servidor ruso.
Ao avaliar o tráfico da tenda e os datos do mercado negro, determinouse que as tarxetas de crédito roubadas xeraron un beneficio de 600 dólares para os cibercriminales. dólares.
En 2018, foron roubados de idéntica forma. Os datos dos clientes do fabricante de teléfonos intelixentes OnePlus. A compañía admitiu que o seu servidor estaba infectado e que os detalles da tarxeta de crédito transferida ocultáronse directamente no navegador e enviáronse a criminais descoñecidos. Informeuse de que os datos de 40 persoas foron apropiados deste xeito. clientes.
Riscos nos equipamentos
Unha enorme e crecente área de ameazas cibernéticas invisibles está formada por todo tipo de técnicas baseadas en equipos dixitais, xa sexan en forma de chips instalados en segredo en compoñentes aparentemente inofensivos ou en dispositivos espía.
Sobre o descubrimento de adicionais, anunciado en outubro do ano pasado por Bloomberg, chips espía en miniatura en equipos de telecomunicacións, incl. en puntos de venda Ethernet (4) vendidos por Apple ou Amazon converteuse nunha sensación en 2018. O camiño levou a Supermicro, un fabricante de dispositivos en China. Non obstante, a información de Bloomberg foi posteriormente refutada por todas as partes interesadas, desde os chineses ata Apple e Amazon.
4. Portos de rede Ethernet
Como se viu, tamén carente de implantes especiais, o hardware informático "común" pódese usar nun ataque silencioso. Por exemplo, comprobouse que un erro nos procesadores Intel, sobre o que escribimos recentemente en MT, que consiste na capacidade de "predicir" operacións posteriores, é capaz de permitir a execución de calquera software (desde un motor de base de datos ata un simple JavaScript. nun navegador) para acceder á estrutura ou ao contido das áreas protexidas da memoria do núcleo.
Hai uns anos, escribimos sobre equipos que che permiten piratear e espiar en segredo dispositivos electrónicos. Describimos un "Catálogo de compras ANT" de 50 páxinas que estaba dispoñible en liña. Como escribe Spiegel, é a partir del que os axentes de intelixencia especializados en guerra cibernética elixen as súas "armas".
A lista inclúe produtos de varias clases, desde a onda sonora e o dispositivo de escoita LOUDAUTO de 30 $ ata 40 XNUMX $. dólares CANDYGRAM, que se usan para instalar a súa propia copia dunha torre de telefonía móbil GSM.
A lista inclúe non só hardware, senón tamén software especializado, como DROPOUTJEEP, que, tras ser "implantado" no iPhone, permite, entre outras cousas, recuperar ficheiros da súa memoria ou gardar ficheiros nel. Así, pode recibir listas de correo, mensaxes SMS, mensaxes de voz, así como controlar e localizar a cámara.
Ante o poder e a omnipresencia de inimigos invisibles, ás veces séntese indefenso. Por iso non todo o mundo está sorprendido e divertido actitude de Yoshitaka Sakurada, o ministro encargado dos preparativos para os Xogos Olímpicos de Toquio 2020 e subxefe da oficina de estratexia de ciberseguridade do goberno, quen, segundo se informa, nunca utilizou un ordenador.
Polo menos era invisible para o inimigo, non un inimigo para el.
Lista de termos relacionados co inimigo cibernético invisible
Software malicioso deseñado para iniciar sesión de xeito encuberto nun sistema, dispositivo, ordenador ou software, ou evitando as medidas de seguridade tradicionais.
Bot – un dispositivo separado conectado a Internet, infectado con malware e incluído nunha rede de dispositivos infectados similares. a maioría das veces é un ordenador, pero tamén pode ser un teléfono intelixente, unha tableta ou un equipo conectado a IoT (como un enrutador ou unha neveira). Recibe instrucións operativas do servidor de mando e control ou directamente, e ás veces doutros usuarios da rede, pero sempre sen o coñecemento ou coñecemento do propietario. poden incluír ata un millón de dispositivos e enviar ata 60 millóns de spam ao día. Utilízanse con fins fraudulentos, recibindo enquisas en liña, manipulando redes sociais, así como para difundir spam e.
– en 2017, apareceu unha nova tecnoloxía para minar criptomoeda Monero nos navegadores web. O script foi creado en JavaScript e pódese inserir facilmente en calquera páxina. Cando o usuario
un ordenador visita unha páxina tan infectada, a potencia informática do seu dispositivo utilízase para a minería de criptomonedas. Canto máis tempo pasemos neste tipo de sitios web, máis ciclos de CPU dos nosos equipos poden ser utilizados por un ciberdelincuente.
– Software malicioso que instala outro tipo de malware, como un virus ou unha porta traseira. moitas veces deseñados para evitar a detección por solucións tradicionais
antivirus, incl. debido a unha activación atrasada.
Software malicioso que explota unha vulnerabilidade de software lexítimo para comprometer un ordenador ou sistema.
– usar software para recoller información relacionada cun tipo particular de uso do teclado, como a secuencia de caracteres alfanuméricos/especiais asociados a determinadas palabras
palabras clave como "bankofamerica.com" ou "paypal.com". Se se executa en miles de ordenadores conectados, un cibercriminal ten a capacidade de recompilar información confidencial rapidamente.
– Software malicioso deseñado especificamente para danar un ordenador, sistema ou datos. Inclúe varios tipos de ferramentas, incluíndo troianos, virus e vermes.
– un intento de obter información sensible ou confidencial dun usuario de equipos conectados a Internet. Os ciberdelincuentes usan este método para distribuír contido electrónico a unha gran variedade de vítimas, o que lles incita a realizar determinadas accións, como facer clic nunha ligazón ou responder a un correo electrónico. Neste caso, facilitarán información persoal como nome de usuario, contrasinal, datos bancarios ou financeiros ou datos da tarxeta de crédito sen o seu coñecemento. Os métodos de distribución inclúen correo electrónico, publicidade en liña e SMS. Unha variante é un ataque dirixido a individuos ou grupos de individuos específicos, como executivos de empresas, famosos ou altos cargos do goberno.
– Software malicioso que lle permite acceder en secreto a partes dun ordenador, software ou sistema. Moitas veces modifica o sistema operativo do hardware de tal xeito que permanece oculto ao usuario.
- software malicioso que espía a un usuario de ordenador, intercepta pulsacións de teclas, correos electrónicos, documentos e mesmo acende unha cámara de vídeo sen o seu coñecemento.
- un método para ocultar un ficheiro, mensaxe, imaxe ou película noutro ficheiro. Aproveita esta tecnoloxía cargando ficheiros de imaxe aparentemente inofensivos que conteñen fluxos complexos.
mensaxes enviadas pola canle C&C (entre un ordenador e un servidor) aptas para uso ilegal. As imaxes poden almacenarse nun sitio web pirateado ou mesmo
nos servizos de compartición de imaxes.
Cifrado/protocolos complexos é un método usado no código para ofuscar as transmisións. Algúns programas baseados en malware, como o troiano, cifran tanto a distribución de malware como a comunicación C&C (control).
é unha forma de malware non replicable que contén funcións ocultas. O troiano xeralmente non tenta estenderse nin inxectarse noutros ficheiros.
- unha combinación das palabras ("voz") e. Significa usar unha conexión telefónica para obter información persoal confidencial, como números de tarxetas bancarias ou de crédito.
Normalmente, a vítima recibe un desafío de mensaxe automatizado de alguén que afirma representar unha institución financeira, un ISP ou unha empresa tecnolóxica. A mensaxe pode solicitar un número de conta ou un PIN. Unha vez que a conexión está activada, esta é redirixida a través do servizo ao atacante, que logo solicita datos persoais sensibles adicionais.
(BEC) - un tipo de ataque dirixido a enganar persoas dunha determinada empresa ou organización e roubar cartos suplantando a identidade
gobernado por. Os delincuentes acceden a un sistema corporativo mediante un ataque típico ou malware. Despois estudan a estrutura organizativa da empresa, os seus sistemas financeiros e o estilo e horario de correo electrónico da dirección.
Ver tamén:
