Como um certo ministro japonês surpreendeu os hackers?
Conteúdo
O número de métodos para ocultar, disfarçar e enganar o inimigo - seja cibercrime ou guerra cibernética - está crescendo inexoravelmente. Pode-se dizer que hoje os hackers muito raramente, por causa da fama ou dos negócios, revelam o que fizeram.
Uma série de falhas técnicas durante a cerimônia de abertura do ano passado Olimpíadas de Inverno na Coréia, foi o resultado de um ataque cibernético. O Guardian informou que a indisponibilidade do site dos Jogos, a falha de Wi-Fi no estádio e as televisões quebradas na sala de imprensa foram resultado de um ataque muito mais sofisticado do que se pensava inicialmente. Os invasores obtiveram acesso antecipado à rede dos organizadores e desativaram muitos computadores de maneira muito astuta – apesar de inúmeras medidas de segurança.
Até que seus efeitos fossem vistos, o inimigo era invisível. Uma vez que a destruição foi vista, em grande parte permaneceu assim (1). Houve várias teorias sobre quem estava por trás do ataque. De acordo com os mais populares, os rastros levaram à Rússia - segundo alguns comentaristas, isso poderia ser uma vingança pela remoção das bandeiras estatais da Rússia dos Jogos.
Outras suspeitas foram direcionadas à Coreia do Norte, que está sempre procurando provocar seu vizinho do sul, ou a China, que é uma potência hacker e muitas vezes está entre os suspeitos. Mas tudo isso era mais uma dedução de detetive do que uma conclusão baseada em evidências irrefutáveis. E na maioria desses casos, estamos fadados apenas a esse tipo de especulação.
Via de regra, estabelecer a autoria de um ataque cibernético é uma tarefa difícil. Não apenas os criminosos geralmente não deixam rastros reconhecíveis, mas também adicionam pistas confusas aos seus métodos.
Era assim ataque aos bancos polacos no início de 2017. A BAE Systems, que primeiro descreveu o ataque de alto nível ao Banco Nacional de Bangladesh, examinou cuidadosamente alguns elementos do malware que visava computadores em bancos poloneses e concluiu que seus autores estavam tentando se passar por pessoas de língua russa.
Elementos do código continham palavras russas com transliteração estranha - por exemplo, a palavra russa na forma incomum "cliente". A BAE Systems suspeita que os invasores usaram o Google Tradutor para fingir ser hackers russos usando vocabulário russo.
Em maio 2018 Banco do Chile reconheceu que teve problemas e recomendou que os clientes usassem serviços bancários online e móvel, além de caixas eletrônicos. Nas telas dos computadores localizados nos departamentos, os especialistas encontraram sinais de danos nos setores de inicialização dos discos.
Após vários dias de navegação na rede, foram encontrados vestígios confirmando que a corrupção maciça do disco realmente ocorreu em milhares de computadores. Segundo informações não oficiais, as consequências afetaram 9 mil pessoas. computadores e 500 servidores.
Investigações posteriores revelaram que o vírus havia desaparecido do banco no momento do ataque. 11 milhõese outras fontes apontam para uma soma ainda maior! Os especialistas em segurança acabaram concluindo que os discos danificados do computador do banco eram simplesmente uma camuflagem para os hackers roubarem. No entanto, o banco não confirma isso oficialmente.
Zero dias para preparar e zero arquivos
No ano passado, quase dois terços das maiores empresas do mundo foram atacadas com sucesso por cibercriminosos. Eles usaram com mais frequência técnicas baseadas em vulnerabilidades de dia zero e as chamadas. ataques sem arquivo.
Estas são as conclusões do relatório State of Endpoint Security Risk preparado pelo Ponemon Institute em nome da Barkly. Ambas as técnicas de ataque são variedades do inimigo invisível que estão ganhando cada vez mais popularidade.
Segundo os autores do estudo, só no ano passado, o número de ataques contra as maiores organizações do mundo aumentou 20%. Também aprendemos com o relatório que a perda média incorrida como resultado de tais ações é estimada em US$ 7,12 milhões cada, ou seja, US$ 440 por posição atacada. Esses valores incluem tanto as perdas específicas causadas por criminosos quanto os custos de restaurar os sistemas atacados ao seu estado original.
Os ataques típicos são extremamente difíceis de combater, pois geralmente são baseados em vulnerabilidades em software que nem o fabricante nem os usuários conhecem. O primeiro não pode preparar a atualização de segurança apropriada e o segundo não pode implementar os procedimentos de segurança apropriados.
“Cerca de 76% dos ataques bem-sucedidos foram baseados na exploração de vulnerabilidades de dia zero ou algum malware anteriormente desconhecido, o que significa que eles eram quatro vezes mais eficazes do que as técnicas clássicas usadas anteriormente pelos cibercriminosos”, explicam os representantes do Ponemon Institute. .
Segundo método invisível, ataques sem arquivo, é executar código malicioso no sistema usando vários "truques" (por exemplo, injetando um exploit em um site), sem exigir que o usuário baixe ou execute qualquer arquivo.
Os criminosos estão usando esse método com cada vez mais frequência, pois os ataques clássicos para enviar arquivos maliciosos (como documentos do Office ou arquivos PDF) aos usuários se tornam cada vez menos eficazes. Além disso, os ataques geralmente são baseados em vulnerabilidades de software que já são conhecidas e corrigidas - o problema é que muitos usuários não atualizam seus aplicativos com a frequência suficiente.
Ao contrário do cenário acima, o malware não coloca o executável no disco. Em vez disso, ele é executado na memória interna do seu computador, que é a RAM.
Isso significa que o software antivírus tradicional terá dificuldade em detectar uma infecção maliciosa porque não encontrará o arquivo que aponta para ela. Através do uso de malware, um invasor pode ocultar sua presença no computador sem acionar um alarme e causar vários tipos de danos (roubo de informações, download de malware adicional, acesso a privilégios mais altos etc.).
Malware sem arquivo também é chamado (AVT). Alguns especialistas dizem que é ainda pior do que (APT).
2. Informações sobre o site invadido
Quando HTTPS não ajuda
Parece que os tempos em que os criminosos tomavam o controle do site, mudavam o conteúdo da página principal, colocando informações sobre ela em letras grandes (2), se foram para sempre.
Atualmente, o objetivo dos ataques é principalmente obter dinheiro, e os criminosos usam todos os métodos para obter benefícios financeiros tangíveis em qualquer situação. Após a aquisição, as partes tentam permanecer ocultas pelo maior tempo possível e obter lucro ou usar a infraestrutura adquirida.
A injeção de código malicioso em sites mal protegidos pode ter várias finalidades, como financeiras (roubo de informações de cartão de crédito). Certa vez foi escrito sobre Scripts búlgaros introduzido no site do Gabinete do Presidente da República da Polónia, mas não foi possível afirmar claramente qual era a finalidade dos links para fontes estrangeiras.
Um método relativamente novo é o chamado, ou seja, sobreposições que roubam números de cartão de crédito nos sites das lojas. O usuário de um site que utiliza HTTPS(3) já está treinado e acostumado a verificar se determinado site está marcado com esse símbolo característico, e a própria presença de um cadeado já se tornou evidência de que não há ameaças.
3. Designação de HTTPS no endereço da Internet
No entanto, os criminosos usam essa confiança excessiva na segurança do site de diferentes maneiras: usam certificados gratuitos, colocam um favicon na forma de um cadeado no site e injetam código infectado no código-fonte do site.
Uma análise dos métodos de infecção de algumas lojas online mostra que os invasores transferiram os skimmers físicos dos caixas eletrônicos para o mundo cibernético na forma de arquivos . Ao fazer uma transferência padrão para compras, o cliente preenche um formulário de pagamento no qual indica todos os dados (número do cartão de crédito, data de validade, número do CVV, nome e sobrenome).
O pagamento é autorizado pela loja da forma tradicional, e todo o processo de compra é realizado corretamente. Porém, no caso de uso, um código (uma única linha de JavaScript é suficiente) é injetado no site da loja, o que faz com que os dados inseridos no formulário sejam enviados ao servidor dos invasores.
Um dos crimes mais famosos desse tipo foi o ataque ao site Loja do Partido Republicano dos EUA. Em seis meses, os detalhes do cartão de crédito do cliente foram roubados e transferidos para um servidor russo.
Ao avaliar o tráfego da loja e os dados do mercado negro, foi determinado que os cartões de crédito roubados geraram um lucro de US$ 600 para os cibercriminosos. dólares.
Em 2018, foram roubados de forma idêntica. dados do cliente do fabricante de smartphones OnePlus. A empresa admitiu que seu servidor estava infectado e os detalhes do cartão de crédito transferidos foram escondidos diretamente no navegador e enviados para criminosos desconhecidos. Foi relatado que os dados de 40 pessoas foram apropriados dessa forma. clientes.
Perigos do equipamento
Uma enorme e crescente área de ameaças cibernéticas invisíveis é composta por todo tipo de técnicas baseadas em equipamentos digitais, seja na forma de chips instalados secretamente em componentes aparentemente inofensivos ou dispositivos espiões.
Sobre a descoberta de adicionais, anunciada em outubro do ano passado pela Bloomberg, chips de espionagem em miniatura em equipamentos de telecomunicações, incl. em tomadas Ethernet (4) vendidas pela Apple ou Amazon se tornaram uma sensação em 2018. A trilha levou à Supermicro, fabricante de dispositivos na China. No entanto, as informações da Bloomberg foram posteriormente refutadas por todas as partes interessadas - dos chineses à Apple e Amazon.
4. Portas de rede Ethernet
Como se viu, também desprovido de implantes especiais, o hardware de computador “comum” pode ser usado em um ataque silencioso. Por exemplo, descobriu-se que um bug nos processadores Intel, sobre o qual escrevemos recentemente em MT, que consiste na capacidade de "prever" operações subsequentes, é capaz de permitir que qualquer software (desde um mecanismo de banco de dados a JavaScript simples execute em um navegador) para acessar a estrutura ou o conteúdo das áreas protegidas da memória do kernel.
Alguns anos atrás, escrevemos sobre equipamentos que permitem hackear e espionar secretamente dispositivos eletrônicos. Descrevemos um "Catálogo de Compras ANT" de 50 páginas que estava disponível online. Como escreve Spiegel, é a partir dele que os agentes de inteligência especializados em guerra cibernética escolhem suas “armas”.
A lista inclui produtos de várias classes, desde a onda sonora e o aparelho de escuta LOUDAUTO de US$ 30 até US$ 40 mil. dólares CANDYGRAM, que são usados para instalar sua própria cópia de uma torre de celular GSM.
A lista inclui não apenas hardware, mas também software especializado, como o DROPOUTJEEP, que, depois de "implantado" no iPhone, permite, entre outras coisas, recuperar arquivos de sua memória ou salvar arquivos nela. Assim, você pode receber listas de discussão, mensagens SMS, mensagens de voz, além de controlar e localizar a câmera.
Diante do poder e da onipresença de inimigos invisíveis, às vezes você se sente impotente. É por isso que nem todos ficam surpresos e divertidos atitude de Yoshitaka Sakurada, o ministro encarregado dos preparativos para as Olimpíadas de Tóquio 2020 e vice-chefe do escritório de estratégia de segurança cibernética do governo, que supostamente nunca usou um computador.
Pelo menos ele era invisível para o inimigo, não um inimigo para ele.
Lista de termos relacionados ao inimigo cibernético invisível
Software malicioso projetado para fazer login secretamente em um sistema, dispositivo, computador ou software, ou contornar medidas de segurança tradicionais.
Barco – um dispositivo separado conectado à Internet, infectado com malware e incluído em uma rede de dispositivos infectados semelhantes. geralmente é um computador, mas também pode ser um smartphone, tablet ou equipamento conectado à IoT (como um roteador ou geladeira). Recebe instruções operacionais do servidor de comando e controle ou diretamente, e às vezes de outros usuários da rede, mas sempre sem o conhecimento ou conhecimento do proprietário. eles podem incluir até um milhão de dispositivos e enviar até 60 bilhões de spam por dia. Eles são usados para fins fraudulentos, recebendo pesquisas online, manipulando redes sociais, bem como para espalhar spam e.
– em 2017, surgiu uma nova tecnologia para minerar a criptomoeda Monero em navegadores da web. O script foi criado em JavaScript e pode ser facilmente incorporado em qualquer página. quando o usuário
um computador visita uma página infectada, o poder de computação de seu dispositivo é usado para mineração de criptomoeda. Quanto mais tempo passamos nesses tipos de sites, mais ciclos de CPU em nossos equipamentos podem ser usados por um cibercriminoso.
– Software malicioso que instala outro tipo de malware, como um vírus ou backdoor. muitas vezes projetado para evitar a detecção por soluções tradicionais
antivírus, inclusive devido ao atraso na ativação.
Malware que explora uma vulnerabilidade em software legítimo para comprometer um computador ou sistema.
– usar software para coletar informações relacionadas a um determinado tipo de uso do teclado, como a sequência de caracteres alfanuméricos/especiais associados a determinadas palavras
palavras-chave como "bankofamerica.com" ou "paypal.com". Se for executado em milhares de computadores conectados, um cibercriminoso terá a capacidade de coletar informações confidenciais rapidamente.
– Software malicioso projetado especificamente para danificar um computador, sistema ou dados. Ele inclui vários tipos de ferramentas, incluindo cavalos de Tróia, vírus e worms.
– tentativa de obtenção de informações sigilosas ou confidenciais de usuário de equipamento conectado à Internet. Os cibercriminosos usam esse método para distribuir conteúdo eletrônico a uma ampla gama de vítimas, levando-as a realizar determinadas ações, como clicar em um link ou responder a um e-mail. Nesse caso, eles fornecerão informações pessoais como nome de usuário, senha, dados bancários ou financeiros ou detalhes do cartão de crédito sem o seu conhecimento. Os métodos de distribuição incluem e-mail, publicidade online e SMS. Uma variante é um ataque direcionado a indivíduos ou grupos de indivíduos específicos, como executivos corporativos, celebridades ou altos funcionários do governo.
– Software malicioso que lhe permite obter acesso secreto a partes de um computador, software ou sistema. Freqüentemente, ele modifica o sistema operacional do hardware de forma que permaneça oculto para o usuário.
- malware que espiona um usuário de computador, interceptando teclas, e-mails, documentos e até ligando uma câmera de vídeo sem o seu conhecimento.
- um método de ocultar um arquivo, mensagem, imagem ou filme em outro arquivo. Aproveite essa tecnologia carregando arquivos de imagem aparentemente inofensivos contendo fluxos complexos.
mensagens enviadas pelo canal C&C (entre um computador e um servidor) adequadas para uso ilegal. As imagens podem ser armazenadas em um site invadido ou até mesmo
em serviços de compartilhamento de imagens.
Criptografia/protocolos complexos é um método usado no código para ofuscar as transmissões. Alguns programas baseados em malware, como o Trojan, criptografam a distribuição de malware e as comunicações C&C (controle).
é uma forma de malware não replicante que contém funcionalidades ocultas. O Trojan geralmente não tenta se espalhar ou se injetar em outros arquivos.
- uma combinação das palavras ("voz") e. Significa usar uma conexão telefônica para obter informações pessoais confidenciais, como números bancários ou de cartão de crédito.
Normalmente, a vítima recebe um desafio de mensagem automática de alguém que afirma representar uma instituição financeira, ISP ou empresa de tecnologia. A mensagem pode solicitar um número de conta ou um PIN. Depois que a conexão é ativada, ela é redirecionada por meio do serviço para o invasor, que solicita dados pessoais confidenciais adicionais.
(BEC) - um tipo de ataque que visa enganar as pessoas de uma determinada empresa ou organização e roubar dinheiro ao se passar por
governado por. Os criminosos obtêm acesso a um sistema corporativo por meio de um ataque ou malware típico. Eles então estudam a estrutura organizacional da empresa, seus sistemas financeiros e o estilo e a programação de e-mail da administração.
Veja também:
