Làm thế nào mà một bộ trưởng Nhật Bản nào đó lại gây bất ngờ cho các hacker?

Số lượng các phương pháp che giấu, ngụy trang và đánh lừa kẻ thù - cho dù đó là tội phạm mạng hay chiến tranh mạng - đang gia tăng một cách đáng kinh ngạc. Có thể nói, ngày nay rất ít khi các hacker vì danh tiếng hay kinh doanh mà tiết lộ những việc mình đã làm.

Hàng loạt lỗi kỹ thuật trong lễ khai giảng năm ngoái Thế vận hội mùa đông ở Hàn Quốc, đó là kết quả của một cuộc tấn công mạng. The Guardian đưa tin rằng trang web Trò chơi không có sẵn, sự cố Wi-Fi trong sân vận động và tivi bị hỏng trong phòng họp báo là kết quả của một cuộc tấn công phức tạp hơn nhiều so với suy nghĩ ban đầu. Những kẻ tấn công đã giành được quyền truy cập trước vào mạng của ban tổ chức và vô hiệu hóa nhiều máy tính theo cách rất xảo quyệt - bất chấp nhiều biện pháp bảo mật.

Cho đến khi tác dụng của nó được nhìn thấy, kẻ thù đã vô hình. Một khi sự tàn phá được nhìn thấy, nó phần lớn vẫn như vậy (1). Đã có một số giả thuyết về kẻ đứng sau vụ tấn công. Theo phổ biến nhất, các dấu vết dẫn đến Nga - theo một số nhà bình luận, đây có thể là sự trả thù cho việc loại bỏ các biểu ngữ nhà nước của Nga khỏi Thế vận hội.

Các nghi ngờ khác nhắm vào Triều Tiên, quốc gia luôn tìm cách trêu chọc nước láng giềng phía nam, hoặc Trung Quốc, cường quốc hacker và thường nằm trong số các nghi phạm. Nhưng tất cả những điều này chỉ là một suy luận của thám tử hơn là một kết luận dựa trên bằng chứng không thể chối cãi. Và trong hầu hết những trường hợp này, chúng ta chỉ chịu đựng những suy đoán kiểu này.

Theo quy định, xác lập quyền tác giả của một cuộc tấn công mạng là một nhiệm vụ khó khăn. Những tên tội phạm không chỉ thường không để lại dấu vết dễ nhận biết mà còn tạo thêm manh mối khó hiểu cho phương thức của chúng.

Nó như thế này tấn công vào các ngân hàng Ba Lan vào đầu năm 2017. BAE Systems, công ty đầu tiên mô tả vụ tấn công nổi tiếng vào Ngân hàng Quốc gia Bangladesh, đã kiểm tra cẩn thận một số yếu tố của phần mềm độc hại nhắm mục tiêu vào máy tính của các ngân hàng Ba Lan và kết luận rằng các tác giả của nó đang cố gắng mạo danh những người nói tiếng Nga.

Các phần tử của mã chứa các từ tiếng Nga có phiên âm lạ - ví dụ: từ tiếng Nga ở dạng khác thường "client". BAE Systems nghi ngờ rằng những kẻ tấn công đã sử dụng Google Dịch để đóng giả là tin tặc Nga sử dụng từ vựng tiếng Nga.

Vào tháng 2018 năm XNUMX Banco de Chile thừa nhận rằng ông đã gặp sự cố và khuyến nghị khách hàng sử dụng các dịch vụ ngân hàng trực tuyến và di động, cũng như các máy ATM. Trên màn hình của các máy tính đặt tại các phòng ban, các chuyên gia đã tìm thấy các dấu hiệu hư hỏng đối với các khu vực khởi động của đĩa.

Sau nhiều ngày duyệt mạng, người ta tìm thấy dấu vết xác nhận rằng ổ đĩa lớn đã thực sự diễn ra trên hàng nghìn máy tính. Theo thông tin không chính thức, hậu quả ảnh hưởng đến 9 nghìn người. máy tính và 500 máy chủ.

Điều tra sâu hơn cho thấy virus đã biến mất khỏi ngân hàng vào thời điểm tấn công. 11 triệu đô lavà các nguồn khác chỉ ra một số tiền thậm chí còn lớn hơn! Các chuyên gia bảo mật cuối cùng kết luận rằng các đĩa bị hư hỏng của máy tính ngân hàng chỉ đơn giản là ngụy trang để tin tặc đánh cắp. Tuy nhiên, ngân hàng không chính thức xác nhận điều này.

Không có ngày để chuẩn bị và không có tệp nào

Trong năm qua, gần XNUMX/XNUMX các công ty lớn nhất thế giới đã bị tội phạm mạng tấn công thành công. Họ thường sử dụng các kỹ thuật dựa trên lỗ hổng zero-day và cái gọi là. các cuộc tấn công không có lọc.

Đây là những phát hiện trong báo cáo Tình trạng Rủi ro An ninh Điểm cuối do Viện Ponemon thay mặt cho Barkly chuẩn bị. Cả hai kỹ thuật tấn công đều là giống của kẻ thù vô hình đang ngày càng trở nên phổ biến.

Theo các tác giả của nghiên cứu, chỉ trong năm ngoái, số vụ tấn công nhằm vào các tổ chức lớn nhất thế giới đã tăng 20%. Chúng tôi cũng biết được từ báo cáo rằng tổn thất trung bình phát sinh do các hành động như vậy ước tính là 7,12 triệu đô la cho mỗi vị trí, tương đương 440 đô la cho mỗi vị trí bị tấn công. Số tiền này bao gồm cả tổn thất cụ thể do tội phạm gây ra và chi phí khôi phục hệ thống bị tấn công về trạng thái ban đầu.

Các cuộc tấn công điển hình là cực kỳ khó để chống lại, vì chúng thường dựa trên các lỗ hổng trong phần mềm mà cả nhà sản xuất và người dùng đều không biết. Cái trước không thể chuẩn bị bản cập nhật bảo mật thích hợp và cái sau không thể triển khai các thủ tục bảo mật thích hợp.

“Có tới 76% các cuộc tấn công thành công dựa trên việc khai thác các lỗ hổng zero-day hoặc một số phần mềm độc hại chưa từng biết trước đây, có nghĩa là chúng hiệu quả hơn bốn lần so với các kỹ thuật cổ điển mà tội phạm mạng sử dụng trước đây”, đại diện của Viện Ponemon giải thích. .

Phương pháp vô hình thứ hai, các cuộc tấn công phi mã, là chạy mã độc trên hệ thống bằng nhiều "thủ thuật" khác nhau (ví dụ: bằng cách đưa một phần mềm khai thác vào một trang web), mà không yêu cầu người dùng tải xuống hoặc chạy bất kỳ tệp nào.

Tội phạm ngày càng sử dụng phương pháp này thường xuyên hơn khi các cuộc tấn công cổ điển để gửi các tệp độc hại (chẳng hạn như tài liệu Office hoặc tệp PDF) cho người dùng ngày càng trở nên kém hiệu quả hơn. Ngoài ra, các cuộc tấn công thường dựa trên các lỗ hổng phần mềm đã được biết đến và được khắc phục - vấn đề là nhiều người dùng không cập nhật ứng dụng của họ thường xuyên.

Không giống như trường hợp trên, phần mềm độc hại không đặt tệp thực thi trên đĩa. Thay vào đó, nó chạy trên bộ nhớ trong của máy tính, đó là RAM.

Điều này có nghĩa là phần mềm chống vi-rút truyền thống sẽ gặp khó khăn trong việc phát hiện một sự lây nhiễm độc hại vì nó sẽ không tìm thấy tệp trỏ đến nó. Thông qua việc sử dụng phần mềm độc hại, kẻ tấn công có thể che giấu sự hiện diện của mình trên máy tính mà không cần báo động và gây ra nhiều loại thiệt hại (ăn cắp thông tin, tải xuống phần mềm độc hại bổ sung, giành quyền truy cập vào các đặc quyền cao hơn, v.v.).

Phần mềm độc hại không lọc còn được gọi là (AVT). Một số chuyên gia nói rằng nó thậm chí còn tồi tệ hơn (APT).

Khi HTTPS không hữu ích

Có vẻ như những lần bọn tội phạm chiếm quyền kiểm soát trang web, thay đổi nội dung của trang chính, đặt thông tin trên đó dưới dạng chữ in lớn (2), đã vĩnh viễn không còn nữa.

Hiện tại, mục tiêu của các cuộc tấn công chủ yếu là lấy tiền, và bọn tội phạm sử dụng mọi phương pháp để thu được lợi ích tài chính hữu hình trong mọi tình huống. Sau khi tiếp quản, các bên cố gắng ẩn mình càng lâu càng tốt và kiếm lợi nhuận hoặc sử dụng cơ sở hạ tầng đã mua được.

Việc đưa mã độc vào các trang web được bảo vệ kém có thể có nhiều mục đích khác nhau, chẳng hạn như tài chính (đánh cắp thông tin thẻ tín dụng). Nó đã từng được viết về Chữ viết tiếng Bungari được giới thiệu trên trang web của Văn phòng Tổng thống Cộng hòa Ba Lan, nhưng không thể nói rõ mục đích liên kết đến phông chữ nước ngoài là gì.

Một phương pháp tương đối mới được gọi là, nghĩa là, các lớp phủ lấy cắp số thẻ tín dụng trên các trang web cửa hàng. Người dùng trang web sử dụng HTTPS (3) đã được đào tạo và quen với việc kiểm tra xem một trang web nhất định có được đánh dấu bằng biểu tượng đặc trưng này hay không và sự hiện diện của ổ khóa đã trở thành bằng chứng cho thấy không có mối đe dọa nào.

Tuy nhiên, bọn tội phạm sử dụng sự phụ thuộc quá mức này vào bảo mật trang web theo những cách khác nhau: chúng sử dụng chứng chỉ miễn phí, đặt biểu tượng yêu thích dưới dạng ổ khóa trên trang web và đưa mã bị nhiễm vào mã nguồn của trang web.

Một phân tích về các phương thức lây nhiễm của một số cửa hàng trực tuyến cho thấy những kẻ tấn công đã chuyển các trình duyệt vật lý của các máy ATM sang thế giới mạng dưới dạng. Khi thực hiện chuyển khoản tiêu chuẩn cho các giao dịch mua, khách hàng điền vào biểu mẫu thanh toán, trong đó anh ta cho biết tất cả dữ liệu (số thẻ tín dụng, ngày hết hạn, số CVV, họ và tên).

Việc thanh toán được cửa hàng ủy quyền theo cách truyền thống và toàn bộ quy trình mua hàng được thực hiện chính xác. Tuy nhiên, trong trường hợp sử dụng, một đoạn mã (một dòng JavaScript là đủ) được đưa vào trang web của cửa hàng, khiến dữ liệu được nhập trong biểu mẫu được gửi đến máy chủ của những kẻ tấn công.

Một trong những tội ác nổi tiếng nhất của loại hình này là cuộc tấn công vào trang web Cửa hàng Đảng Cộng hòa Hoa Kỳ. Trong vòng sáu tháng, chi tiết thẻ tín dụng của khách hàng đã bị đánh cắp và được chuyển đến một máy chủ của Nga.

Bằng cách đánh giá lưu lượng truy cập cửa hàng và dữ liệu chợ đen, người ta xác định rằng thẻ tín dụng bị đánh cắp đã tạo ra lợi nhuận 600 đô la cho tội phạm mạng. USD.

Vào năm 2018, chúng đã bị đánh cắp theo một cách giống hệt nhau. dữ liệu khách hàng của nhà sản xuất điện thoại thông minh OnePlus. Công ty thừa nhận rằng máy chủ của họ đã bị nhiễm virus và các chi tiết thẻ tín dụng được chuyển đã bị ẩn ngay trong trình duyệt và được gửi đến những tên tội phạm không xác định. Có thông tin cho rằng dữ liệu của 40 người đã bị chiếm đoạt theo cách này. khách hàng.

Các mối nguy hiểm về thiết bị

Một khu vực rộng lớn và ngày càng gia tăng của các mối đe dọa mạng vô hình được tạo thành từ tất cả các loại kỹ thuật dựa trên thiết bị kỹ thuật số, cho dù ở dạng chip được cài đặt bí mật trong các thành phần dường như vô hại hoặc thiết bị gián điệp.

Khi phát hiện ra bổ sung, được công bố vào tháng XNUMX năm ngoái bởi Bloomberg, chip gián điệp thu nhỏ trong thiết bị viễn thông, bao gồm. tại các cửa hàng Ethernet (4) do Apple hoặc Amazon bán đã trở thành một điểm nhấn trong năm 2018. Con đường đã dẫn đến Supermicro, một nhà sản xuất thiết bị ở Trung Quốc. Tuy nhiên, thông tin của Bloomberg sau đó đã bị phủ nhận bởi tất cả các bên quan tâm - từ Trung Quốc đến Apple và Amazon.

Hóa ra, cũng không có thiết bị cấy ghép đặc biệt, phần cứng máy tính “thông thường” có thể được sử dụng trong một cuộc tấn công thầm lặng. Ví dụ: người ta đã phát hiện thấy một lỗi trong bộ xử lý Intel, mà chúng tôi đã viết gần đây trong MT, bao gồm khả năng "dự đoán" các hoạt động tiếp theo, có thể cho phép bất kỳ phần mềm nào (từ cơ sở dữ liệu đến JavaScript đơn giản) chạy trong trình duyệt) để truy cập cấu trúc hoặc nội dung của các vùng được bảo vệ trong bộ nhớ nhân.

Một vài năm trước, chúng tôi đã viết về thiết bị cho phép bạn bí mật hack và do thám các thiết bị điện tử. Chúng tôi đã mô tả một "Danh mục mua sắm ANT" dài 50 trang có sẵn trên mạng. Như Spiegel viết, chính từ anh ta mà các nhân viên tình báo chuyên về chiến tranh mạng đã chọn “vũ khí” của họ.

Danh sách bao gồm các sản phẩm thuộc nhiều loại khác nhau, từ sóng âm thanh và thiết bị nghe LOUDAUTO $ 30 đến $ 40K. Đô la CANDYGRAM, được sử dụng để cài đặt bản sao tháp di động GSM của riêng bạn.

Danh sách này không chỉ bao gồm phần cứng mà còn cả phần mềm chuyên dụng, chẳng hạn như DROPOUTJEEP, sau khi được "cấy" vào iPhone, cho phép lấy các tập tin từ bộ nhớ của nó hoặc lưu các tập tin vào đó. Do đó, bạn có thể nhận danh sách gửi thư, tin nhắn SMS, tin nhắn thoại, cũng như điều khiển và định vị camera.

Đối mặt với sức mạnh và sự toàn diện của những kẻ thù vô hình, đôi khi bạn cảm thấy bất lực. Chính vì vậy không phải ai cũng ngạc nhiên và thích thú thái độ Yoshitaka Sakurada, Bộ trưởng phụ trách công tác chuẩn bị cho Thế vận hội Tokyo 2020 và là phó trưởng văn phòng chiến lược an ninh mạng của chính phủ, người được cho là chưa bao giờ sử dụng máy tính.

Ít ra thì anh ta cũng vô hình với kẻ thù chứ không phải kẻ thù với anh ta.

Xem thêm: