In che modo un certo ministro giapponese ha sorpreso gli hacker?
contenuto
Il numero dei metodi per nascondere, dissimulare e fuorviare il nemico, che si tratti di criminalità informatica o guerra informatica, sta crescendo inesorabilmente. Si può dire che oggi gli hacker molto raramente, per motivi di fama o affari, rivelano ciò che hanno fatto.
Una serie di guasti tecnici durante la cerimonia di apertura dell'anno scorso Olimpiadi invernali in Corea, è stato il risultato di un attacco informatico. Il Guardian ha riferito che l'indisponibilità del sito Web dei Giochi, l'interruzione del Wi-Fi nello stadio e i televisori rotti nella sala stampa erano il risultato di un attacco molto più sofisticato di quanto si pensasse inizialmente. Gli aggressori hanno ottenuto l'accesso alla rete degli organizzatori in anticipo e hanno disabilitato molti computer in modo molto astuto, nonostante le numerose misure di sicurezza.
Fino a quando i suoi effetti non furono visti, il nemico era invisibile. Una volta che la distruzione è stata vista, è rimasta in gran parte tale (1). Ci sono state diverse teorie su chi c'era dietro l'attacco. Secondo i più popolari, le tracce hanno portato alla Russia - secondo alcuni commentatori, questa potrebbe essere una vendetta per la rimozione degli stendardi di stato della Russia dai Giochi.
Altri sospetti sono stati rivolti alla Corea del Nord, che cerca sempre di prendere in giro il suo vicino meridionale, o alla Cina, che è una potenza degli hacker ed è spesso tra i sospetti. Ma tutto questo era più una deduzione investigativa che una conclusione basata su prove inconfutabili. E nella maggior parte di questi casi, siamo condannati solo a questo tipo di speculazione.
Di norma, stabilire la paternità di un attacco informatico è un compito difficile. Non solo i criminali di solito non lasciano tracce riconoscibili, ma aggiungono anche indizi confusi ai loro metodi.
Era così attacco alle banche polacche all'inizio del 2017. BAE Systems, che per prima ha descritto l'attacco di alto profilo alla Banca nazionale del Bangladesh, ha esaminato attentamente alcuni elementi del malware che ha preso di mira i computer delle banche polacche e ha concluso che i suoi autori stavano cercando di impersonare persone di lingua russa.
Gli elementi del codice contenevano parole russe con una strana traslitterazione, ad esempio la parola russa nella forma insolita "cliente". BAE Systems sospetta che gli aggressori abbiano utilizzato Google Translate per fingere di essere hacker russi utilizzando il vocabolario russo.
Nel mese di maggio, il 2018 Banco de Chile ha riconosciuto di avere problemi e ha raccomandato ai clienti di utilizzare i servizi bancari online e mobili, nonché gli sportelli automatici. Sugli schermi dei computer dislocati nei reparti, gli esperti hanno riscontrato segni di danneggiamento dei settori di avvio dei dischi.
Dopo diversi giorni di navigazione in rete, sono state trovate tracce che confermano che la massiccia corruzione del disco era effettivamente avvenuta su migliaia di computer. Secondo informazioni non ufficiali, le conseguenze hanno colpito 9mila persone. computer e 500 server.
Ulteriori indagini hanno rivelato che il virus era scomparso dalla banca al momento dell'attacco. 11 milionie altre fonti indicano una somma ancora maggiore! Gli esperti di sicurezza alla fine hanno concluso che i dischi danneggiati del computer della banca erano semplicemente camuffamenti per essere rubati dagli hacker. Tuttavia, la banca non lo conferma ufficialmente.
Zero giorni per prepararsi e zero file
Nell'ultimo anno, quasi due terzi delle più grandi aziende del mondo sono state attaccate con successo dai criminali informatici. Il più delle volte utilizzavano tecniche basate su vulnerabilità zero-day e le cosiddette. attacchi senza file.
Questi sono i risultati del rapporto sullo stato del rischio per la sicurezza degli endpoint preparato dal Ponemon Institute per conto di Barkly. Entrambe le tecniche di attacco sono varietà del nemico invisibile che stanno guadagnando sempre più popolarità.
Secondo gli autori dello studio, solo nell'ultimo anno il numero di attacchi contro le più grandi organizzazioni mondiali è aumentato del 20%. Apprendiamo anche dal rapporto che la perdita media subita a seguito di tali azioni è stimata in $ 7,12 milioni ciascuna, ovvero $ 440 per posizione attaccata. Questi importi includono sia le perdite specifiche causate da criminali che i costi per ripristinare i sistemi attaccati al loro stato originale.
Gli attacchi tipici sono estremamente difficili da contrastare, poiché di solito si basano su vulnerabilità nel software di cui né il produttore né gli utenti sono a conoscenza. Il primo non può preparare l'aggiornamento di sicurezza appropriato e il secondo non può implementare le procedure di sicurezza appropriate.
"Fino al 76% degli attacchi riusciti si basava sullo sfruttamento di vulnerabilità zero-day o di alcuni malware precedentemente sconosciuti, il che significa che erano quattro volte più efficaci delle tecniche classiche precedentemente utilizzate dai criminali informatici", spiegano i rappresentanti del Ponemon Institute. .
Secondo metodo invisibile, attacchi senza file, è eseguire codice dannoso sul sistema utilizzando vari "trucchi" (ad esempio, iniettando un exploit in un sito Web), senza richiedere all'utente di scaricare o eseguire alcun file.
I criminali utilizzano questo metodo sempre più spesso poiché gli attacchi classici per inviare file dannosi (come documenti di Office o file PDF) agli utenti diventano sempre meno efficaci. Inoltre, gli attacchi si basano solitamente su vulnerabilità del software già note e risolte: il problema è che molti utenti non aggiornano le proprie applicazioni abbastanza spesso.
A differenza dello scenario precedente, il malware non posiziona l'eseguibile su disco. Invece, viene eseguito sulla memoria interna del tuo computer, che è la RAM.
Ciò significa che il software antivirus tradizionale avrà difficoltà a rilevare un'infezione dannosa perché non troverà il file che punta ad essa. Attraverso l'utilizzo di malware, un utente malintenzionato può nascondere la propria presenza sul computer senza dare l'allarme e causare danni di vario genere (furto di informazioni, download di malware aggiuntivo, accesso a privilegi più elevati, ecc.).
Il malware senza file viene anche chiamato (AVT). Alcuni esperti dicono che è anche peggio di (APT).
2. Informazioni sul sito compromesso
Quando HTTPS non aiuta
Sembra che i tempi in cui i criminali prendevano il controllo del sito, modificavano il contenuto della pagina principale, inserendo informazioni su di essa a caratteri grandi (2), siano finiti per sempre.
Attualmente, l'obiettivo degli attacchi è principalmente quello di ottenere denaro e i criminali utilizzano tutti i metodi per ottenere vantaggi finanziari tangibili in qualsiasi situazione. Dopo l'acquisizione, le parti cercano di rimanere nascoste il più a lungo possibile e realizzare un profitto o utilizzare l'infrastruttura acquisita.
L'iniezione di codice dannoso in siti Web scarsamente protetti può avere vari scopi, ad esempio finanziari (furto di informazioni sulla carta di credito). Se ne scriveva una volta Script bulgari introdotto sul sito web dell'Ufficio del Presidente della Repubblica di Polonia, ma non è stato possibile indicare chiaramente quale fosse lo scopo dei collegamenti a caratteri stranieri.
Un metodo relativamente nuovo è il cosiddetto, ovvero gli overlay che rubano i numeri di carta di credito sui siti web dei negozi. L'utente di un sito web che utilizza HTTPS(3) è già formato ed è abituato a verificare se un determinato sito web è contrassegnato da questo caratteristico simbolo e la presenza stessa di un lucchetto è diventata una prova dell'assenza di minacce.
3. Designazione di HTTPS nell'indirizzo Internet
Tuttavia, i criminali utilizzano questa dipendenza eccessiva dalla sicurezza del sito in diversi modi: utilizzano certificati gratuiti, posizionano una favicon a forma di lucchetto sul sito e iniettano codice infetto nel codice sorgente del sito.
Un'analisi delle modalità di infezione di alcuni negozi online mostra che gli aggressori hanno trasferito gli skimmer fisici degli sportelli automatici nel mondo cibernetico sotto forma di . Quando effettua un bonifico standard per gli acquisti, il cliente compila un modulo di pagamento in cui indica tutti i dati (numero di carta di credito, data di scadenza, numero CVV, nome e cognome).
Il pagamento è autorizzato dal negozio in modo tradizionale e l'intero processo di acquisto viene eseguito correttamente. In caso di utilizzo, però, nel sito dello store viene iniettato un codice (basta una sola riga di JavaScript), che fa sì che i dati inseriti nel form vengano inviati al server degli aggressori.
Uno dei crimini più famosi di questo tipo è stato l'attacco al sito web Negozio del Partito Repubblicano degli Stati Uniti. Entro sei mesi, i dettagli della carta di credito del cliente sono stati rubati e trasferiti a un server russo.
Valutando il traffico in negozio e i dati del mercato nero, è stato stabilito che le carte di credito rubate hanno generato un profitto di $ 600 per i criminali informatici. dollari.
Nel 2018 sono stati rubati in modo identico. Dati dei clienti OnePlus del produttore di smartphone. La società ha ammesso che il suo server è stato infettato e che i dettagli della carta di credito trasferiti sono stati nascosti direttamente nel browser e inviati a criminali sconosciuti. È stato riferito che i dati di 40 persone sono stati appropriati in questo modo. clienti.
Rischi dell'attrezzatura
Una vasta e crescente area di minacce informatiche invisibili è costituita da tutti i tipi di tecniche basate su apparecchiature digitali, sotto forma di chip installati segretamente in componenti apparentemente innocui o dispositivi spia.
Alla scoperta di ulteriori, annunciata nell'ottobre dello scorso anno da Bloomberg, chip spia in miniatura nelle apparecchiature di telecomunicazione, incl. nelle prese Ethernet (4) vendute da Apple o Amazon è diventata una sensazione nel 2018. Il percorso ha portato a Supermicro, un produttore di dispositivi in Cina. Tuttavia, le informazioni di Bloomberg sono state successivamente confutate da tutte le parti interessate, dai cinesi ad Apple e Amazon.
4. Porte di rete Ethernet
Come si è scoperto, anche privo di impianti speciali, l'hardware del computer "ordinario" può essere utilizzato in un attacco silenzioso. Ad esempio, è stato riscontrato che un bug nei processori Intel, di cui abbiamo recentemente parlato su MT, che consiste nella capacità di "prevedere" le operazioni successive, è in grado di consentire a qualsiasi software (da un motore di database a un semplice JavaScript di eseguire in un browser) per accedere alla struttura o ai contenuti di aree protette della memoria del kernel.
Alcuni anni fa abbiamo scritto di apparecchiature che ti consentono di hackerare e spiare segretamente dispositivi elettronici. Abbiamo descritto un "Catalogo Shopping ANT" di 50 pagine disponibile online. Come scrive Spiegel, è da lui che gli agenti dei servizi segreti specializzati in guerra informatica scelgono le loro "armi".
L'elenco include prodotti di varie classi, dall'onda sonora e il dispositivo di intercettazione LOUDAUTO da $ 30 a $ 40. dollari CANDYGRAM, che vengono utilizzati per installare la propria copia di una torre cellulare GSM.
L'elenco comprende non solo hardware, ma anche software specializzati, come DROPOUTJEEP, che, dopo essere stato "impiantato" nell'iPhone, consente, tra l'altro, di recuperare file dalla sua memoria o di salvarvi file. In questo modo è possibile ricevere mailing list, messaggi SMS, messaggi vocali, nonché controllare e localizzare la telecamera.
Di fronte al potere e all'onnipresenza di nemici invisibili, a volte ti senti impotente. Ecco perché non tutti sono sorpresi e divertiti atteggiamento di Yoshitaka Sakurada, il ministro incaricato dei preparativi per le Olimpiadi di Tokyo 2020 e vice capo dell'ufficio strategico per la sicurezza informatica del governo, che secondo quanto riferito non ha mai usato un computer.
Almeno era invisibile al nemico, non un nemico per lui.
Elenco di termini relativi al cyber nemico invisibile
Software dannoso progettato per accedere di nascosto a un sistema, dispositivo, computer o software o eludere le tradizionali misure di sicurezza.
barca – un dispositivo separato connesso a Internet, infettato da malware e incluso in una rete di dispositivi infetti simili. molto spesso si tratta di un computer, ma può anche essere uno smartphone, un tablet o un'apparecchiatura connessa a IoT (come un router o un frigorifero). Riceve istruzioni operative dal server di comando e controllo o direttamente, e talvolta da altri utenti della rete, ma sempre all'insaputa o all'insaputa del proprietario. possono includere fino a un milione di dispositivi e inviare fino a 60 miliardi di spam al giorno. Sono utilizzati per scopi fraudolenti, ricezione di sondaggi online, manipolazione dei social network, nonché per la diffusione di spam e.
– nel 2017 è apparsa una nuova tecnologia per estrarre la criptovaluta Monero nei browser web. Lo script è stato creato in JavaScript e può essere facilmente incorporato in qualsiasi pagina. Quando l'utente
un computer visita una pagina così infetta, la potenza di calcolo del suo dispositivo viene utilizzata per il mining di criptovalute. Più tempo trascorriamo su questi tipi di siti Web, più cicli della CPU nelle nostre apparecchiature possono essere utilizzati da un criminale informatico.
– Software dannoso che installa un altro tipo di malware, come un virus o una backdoor. spesso progettati per evitare il rilevamento da parte delle soluzioni tradizionali
antivirus, incl. per ritardata attivazione.
Malware che sfrutta una vulnerabilità nel software legittimo per compromettere un computer o un sistema.
– utilizzo di software per raccogliere informazioni relative a un particolare tipo di utilizzo della tastiera, come la sequenza di caratteri alfanumerici/speciali associati a determinate parole
parole chiave come "bankofamerica.com" o "paypal.com". Se funziona su migliaia di computer connessi, un criminale informatico ha la capacità di raccogliere rapidamente informazioni sensibili.
– Software dannoso specificamente progettato per danneggiare un computer, un sistema o dati. Include diversi tipi di strumenti, inclusi trojan, virus e worm.
– un tentativo di ottenere informazioni sensibili o riservate da un utente di apparecchiature connesse a Internet. I criminali informatici utilizzano questo metodo per distribuire contenuti elettronici a un'ampia gamma di vittime, spingendole a intraprendere determinate azioni, come fare clic su un collegamento o rispondere a un'e-mail. In questo caso, forniranno informazioni personali come nome utente, password, dettagli bancari o finanziari o dettagli della carta di credito a loro insaputa. I metodi di distribuzione includono e-mail, pubblicità online e SMS. Una variante è un attacco diretto a specifici individui o gruppi di individui, come dirigenti aziendali, celebrità o funzionari governativi di alto rango.
– Software dannoso che consente di accedere segretamente a parti di un computer, software o sistema. Spesso modifica il sistema operativo hardware in modo tale da rimanere nascosto all'utente.
- malware che spiano un utente di computer, intercettando sequenze di tasti, e-mail, documenti e persino accendendo una videocamera a sua insaputa.
- un metodo per nascondere un file, un messaggio, un'immagine o un filmato in un altro file. Approfitta di questa tecnologia caricando file immagine apparentemente innocui contenenti flussi complessi.
messaggi inviati attraverso il canale C&C (tra un computer e un server) idonei ad un uso illegale. Le immagini possono essere archiviate su un sito Web violato o addirittura
nei servizi di condivisione di immagini.
Crittografia/protocolli complessi è un metodo utilizzato nel codice per offuscare le trasmissioni. Alcuni programmi basati su malware, come il Trojan, crittografano sia la distribuzione del malware che le comunicazioni C&C (controllo).
è una forma di malware non replicante che contiene funzionalità nascoste. Il Trojan di solito non tenta di diffondersi o iniettarsi in altri file.
- una combinazione delle parole ("voce") e. Significa utilizzare una connessione telefonica per ottenere informazioni personali sensibili come numeri di banca o carta di credito.
In genere, la vittima riceve un messaggio di sfida automatizzato da qualcuno che afferma di rappresentare un istituto finanziario, un ISP o una società tecnologica. Il messaggio potrebbe richiedere un numero di conto o un PIN. Una volta attivata la connessione, viene reindirizzata tramite il servizio all'attaccante, che quindi richiede ulteriori dati personali sensibili.
(BEC) - un tipo di attacco volto ad ingannare le persone di una determinata azienda o organizzazione e rubare denaro impersonando
governato da. I criminali ottengono l'accesso a un sistema aziendale attraverso un tipico attacco o malware. Quindi studiano la struttura organizzativa dell'azienda, i suoi sistemi finanziari e lo stile e la pianificazione delle e-mail della direzione.
Vedi anche:
