Hoe verraste een zekere Japanse minister de hackers?
Inhoud
Het aantal methoden om de vijand te verbergen, te vermommen en te misleiden – of het nu gaat om cybercriminaliteit of cyberoorlogvoering – groeit onverbiddelijk. Er kan worden gezegd dat hackers tegenwoordig zeer zelden, omwille van roem of zaken, onthullen wat ze hebben gedaan.
Een reeks technische storingen tijdens de openingsceremonie van vorig jaar Olympische Winterspelen in Korea was dit het resultaat van een cyberaanval. The Guardian meldde dat de onbeschikbaarheid van de website van de Spelen, het uitvallen van de wifi in het stadion en kapotte televisies in de perskamer het resultaat waren van een veel geavanceerdere aanval dan aanvankelijk werd gedacht. De aanvallers wisten zich vooraf toegang te verschaffen tot het netwerk van de organisatoren en schakelden – ondanks talloze veiligheidsmaatregelen – op zeer sluwe wijze veel computers uit.
Totdat de gevolgen ervan zichtbaar werden, was de vijand onzichtbaar. Toen de verwoesting eenmaal zichtbaar was, bleef dit grotendeels zo (1). Er zijn verschillende theorieën over wie er achter de aanval zat. Volgens de meest populaire leidden de sporen naar Rusland - volgens sommige commentatoren zou dit wraak kunnen zijn voor het verwijderen van de staatsbanners van Rusland van de Spelen.
Andere verdenkingen zijn gericht tegen Noord-Korea, dat altijd zijn zuiderbuur wil plagen, of tegen China, dat een hackermacht is en vaak tot de verdachten behoort. Maar dit alles was meer een detectivedeductie dan een conclusie gebaseerd op onweerlegbaar bewijs. En in de meeste van deze gevallen zijn we alleen maar gedoemd tot dit soort speculaties.
In de regel is het vaststellen van het auteurschap van een cyberaanval een lastige opgave. Niet alleen laten criminelen doorgaans geen herkenbare sporen achter, maar voegen ze ook verwarrende aanwijzingen toe aan hun methoden.
Het was zo aanval op Poolse banken begin 2017. BAE Systems, dat voor het eerst de spraakmakende aanval op de Bangladesh National Bank beschreef, onderzocht zorgvuldig enkele elementen van de malware die zich op computers in Poolse banken richtte en kwam tot de conclusie dat de auteurs ervan probeerden Russischsprekende mensen na te bootsen.
Elementen van de code bevatten Russische woorden met vreemde transliteratie, bijvoorbeeld het Russische woord in de ongebruikelijke vorm "cliënt". BAE Systems vermoedt dat de aanvallers Google Translate gebruikten om zich voor te doen als Russische hackers die Russische woordenschat gebruikten.
In mei 2018 Banco de Chile erkende dat hij problemen had en raadde klanten aan om online en mobiel bankieren te gebruiken, evenals geldautomaten. Op de schermen van computers op de afdelingen vonden experts tekenen van schade aan de opstartsectoren van de schijven.
Na enkele dagen surfen op het net werden sporen gevonden die bevestigden dat er inderdaad op duizenden computers enorme schijfcorruptie had plaatsgevonden. Volgens onofficiële informatie troffen de gevolgen 9 mensen. computers en 500 servers.
Nader onderzoek wees uit dat het virus ten tijde van de aanval van de bank was verdwenen. 11 miljoen dollaren andere bronnen wijzen op een nog groter bedrag! Beveiligingsexperts kwamen uiteindelijk tot de conclusie dat de beschadigde schijven van de bankcomputer eenvoudigweg een camouflage waren die hackers konden stelen. De bank bevestigt dit echter niet officieel.
Nul dagen om voor te bereiden en nul bestanden
Het afgelopen jaar is bijna tweederde van de grootste bedrijven ter wereld met succes aangevallen door cybercriminelen. Ze gebruikten het vaakst technieken die gebaseerd waren op zero-day-kwetsbaarheden en de zogenaamde. bestandsloze aanvallen.
Dit zijn de bevindingen van het State of Endpoint Security Risk-rapport, opgesteld door het Ponemon Institute in opdracht van Barkly. Beide aanvalstechnieken zijn varianten van de onzichtbare vijand die steeds populairder worden.
Volgens de auteurs van het onderzoek is alleen al het afgelopen jaar het aantal aanvallen op de grootste organisaties ter wereld met 20% toegenomen. We leren ook uit het rapport dat het gemiddelde verlies als gevolg van dergelijke acties wordt geschat op $7,12 miljoen per stuk, wat neerkomt op $440 per positie die werd aangevallen. Deze bedragen omvatten zowel specifieke verliezen veroorzaakt door criminelen als de kosten voor het herstellen van aangevallen systemen in hun oorspronkelijke staat.
Typische aanvallen zijn uiterst moeilijk te bestrijden, omdat ze meestal gebaseerd zijn op kwetsbaarheden in software waarvan noch de fabrikant, noch de gebruikers op de hoogte zijn. De eerste kan de juiste beveiligingsupdate niet voorbereiden, en de laatste kan de juiste beveiligingsprocedures niet implementeren.
“Maar liefst 76% van de succesvolle aanvallen was gebaseerd op de exploitatie van zero-day-kwetsbaarheden of voorheen onbekende malware, wat betekent dat ze vier keer effectiever waren dan klassieke technieken die eerder door cybercriminelen werden gebruikt”, leggen de vertegenwoordigers van het Ponemon Institute uit. .
Tweede onzichtbare methode, bestandsloze aanvallen, is het uitvoeren van kwaadaardige code op het systeem met behulp van verschillende "trucs" (bijvoorbeeld door een exploit in een website te injecteren), zonder dat de gebruiker een bestand hoeft te downloaden of uit te voeren.
Criminelen gebruiken deze methode steeds vaker omdat klassieke aanvallen om kwaadaardige bestanden (zoals Office-documenten of pdf-bestanden) naar gebruikers te sturen steeds minder effectief worden. Bovendien zijn aanvallen meestal gebaseerd op softwarekwetsbaarheden die al bekend en verholpen zijn. Het probleem is dat veel gebruikers hun applicaties niet vaak genoeg updaten.
In tegenstelling tot het bovenstaande scenario plaatst de malware het uitvoerbare bestand niet op schijf. In plaats daarvan draait het op het interne geheugen van uw computer, namelijk RAM.
Dit betekent dat traditionele antivirussoftware moeite heeft met het detecteren van een kwaadaardige infectie, omdat het het bestand dat ernaar verwijst niet kan vinden. Door het gebruik van malware kan een aanvaller zijn aanwezigheid op de computer verbergen zonder alarm te slaan en verschillende soorten schade aanrichten (diefstal van informatie, het downloaden van extra malware, toegang krijgen tot hogere rechten, enz.).
Bestandsloze malware wordt ook wel (AVT) genoemd. Sommige experts zeggen dat het zelfs erger is dan (APT).
2. Informatie over de gehackte site
Wanneer HTTPS niet helpt
Het lijkt erop dat de tijden waarin criminelen de controle over de site overnamen, de inhoud van de hoofdpagina veranderden en er informatie in grote letters op plaatsten (2), voor altijd voorbij zijn.
Momenteel is het doel van aanvallen vooral het verkrijgen van geld, en criminelen gebruiken alle methoden om in elke situatie tastbare financiële voordelen te verkrijgen. Na de overname proberen de partijen zo lang mogelijk verborgen te blijven en winst te maken of gebruik te maken van de verworven infrastructuur.
Het injecteren van kwaadaardige code in slecht beveiligde websites kan verschillende doeleinden hebben, zoals financiële doeleinden (diefstal van creditcardgegevens). Er is ooit over geschreven Bulgaarse schriften geïntroduceerd op de website van het Kabinet van de President van de Republiek Polen, maar het was niet mogelijk duidelijk aan te geven wat het doel van links naar buitenlandse lettertypen was.
Een relatief nieuwe methode zijn de zogenaamde overlays die creditcardnummers op winkelwebsites stelen. De gebruiker van een website die HTTPS(3) gebruikt, is al getraind en gewend om te controleren of een bepaalde website is gemarkeerd met dit karakteristieke symbool, en de aanwezigheid van een hangslot is het bewijs geworden dat er geen bedreigingen zijn.
3. Aanduiding van HTTPS in het internetadres
Criminelen maken echter op verschillende manieren gebruik van dit overdreven vertrouwen in de beveiliging van de site: ze gebruiken gratis certificaten, plaatsen een favicon in de vorm van een hangslot op de site en injecteren geïnfecteerde code in de broncode van de site.
Uit een analyse van de infectiemethoden van sommige online winkels blijkt dat de aanvallers de fysieke skimmers van geldautomaten in de vorm van . Bij een standaard overboeking voor aankopen vult de klant een betaalformulier in waarin hij alle gegevens (creditcardnummer, vervaldatum, CVV-nummer, voor- en achternaam) vermeldt.
De betaling wordt op de traditionele manier door de winkel geautoriseerd en het hele aankoopproces wordt correct uitgevoerd. Bij gebruik wordt echter een code (een enkele regel JavaScript is voldoende) in de winkelsite geïnjecteerd, waardoor de in het formulier ingevoerde gegevens naar de server van de aanvallers worden verzonden.
Een van de bekendste misdaden van dit type was de aanval op de website Republikeinse partijwinkel in de VS. Binnen zes maanden werden de creditcardgegevens van de klant gestolen en overgebracht naar een Russische server.
Door het winkelverkeer en de zwarte marktgegevens te evalueren, werd vastgesteld dat de gestolen creditcards een winst van $600 opleverden voor cybercriminelen. dollar.
In 2018 werden ze op identieke wijze gestolen. klantgegevens van smartphonemaker OnePlus. Het bedrijf gaf toe dat zijn server was geïnfecteerd en dat de overgedragen creditcardgegevens rechtstreeks in de browser werden verborgen en naar onbekende criminelen werden gestuurd. Er werd gemeld dat de gegevens van 40 personen op deze manier werden toegeëigend. klanten.
Gevaren van apparatuur
Een enorm en groeiend gebied van onzichtbare cyberdreigingen bestaat uit allerlei technieken die zijn gebaseerd op digitale apparatuur, of het nu gaat om chips die in het geheim zijn geïnstalleerd in ogenschijnlijk onschadelijke componenten of om spionageapparatuur.
Over de ontdekking van aanvullende, in oktober vorig jaar aangekondigd door Bloomberg, miniatuur spionagechips in telecommunicatieapparatuur, incl. in Ethernet-verkooppunten (4) verkocht door Apple of Amazon werd een sensatie in 2018. Het spoor leidde naar Supermicro, een fabrikant van apparaten in China. De informatie van Bloomberg werd vervolgens echter door alle geïnteresseerde partijen weerlegd – van de Chinezen tot Apple en Amazon.
4. Ethernet-netwerkpoorten
Het bleek dat, ook zonder speciale implantaten, ‘gewone’ computerhardware kan worden gebruikt bij een stille aanval. Er is bijvoorbeeld ontdekt dat een bug in Intel-processors, waarover we onlangs in MT schreven, die bestaat uit de mogelijkheid om daaropvolgende bewerkingen te "voorspellen", elke software (van een database-engine tot eenvoudig JavaScript) kan laten draaien in een browser) om toegang te krijgen tot de structuur of de inhoud van beschermde gebieden van het kernelgeheugen.
Een paar jaar geleden schreven we over apparatuur waarmee je in het geheim elektronische apparaten kunt hacken en bespioneren. We beschreven een "ANT Shopping Catalog" van 50 pagina's die online beschikbaar was. Zoals Spiegel schrijft, is het van hem dat inlichtingenagenten die gespecialiseerd zijn in cyberoorlogvoering hun ‘wapens’ kiezen.
De lijst bevat producten van verschillende klassen, van de geluidsgolf en het LOUDAUTO-luisterapparaat van $ 30 tot $ 40. CANDYGRAM-dollars, die worden gebruikt om uw eigen exemplaar van een GSM-zendmast te installeren.
De lijst bevat niet alleen hardware, maar ook gespecialiseerde software, zoals DROPOUTJEEP, die, na te zijn "geïmplanteerd" in de iPhone, onder andere toestaat bestanden uit het geheugen op te halen of er bestanden op op te slaan. Zo kunt u mailinglijsten, sms-berichten en spraakberichten ontvangen en de camera bedienen en lokaliseren.
Geconfronteerd met de macht en alomtegenwoordigheid van onzichtbare vijanden, voel je je soms hulpeloos. Daarom is niet iedereen verrast en geamuseerd houding Yoshitaka Sakurada, de minister die verantwoordelijk is voor de voorbereidingen voor de Olympische Spelen van Tokio 2020 en plaatsvervangend hoofd van het cyberbeveiligingsstrategiebureau van de regering, die naar verluidt nog nooit een computer heeft gebruikt.
Hij was tenminste onzichtbaar voor de vijand, en geen vijand voor hem.
Lijst met termen die verband houden met de onzichtbare cybervijand
Schadelijke software die is ontworpen om heimelijk in te loggen op een systeem, apparaat, computer of software, of door traditionele beveiligingsmaatregelen te omzeilen.
Boot – een afzonderlijk apparaat dat is verbonden met internet, is geïnfecteerd met malware en is opgenomen in een netwerk van vergelijkbare geïnfecteerde apparaten. dit is meestal een computer, maar het kan ook een smartphone, tablet of met het internet der dingen verbonden apparatuur zijn (zoals een router of koelkast). Het ontvangt operationele instructies van de command and control-server of rechtstreeks, en soms van andere gebruikers op het netwerk, maar altijd zonder medeweten of medeweten van de eigenaar. ze kunnen tot een miljoen apparaten omvatten en tot 60 miljard spam per dag verzenden. Ze worden gebruikt voor frauduleuze doeleinden, het ontvangen van online enquêtes, het manipuleren van sociale netwerken, evenals voor het verspreiden van spam en.
– in 2017 verscheen een nieuwe technologie voor het minen van Monero-cryptocurrency in webbrowsers. Het script is gemaakt in JavaScript en kan eenvoudig in elke pagina worden ingesloten. Wanneer de gebruiker
een computer zo’n geïnfecteerde pagina bezoekt, wordt de rekenkracht van zijn apparaat gebruikt voor cryptocurrency mining. Hoe meer tijd we op dit soort websites doorbrengen, hoe meer CPU-cycli in onze apparatuur door een cybercrimineel kunnen worden gebruikt.
– Schadelijke software die een ander type malware installeert, zoals een virus of backdoor. vaak ontworpen om detectie door traditionele oplossingen te voorkomen
antivirusprogramma, incl. vanwege vertraagde activering.
Malware die misbruik maakt van een kwetsbaarheid in legitieme software om een computer of systeem te compromitteren.
- software gebruiken om informatie te verzamelen met betrekking tot een bepaald type toetsenbordgebruik, zoals de volgorde van alfanumerieke/speciale tekens die bij bepaalde woorden horen
trefwoorden zoals "bankofamerica.com" of "paypal.com". Als het op duizenden verbonden computers draait, heeft een cybercrimineel de mogelijkheid om snel gevoelige informatie te verzamelen.
– Schadelijke software die speciaal is ontworpen om schade toe te brengen aan een computer, systeem of gegevens. Het bevat verschillende soorten tools, waaronder Trojaanse paarden, virussen en wormen.
– een poging om gevoelige of vertrouwelijke informatie te verkrijgen van een gebruiker van apparatuur die op het internet is aangesloten. Cybercriminelen gebruiken deze methode om elektronische inhoud te verspreiden onder een breed scala aan slachtoffers, waarbij ze worden aangezet tot bepaalde acties, zoals het klikken op een link of het beantwoorden van een e-mail. In dit geval zullen ze zonder hun medeweten persoonlijke informatie zoals gebruikersnaam, wachtwoord, bank- of financiële gegevens of creditcardgegevens verstrekken. Distributiemethoden omvatten e-mail, online advertenties en sms. Een variant is een aanval gericht op specifieke personen of groepen van personen, zoals bedrijfsleiders, beroemdheden of hooggeplaatste overheidsfunctionarissen.
– Kwaadaardige software waarmee u zich in het geheim toegang kunt verschaffen tot onderdelen van een computer, software of systeem. Het wijzigt vaak het hardware-besturingssysteem zodanig dat het voor de gebruiker verborgen blijft.
- malware die een computergebruiker bespioneert, toetsaanslagen, e-mails, documenten onderschept en zelfs een videocamera aanzet zonder zijn medeweten.
- een methode om een bestand, bericht, afbeelding of film in een ander bestand te verbergen. Profiteer van deze technologie door ogenschijnlijk onschuldige afbeeldingsbestanden met complexe streams te uploaden.
berichten verzonden via het C&C-kanaal (tussen een computer en een server) die geschikt zijn voor illegaal gebruik. Afbeeldingen kunnen worden opgeslagen op een gehackte website of zelfs
in diensten voor het delen van afbeeldingen.
Encryptie/complexe protocollen is een methode die in code wordt gebruikt om transmissies te verdoezelen. Sommige op malware gebaseerde programma's, zoals de Trojan, versleutelen zowel de verspreiding van malware als de C&C-communicatie (controle).
is een vorm van niet-replicerende malware die verborgen functionaliteit bevat. Het Trojaanse paard probeert zich doorgaans niet te verspreiden of zichzelf in andere bestanden te injecteren.
- een combinatie van de woorden ("stem") en. Betekent het gebruik van een telefoonverbinding om gevoelige persoonlijke informatie te verkrijgen, zoals bank- of creditcardnummers.
Meestal ontvangt het slachtoffer een geautomatiseerde berichtuitdaging van iemand die beweert een financiële instelling, ISP of technologiebedrijf te vertegenwoordigen. In het bericht wordt mogelijk om een rekeningnummer of een pincode gevraagd. Zodra de verbinding is geactiveerd, wordt deze via de dienst doorgestuurd naar de aanvaller, die vervolgens om aanvullende gevoelige persoonlijke gegevens vraagt.
(BEC) - een type aanval gericht op het misleiden van mensen van een bepaald bedrijf of organisatie en het stelen van geld door zich voor te doen
geregeerd door. Criminelen krijgen toegang tot een bedrijfssysteem via een typische aanval of malware. Vervolgens bestuderen ze de organisatiestructuur van het bedrijf, de financiële systemen en de e-mailstijl en -planning van het management.
Zie ook:
