Com va sorprendre un cert ministre japonès als pirates informàtics?
El nombre de mètodes per ocultar, dissimular i enganyar l'enemic, ja sigui cibercrim o ciberguerra, creix inexorablement. Es pot dir que avui en dia els pirates informàtics molt poques vegades, per la fama o el negoci, revelen el que han fet.
Una sèrie de fallades tècniques durant la cerimònia d'inauguració de l'any passat Jocs Olímpics d'hivern a Corea, va ser el resultat d'un ciberatac. The Guardian va informar que la indisponibilitat del lloc web dels Jocs, la fallada del Wi-Fi a l'estadi i els televisors trencats a la sala de premsa van ser el resultat d'un atac molt més sofisticat del que es pensava inicialment. Els atacants van accedir per endavant a la xarxa dels organitzadors i van desactivar molts ordinadors d'una manera molt astuta, malgrat les nombroses mesures de seguretat.
Fins que es van veure els seus efectes, l'enemic era invisible. Una vegada que es va veure la destrucció, en gran part va romandre així (1). Hi ha hagut diverses teories sobre qui hi havia darrere de l'atac. Segons els més populars, els rastres van portar a Rússia; segons alguns comentaristes, això podria ser una venjança per l'eliminació de les banderes estatals de Rússia dels Jocs.
Altres sospites s'han dirigit a Corea del Nord, que sempre busca burlar-se del seu veí del sud, o a la Xina, que és una potència hacker i sovint es troba entre els sospitosos. Però tot això era més una deducció detectivesca que una conclusió basada en proves irrefutables. I en la majoria d'aquests casos, estem condemnats només a aquest tipus d'especulació.
Com a regla general, establir l'autoria d'un ciberatac és una tasca difícil. Els delinqüents no només solen deixar rastres reconeixibles, sinó que també afegeixen pistes confuses als seus mètodes.
Va ser així atac als bancs polonesos a principis de 2017. BAE Systems, que va descriure per primera vegada l'atac d'alt perfil al Banc Nacional de Bangla Desh, va examinar detingudament alguns elements del programari maliciós dirigit als ordinadors dels bancs polonesos i va concloure que els seus autors estaven intentant suplantar la gent de parla russa.
Elements del codi contenien paraules russes amb una transliteració estranya, per exemple, la paraula russa en la forma inusual "client". BAE Systems sospita que els atacants van utilitzar el Traductor de Google per fingir ser pirates informàtics russos utilitzant vocabulari rus.
El maig de 2018 Banc de Xile va reconèixer que tenia problemes i va recomanar als clients que utilitzin els serveis de banca en línia i mòbil, així com els caixers automàtics. A les pantalles dels ordinadors ubicats als departaments, els experts van trobar indicis de danys als sectors d'arrencada dels discs.
Després de diversos dies de navegar per la xarxa, es van trobar rastres que confirmaven que efectivament s'havia produït una corrupció massiva del disc en milers d'ordinadors. Segons informació no oficial, les conseqüències van afectar 9 mil persones. ordinadors i 500 servidors.
Una investigació posterior va revelar que el virus havia desaparegut del banc en el moment de l'atac. 11 milions de dòlarsi altres fonts apunten a una suma encara més gran! Els experts en seguretat van arribar a la conclusió que els discos danyats de l'ordinador del banc eren simplement un camuflatge perquè els robaven els pirates informàtics. Tanmateix, el banc no ho confirma oficialment.
Zero dies per preparar i zero expedients
Durant l'últim any, gairebé dos terços de les empreses més grans del món han estat atacades amb èxit per ciberdelinqüents. Amb més freqüència utilitzaven tècniques basades en vulnerabilitats de dia zero i les anomenades. atacs sense fitxer.
Aquestes són les conclusions de l'informe State of Endpoint Security Risk elaborat per l'Institut Ponemon en nom de Barkly. Ambdues tècniques d'atac són varietats de l'enemic invisible que estan guanyant cada cop més popularitat.
Segons els autors de l'estudi, només en l'últim any, el nombre d'atacs contra les organitzacions més grans del món ha augmentat un 20%. També ens assabentem de l'informe que la pèrdua mitjana incorreguda com a resultat d'aquestes accions s'estima en 7,12 milions de dòlars cadascuna, que són 440 dòlars per posició atacada. Aquestes quantitats inclouen tant les pèrdues específiques causades pels delinqüents com els costos de restaurar els sistemes atacats al seu estat original.
Els atacs típics són extremadament difícils de contrarestar, ja que normalment es basen en vulnerabilitats del programari que ni el fabricant ni els usuaris són conscients. El primer no pot preparar l'actualització de seguretat adequada i el segon no pot implementar els procediments de seguretat adequats.
"Fins a un 76% dels atacs reeixits es van basar en l'explotació de vulnerabilitats de dia zero o algun programari maliciós desconegut anteriorment, la qual cosa significa que van ser quatre vegades més efectives que les tècniques clàssiques utilitzades anteriorment pels ciberdelinqüents", expliquen els representants del Ponemon Institute. .
Segon mètode invisible, atacs sense fitxer, és executar codi maliciós al sistema mitjançant diversos "trucs" (per exemple, injectant un exploit en un lloc web), sense requerir que l'usuari descarregui o executi cap fitxer.
Els delinqüents utilitzen aquest mètode cada cop més sovint, ja que els atacs clàssics per enviar fitxers maliciosos (com documents d'Office o fitxers PDF) als usuaris són cada cop menys efectius. A més, els atacs solen basar-se en vulnerabilitats de programari que ja són conegudes i solucionades; el problema és que molts usuaris no actualitzen les seves aplicacions amb prou freqüència.
A diferència de l'escenari anterior, el programari maliciós no col·loca l'executable al disc. En lloc d'això, s'executa a la memòria interna de l'ordinador, que és RAM.
Això vol dir que el programari antivirus tradicional tindrà dificultats per detectar una infecció maliciosa perquè no trobarà el fitxer que hi apunta. Mitjançant l'ús de programari maliciós, un atacant pot ocultar la seva presència a l'ordinador sense activar una alarma i provocar diferents tipus de danys (robatori d'informació, descàrrega de programari maliciós addicional, accés a privilegis superiors, etc.).
El programari maliciós sense fitxers també s'anomena (AVT). Alguns experts diuen que és encara pitjor que (APT).
2. Informació sobre el lloc piratejat
Quan HTTPS no ajuda
Sembla que els temps en què els delinqüents prenien el control del lloc, modificaven el contingut de la pàgina principal, col·locant-hi informació en lletra gran (2), s'han anat per sempre.
Actualment, l'objectiu dels atacs és principalment obtenir diners, i els delinqüents utilitzen tots els mètodes per obtenir beneficis financers tangibles en qualsevol situació. Després de l'adquisició, les parts intenten romandre ocultes el màxim de temps possible i obtenir beneficis o utilitzar la infraestructura adquirida.
La injecció de codi maliciós en llocs web mal protegits pot tenir diversos propòsits, com ara financers (robatori d'informació de la targeta de crèdit). Una vegada es va escriure sobre això escriptures búlgares introduït al lloc web de l'Oficina del President de la República de Polònia, però no va ser possible indicar clarament quin era l'objectiu dels enllaços a fonts estrangeres.
Un mètode relativament nou és l'anomenat, és a dir, les superposicions que roben números de targetes de crèdit als llocs web de les botigues. L'usuari d'un lloc web que utilitza HTTPS(3) ja està format i acostumat a comprovar si un lloc web determinat està marcat amb aquest símbol característic, i la mateixa presència d'un cadenat s'ha convertit en una evidència que no hi ha amenaces.
3. Designació d'HTTPS a l'adreça d'Internet
Tanmateix, els delinqüents utilitzen aquesta dependència excessiva de la seguretat del lloc de diferents maneres: utilitzen certificats gratuïts, col·loquen un favicon en forma de cadenat al lloc i injecten codi infectat al codi font del lloc.
Una anàlisi dels mètodes d'infecció d'algunes botigues en línia mostra que els atacants van traslladar els skimmers físics dels caixers automàtics al món cibernètic en forma de . En realitzar una transferència normalitzada de compres, el client omple un formulari de pagament en el qual indica totes les dades (número de targeta de crèdit, data de caducitat, número de CVV, nom i cognoms).
El pagament està autoritzat per la botiga de la manera tradicional, i tot el procés de compra es realitza correctament. Tanmateix, en cas d'ús, s'injecta un codi (una sola línia de JavaScript és suficient) al lloc de la botiga, la qual cosa fa que les dades introduïdes al formulari s'enviïn al servidor dels atacants.
Un dels crims més famosos d'aquest tipus va ser l'atac al lloc web Botiga del Partit Republicà dels Estats Units. En sis mesos, les dades de la targeta de crèdit del client van ser robades i transferides a un servidor rus.
En avaluar el trànsit de les botigues i les dades del mercat negre, es va determinar que les targetes de crèdit robades van generar un benefici de 600 dòlars per als ciberdelinqüents. dòlars.
El 2018 van ser robats de la mateixa manera. Dades del client OnePlus del fabricant de telèfons intel·ligents. L'empresa va admetre que el seu servidor estava infectat i que els detalls de la targeta de crèdit transferida estaven ocults directament al navegador i enviats a delinqüents desconeguts. Es va informar que les dades de 40 persones es van apropiar d'aquesta manera. clients.
Riscos dels equips
Una àrea enorme i creixent d'amenaces cibernètiques invisibles està formada per tot tipus de tècniques basades en equips digitals, ja sigui en forma de xips instal·lats en secret en components aparentment inofensius o dispositius espia.
Sobre el descobriment d'altres, anunciat l'octubre de l'any passat per Bloomberg, xips espia en miniatura en equips de telecomunicacions, incl. als punts de venda Ethernet (4) venuts per Apple o Amazon es va convertir en una sensació el 2018. El camí va conduir a Supermicro, un fabricant de dispositius a la Xina. Tot i això, la informació de Bloomberg va ser refutada posteriorment per totes les parts interessades, des dels xinesos fins a Apple i Amazon.
4. Ports de xarxa Ethernet
Com va resultar, també sense implants especials, el maquinari informàtic "ordinari" es pot utilitzar en un atac silenciós. Per exemple, s'ha trobat que un error en els processadors Intel, del qual hem escrit recentment a MT, que consisteix en la capacitat de "predir" operacions posteriors, és capaç de permetre que qualsevol programari (des d'un motor de base de dades fins a un simple JavaScript s'executi). en un navegador) per accedir a l'estructura o al contingut de les àrees protegides de la memòria del nucli.
Fa uns anys, vam escriure sobre equips que us permeten piratejar i espiar en secret dispositius electrònics. Vam descriure un "Catàleg de compres ANT" de 50 pàgines que estava disponible en línia. Tal com escriu Spiegel, és a partir d'ell que els agents d'intel·ligència especialitzats en guerra cibernètica trien les seves "armes".
La llista inclou productes de diverses classes, des de l'ona sonora i el dispositiu d'escolta LOUDAUTO de 30 dòlars fins a 40 dòlars. CANDYGRAM dòlars, que s'utilitzen per instal·lar la vostra pròpia còpia d'una torre de telefonia mòbil GSM.
La llista inclou no només maquinari, sinó també programari especialitzat, com DROPOUTJEEP, que, després d'estar "implantat" a l'iPhone, permet, entre altres coses, recuperar fitxers de la seva memòria o desar-hi fitxers. Així, podeu rebre llistes de correu, missatges SMS, missatges de veu, així com controlar i localitzar la càmera.
Davant el poder i l'omnipresència d'enemics invisibles, de vegades et sents impotent. Per això no tothom està sorprès i divertit actitud de Yoshitaka Sakurada, el ministre encarregat dels preparatius per als Jocs Olímpics de Tòquio 2020 i cap adjunt de l'oficina d'estratègia de ciberseguretat del govern, que segons els informes no ha utilitzat mai un ordinador.
Almenys era invisible per a l'enemic, no un enemic per a ell.
Llista de termes relacionats amb el ciberenemic invisible
Programari maliciós dissenyat per iniciar sessió encoberta en un sistema, dispositiu, ordinador o programari, o eludint les mesures de seguretat tradicionals.
El bot – un dispositiu separat connectat a Internet, infectat amb programari maliciós i inclòs en una xarxa de dispositius infectats similars. sovint és un ordinador, però també pot ser un telèfon intel·ligent, una tauleta o un equip connectat a IoT (com ara un encaminador o una nevera). Rep instruccions operatives del servidor de comandaments i control o directament, i de vegades d'altres usuaris de la xarxa, però sempre sense el coneixement o coneixement del propietari. poden incloure fins a un milió de dispositius i enviar fins a 60 milions de correu brossa al dia. S'utilitzen amb finalitats fraudulentes, per rebre enquestes en línia, manipular xarxes socials, així com per difondre correu brossa i.
– el 2017, va aparèixer una nova tecnologia per extreure criptomoneda Monero als navegadors web. L'script es va crear en JavaScript i es pot incrustar fàcilment a qualsevol pàgina. Quan l'usuari
un ordinador visita una pàgina tan infectada, la potència de càlcul del seu dispositiu s'utilitza per a la mineria de criptomoneda. Com més temps passem en aquest tipus de llocs web, més cicles de CPU del nostre equip pot ser utilitzat per un cibercriminal.
– Programari maliciós que instal·la un altre tipus de programari maliciós, com ara un virus o una porta posterior. sovint dissenyat per evitar la detecció per solucions tradicionals
antivirus, incl. a causa d'una activació retardada.
Programari maliciós que explota una vulnerabilitat en programari legítim per comprometre un ordinador o sistema.
- Ús de programari per recopilar informació relacionada amb un tipus particular d'ús del teclat, com ara la seqüència de caràcters alfanumèrics/especials associats a paraules concretes
paraules clau com "bankofamerica.com" o "paypal.com". Si s'executa en milers d'ordinadors connectats, un cibercriminal té la capacitat de recopilar informació sensible ràpidament.
– Programari maliciós dissenyat específicament per danyar un ordinador, un sistema o dades. Inclou diversos tipus d'eines, com ara troians, virus i cucs.
– un intent d'obtenir informació sensible o confidencial d'un usuari d'equips connectats a Internet. Els ciberdelinqüents utilitzen aquest mètode per distribuir contingut electrònic a un ampli ventall de víctimes, de manera que els demana que facin determinades accions, com ara fer clic a un enllaç o respondre a un correu electrònic. En aquest cas, facilitaran informació personal com ara nom d'usuari, contrasenya, dades bancàries o financeres o dades de la targeta de crèdit sense el seu coneixement. Els mètodes de distribució inclouen correu electrònic, publicitat en línia i SMS. Una variant és un atac dirigit a individus o grups d'individus específics, com ara executius d'empreses, celebritats o alts càrrecs governamentals.
– Programari maliciós que permet accedir en secret a parts d'un ordinador, programari o sistema. Sovint modifica el sistema operatiu del maquinari de tal manera que roman ocult per a l'usuari.
- programari maliciós que espia un usuari d'ordinador, intercepta les pulsacions de tecles, correus electrònics, documents i fins i tot encendre una càmera de vídeo sense el seu coneixement.
- un mètode per amagar un fitxer, missatge, imatge o pel·lícula en un altre fitxer. Aprofiteu aquesta tecnologia penjant fitxers d'imatge aparentment inofensius que contenen fluxos complexos.
missatges enviats pel canal C&C (entre un ordinador i un servidor) aptes per a un ús il·legal. Les imatges es poden emmagatzemar en un lloc web piratejat o fins i tot
en serveis d'intercanvi d'imatges.
Protocols de xifratge/complexos és un mètode utilitzat en codi per ofuscar les transmissions. Alguns programes basats en programari maliciós, com el troià, xifren tant la distribució de programari maliciós com la comunicació C&C (control).
és una forma de programari maliciós que no es replica que conté funcionalitats ocultes. Normalment, el troià no intenta estendre's ni injectar-se en altres fitxers.
- una combinació de les paraules ("veu") i. Significa utilitzar una connexió telefònica per obtenir informació personal sensible, com ara números de targetes bancàries o de crèdit.
Normalment, la víctima rep un missatge automatitzat de desafiament d'algú que afirma representar una institució financera, un ISP o una empresa tecnològica. El missatge pot demanar un número de compte o un PIN. Un cop activada la connexió, es redirigeix a través del servei a l'atacant, que després sol·licita dades personals sensibles addicionals.
(BEC): un tipus d'atac destinat a enganyar persones d'una empresa o organització determinada i robar diners fent-se passar per la identitat.
governat per. Els delinqüents accedeixen a un sistema corporatiu mitjançant un atac o programari maliciós típic. A continuació, estudien l'estructura organitzativa de l'empresa, els seus sistemes financers i l'estil i el calendari de correu electrònic de la direcció.
Vegeu també:
