איך שר יפני מסוים הפתיע את ההאקרים?

מספר השיטות להסתרה, להסוות והטעיית האויב – בין אם מדובר בפשעי סייבר ובין אם מדובר בלוחמת סייבר – הולך וגדל ללא הרף. ניתן לומר שכיום האקרים לעיתים רחוקות מאוד, למען התהילה או העסק, חושפים מה הם עשו.

שורה של כשלים טכניים במהלך טקס הפתיחה בשנה שעברה אולימפיאדת החורף בקוריאה, זו הייתה תוצאה של מתקפת סייבר. ה"גרדיאן" דיווח כי חוסר הזמינות של אתר המשחקים, כשל ב-Wi-Fi באצטדיון וטלוויזיות שבורות בחדר העיתונות היו תוצאה של מתקפה הרבה יותר מתוחכמת ממה שחשבו במקור. התוקפים השיגו מראש גישה לרשת המארגנים והשביתו מחשבים רבים בצורה ערמומית מאוד - למרות אמצעי אבטחה רבים.

עד שנראו השפעותיו, האויב היה בלתי נראה. לאחר שנראה ההרס, הוא נותר כך ברובו (1). היו כמה תיאוריות לגבי מי עמד מאחורי המתקפה. לפי הפופולריים ביותר, העקבות הובילו לרוסיה - לפי כמה פרשנים, זו עלולה להיות נקמה על הסרת דגלי המדינה של רוסיה מהמשחקים.

חשדות נוספים הופנו כלפי צפון קוריאה, שתמיד מחפשת להקניט את שכנתה מדרום, או לסין, שהיא מעצמת האקרים ונמצאת לרוב בין החשודים. אבל כל זה היה יותר דדוקציה בלשית מאשר מסקנה המבוססת על ראיות בלתי ניתנות להפרכה. וברוב המקרים הללו, אנו נידונים רק לספקולציות מסוג זה.

ככלל, ביסוס המחבר של מתקפת סייבר היא משימה קשה. לא רק שפושעים בדרך כלל לא משאירים עקבות ניתנים לזיהוי, אלא שהם גם מוסיפים רמזים מבלבלים לשיטות שלהם.

זה היה ככה התקפה על בנקים פולניים בתחילת 2017. BAE Systems, שתיארה לראשונה את המתקפה המתוקשרת על הבנק הלאומי של בנגלדש, בחנה בקפידה כמה מרכיבים של התוכנה הזדונית שכוונה למחשבים בבנקים פולניים והגיעה למסקנה שכותביה ניסו להתחזות לאנשים דוברי רוסית.

אלמנטים של הקוד הכילו מילים רוסיות עם תעתיק מוזר - למשל, המילה הרוסית בצורה יוצאת דופן "לקוח". BAE Systems חושדת שהתוקפים השתמשו ב-Google Translate כדי להעמיד פנים שהם האקרים רוסים המשתמשים באוצר המילים הרוסי.

במאי 2018 בנקו דה צ'ילה הודה שיש לו בעיות והמליץ ​​ללקוחות להשתמש בשירותי בנקאות מקוונים וסלולריים, כמו גם בכספומטים. במסכי המחשבים הממוקמים במחלקות מצאו מומחים סימני פגיעה במגזרי האתחול של הדיסקים.

לאחר מספר ימים של גלישה ברשת, נמצאו עקבות המאשרים שאכן התרחשה שחיתות מסיבית בדיסק באלפי מחשבים. על פי מידע לא רשמי, ההשלכות השפיעו על 9 אלף איש. מחשבים ו-500 שרתים.

חקירה נוספת העלתה כי הנגיף נעלם מהבנק בזמן התקיפה. 11 מ'ומקורות אחרים מצביעים על סכום גדול עוד יותר! מומחי אבטחה הגיעו בסופו של דבר למסקנה שהדיסקים הפגומים של מחשב הבנק הם פשוט הסוואה להאקרים לגניבה. עם זאת, הבנק אינו מאשר זאת באופן רשמי.

אפס ימים להכנה ואפס קבצים

במהלך השנה האחרונה, כמעט שני שלישים מהחברות הגדולות בעולם הותקפו בהצלחה על ידי פושעי סייבר. הם השתמשו לרוב בטכניקות המבוססות על פגיעויות של יום אפס ומה שנקרא. התקפות ללא קבצים.

אלו ממצאי דו"ח מצב אבטחת נקודות הקצה שהוכן על ידי מכון פונמון מטעם בארקלי. שתי טכניקות ההתקפה הן זנים של האויב הבלתי נראה שצוברים יותר ויותר פופולריות.

לפי מחברי המחקר, בשנה האחרונה בלבד גדל מספר התקיפות נגד הארגונים הגדולים בעולם ב-20%. כמו כן, אנו למדים מהדוח כי ההפסד הממוצע שנגרם כתוצאה מפעולות מסוג זה מוערך ב-7,12 מיליון דולר כל אחד, שהם 440 דולר לכל פוזיציה שהותקפה. סכומים אלו כוללים הן הפסדים ספציפיים שנגרמו על ידי פושעים והן את העלויות של החזרת מערכות מותקפות למצבן המקורי.

קשה מאוד להתמודד עם התקפות טיפוסיות, שכן הן מבוססות בדרך כלל על נקודות תורפה בתוכנה שלא היצרן ולא המשתמשים מודעים להן. הראשון אינו יכול להכין את עדכון האבטחה המתאים, והאחרון אינו יכול ליישם את הליכי האבטחה המתאימים.

"כ-76% מההתקפות המוצלחות התבססו על ניצול של פגיעויות של יום אפס או תוכנה זדונית שלא הייתה ידועה בעבר, מה שאומר שהן היו יעילות פי ארבעה מטכניקות קלאסיות ששימשו בעבר פושעי סייבר", מסבירים נציגי מכון פונמון. .

שיטה בלתי נראית שנייה, התקפות ללא קבצים, היא להפעיל קוד זדוני על המערכת באמצעות "טריקים" שונים (למשל, על ידי הזרקת ניצול לאתר), מבלי לדרוש מהמשתמש להוריד או להפעיל קובץ כלשהו.

פושעים משתמשים בשיטה זו לעתים קרובות יותר ויותר כאשר התקפות קלאסיות לשליחת קבצים זדוניים (כגון מסמכי Office או קבצי PDF) למשתמשים הופכות פחות ופחות יעילות. בנוסף, התקפות לרוב מבוססות על פרצות תוכנה שכבר ידועות ומתוקנות – הבעיה היא שמשתמשים רבים לא מעדכנים את האפליקציות שלהם בתדירות גבוהה מספיק.

בניגוד לתרחיש שלמעלה, התוכנה הזדונית אינה ממקמת את קובץ ההפעלה בדיסק. במקום זאת, הוא פועל על הזיכרון הפנימי של המחשב שלך, שהוא RAM.

המשמעות היא שתוכנת אנטי וירוס מסורתית תתקשה לזהות זיהום זדוני מכיוון שהיא לא תמצא את הקובץ שמצביע עליה. באמצעות שימוש בתוכנות זדוניות, תוקף יכול להסתיר את נוכחותו במחשב מבלי להפעיל אזעקה ולגרום לסוגים שונים של נזקים (גניבת מידע, הורדת תוכנות זדוניות נוספות, קבלת גישה להרשאות גבוהות יותר וכו').

תוכנה זדונית ללא קבצים נקראת גם (AVT). כמה מומחים אומרים שזה אפילו יותר גרוע מ- (APT).

כאשר HTTPS לא עוזר

נראה שהזמנים שבהם עבריינים השתלטו על האתר, שינו את תוכן העמוד הראשי, הציבו בו מידע באותיות גדולות (2), נעלמו לעד.

נכון להיום, מטרת הפיגועים היא בעיקר להשיג כסף, ועבריינים משתמשים בכל השיטות כדי להשיג הטבות כספיות מוחשיות בכל מצב. לאחר ההשתלטות הצדדים מנסים להישאר חבויים כמה שיותר זמן ולהרוויח או להשתמש בתשתית הנרכשת.

להחדרת קוד זדוני לאתרים מוגנים בצורה גרועה יכולה להיות מטרות שונות, כגון פיננסיות (גניבת פרטי כרטיס אשראי). פעם נכתב על זה תסריטים בולגריים הוצג באתר לשכת נשיא הרפובליקה של פולין, אך לא ניתן היה לציין בבירור מהי מטרת הקישורים לגופנים זרים.

שיטה חדשה יחסית היא מה שנקרא, כלומר שכבות-על שגונבות מספרי כרטיסי אשראי באתרי חנויות. המשתמש באתר המשתמש ב-HTTPS(3) כבר מיומן והתרגל לבדוק אם אתר מסוים מסומן בסמל אופייני זה, ועצם נוכחותו של מנעול הפכה לראיה שאין איומים.

עם זאת, פושעים משתמשים בהסתמכות יתרה זו על אבטחת האתר בדרכים שונות: הם משתמשים בתעודות חינמיות, מציבים סמל בצורת מנעול באתר ומחדירים קוד נגוע לקוד המקור של האתר.

ניתוח של שיטות ההדבקה של כמה חנויות מקוונות מראה כי התוקפים העבירו את הרחפנים הפיזיים של כספומטים לעולם הסייבר בצורה של . בעת ביצוע העברה רגילה לרכישות, הלקוח ממלא טופס תשלום בו הוא מציין את כל הנתונים (מספר כרטיס אשראי, תאריך תפוגה, מספר CVV, שם פרטי ושם משפחה).

התשלום מאושר על ידי החנות בדרך המסורתית וכל תהליך הרכישה מתבצע בצורה נכונה. עם זאת, במקרה של שימוש מוזרק לאתר החנות קוד (די בשורה אחת של JavaScript) שגורם לכך שהנתונים שהוזנו בטופס נשלחים לשרת התוקפים.

אחד הפשעים המפורסמים ביותר מסוג זה היה הפיגוע באתר חנות המפלגה הרפובליקנית של ארה"ב. תוך חצי שנה נגנבו פרטי כרטיס האשראי של הלקוח והועברו לשרת רוסי.

על ידי הערכת תעבורת חנויות ונתוני שוק שחור, נקבע שכרטיסי האשראי הגנובים הניבו רווח של 600 דולר לפושעי סייבר. דולרים.

ב-2018 הם נגנבו בצורה זהה. יצרנית הסמארטפונים OnePlus נתוני לקוחות. החברה הודתה שהשרת שלה נגוע, ופרטי כרטיס האשראי שהועברו הוסתרו ישירות בדפדפן ונשלחו לעבריינים לא ידועים. נמסר כי נתוני 40 אנשים נוכסו בדרך זו. לקוחות.

סכנות ציוד

אזור עצום וגדל של איומי סייבר בלתי נראים מורכב מכל מיני טכניקות המבוססות על ציוד דיגיטלי, בין אם בצורת שבבים המותקנים בסתר ברכיבים שנראים לא מזיקים או מכשירי ריגול.

על גילוי נוסף, שהוכרז באוקטובר אשתקד על ידי בלומברג, שבבי ריגול מיניאטוריים בציוד טלקומוניקציה, כולל. בשקעי Ethernet (4) שנמכרו על ידי אפל או אמזון הפכו לסנסציה ב-2018. השביל הוביל אל Supermicro, יצרנית מכשירים בסין. עם זאת, המידע של בלומברג הופרך לאחר מכן על ידי כל בעלי העניין - מהסינים ועד אפל ואמזון.

כפי שהתברר, גם ללא שתלים מיוחדים, ניתן להשתמש בחומרת מחשב "רגילה" בהתקפה שקטה. כך למשל, נמצא כי באג במעבדי אינטל, עליו כתבנו לאחרונה ב-MT, המורכב מהיכולת "לחזות" פעולות עוקבות, מסוגל לאפשר לכל תוכנה (מהמנוע מסד נתונים ועד JavaScript פשוט לפעול בדפדפן) כדי לגשת למבנה או לתוכן של אזורים מוגנים של זיכרון הליבה.

לפני כמה שנים כתבנו על ציוד שמאפשר לפרוץ ולרגל בסתר מכשירים אלקטרוניים. תיארנו "קטלוג קניות של ANT" בן 50 עמודים שהיה זמין באינטרנט. כפי שפיגל כותב, ממנו בוחרים סוכני מודיעין המתמחים בלוחמת סייבר את "הנשק".

הרשימה כוללת מוצרים ממחלקות שונות, מגל הקול ומכשיר ההאזנה LOUDAUTO $30 ועד $40K. דולרים של CANDYGRAM, המשמשים להתקנת עותק משלך של מגדל סלולרי GSM.

הרשימה כוללת לא רק חומרה, אלא גם תוכנות ייעודיות, כמו DROPOUTJEEP, שלאחר ש"הושתלה" באייפון, מאפשרת בין היתר לשלוף קבצים מהזיכרון שלו או לשמור בו קבצים. כך ניתן לקבל רשימות תפוצה, הודעות SMS, הודעות קוליות וכן לשלוט ולאתר את המצלמה.

מול הכוח והנוכחות בכל מקום של אויבים בלתי נראים, לפעמים אתה מרגיש חסר אונים. לכן לא כולם מופתעים ומשועשעים הגישה של Yoshitaka Sakurada, השר הממונה על ההכנות לאולימפיאדת טוקיו 2020 וסגן ראש המשרד לאסטרטגיית אבטחת סייבר בממשלה, שלפי הדיווחים מעולם לא השתמש במחשב.

לפחות הוא היה בלתי נראה לאויב, לא אויב עבורו.

ראה גם: