Киберсбор

Из Википедии, бесплатной энциклопедии

Киберсбор — это использование методов кибервойны для ведения шпионажа, Частный случай кибершипонажа. Действия по киберсбору обычно основаны на внедрении вредоносного ПО в целевую сеть или компьютер для сканирования, сбора и вывода конфиденциальной и(или) секретной информации.

Киберсбор начался ещё в 1996 году, когда широкое распространение доступа к интернету к правительственным и корпоративным системам набрало обороты. С тех пор было зафиксировано множество случаев такой деятельности.[1][2][3]

В дополнение к примерам, включающим в себя государство, киберсбор также использовался организованной преступностью для кражи личных данных и электронных банковских операций, а также корпоративными шпионами. В рамках Операции High Roller использовались программы для сбора информации о ПК и смартфонах, использовавшихся для электронных рейдов на банковские счета.[4] Система сбора Rocra, также известная как «Красный Октябрь», представляет собой «шпионаж по найму» от организованных преступников, которые продают собранную информацию тому, кто больше заплатит.[5]

Платформы и функционал

[править | править код]

Инструменты киберсбора были разработаны правительствами и частными лицами практически для каждой существующей версии операционной системы компьютера и смартфона. Известно, что инструменты существуют для компьютеров на базе Microsoft Windows, Apple MacOs и Linux, а также для телефонов iPhone, Android, Blackberry и Windows Phone.[6] Основными производителями коммерческих готовых технологий киберсбора (COTS) являются Gamma Group из Великобритании[7] и Hacking Team из Италии.[8] Компании, занимающиеся производством специализированных инструментов для киберсбора, также часто предлагают COTS-пакеты эксплойтов нулевого дня. Такими компаниями являются, например, Endgame, Inc. и Netragard из США, а также Vupen из Франции.[9] У государственных разведывательных служб часто есть собственные команды для разработки инструментов кибер-сбора, таких как Stuxnet, но им требуется постоянный источник эксплойтов нулевого дня, чтобы внедрять свои инструменты в новые атакуемые системы. Конкретные технические детали таких методов атаки часто продаются за шестизначные суммы долларов США.[10]

Общие функциональные возможности систем киберсбора включают:

  • Сканирование данных : локальное и сетевое хранилище сканируется для поиска и копирования интересующих файлов, таких как документы, электронные таблицы, файлы дизайна, например, файлы Autocad, и системные файлы, такие как файл passwd.
  • Захват местоположения: GPS, Wi-Fi, информация о сети и другие подключённые датчики используются для определения местоположения и перемещения заражённого устройства.
  • Жучок : микрофон устройства может быть активирован для записи звука. Точно так же аудиопотоки, предназначенные для расположенных в локальной сети динамиков и громкоговорителей, могут быть перехвачены на уровне устройства и записаны.
  • Скрытые частные сети, обходящие защиту корпоративной сети. Компьютер, за которым ведётся слежка, может быть подключён к настоящей корпоративной сети, которая тщательно отслеживается на предмет активности вредоносных программ и в то же время подключён к частной сети Wi-Fi за пределами корпоративной сети, из которой происходит утечка конфиденциальной информации с компьютера сотрудника. Такой компьютер легко настраивается двойным агентом, работающим в ИТ-отделе, путём установки второй сетевой карты в компьютер и специального программного обеспечения для удалённого мониторинга компьютера сотрудника, не знающего о наличии дополнительного стороннего подключения, проходящего через эту карту,
  • Перехват Камера : камеры устройства могут быть активированы для скрытой съёмки изображений или видео.
  • Кейлогер и считыватель движений мышки : вредоносная программа, которая фиксирует каждое нажатие клавиши, движение мыши и щелчок, которые делает пользователь. В сочетании со снимками экрана это можно использовать для получения паролей, которые вводятся с помощью виртуальной экранной клавиатуры.
  • Захват экрана : вредоносный агент может делать периодические снимки экрана. Это необходимо для получения доступа к отображению конфиденциальной информации, которая может не храниться на машине, такой как балансы электронных банковских операций и зашифрованная веб-почта. Также, такие программы можно использовать в сочетании с данными кейлоггера и считывателя движений мышки для определения учётных данных для доступа к другим интернет-ресурсам.
  • Шифрование : собранные данные обычно шифруются во время захвата и могут быть переданы в режиме реального времени или сохранены для последующего изъятия. Аналогичным образом, для каждой конкретной операции обычной практикой является использование определённых возможностей шифрования и полиморфных возможностей программы киберсбора, чтобы гарантировать, что обнаружение на одном месте не поставит под угрозу другие действующие инструменты.
  • Обход шифрования : поскольку агент вредоносного ПО работает в целевой системе со всеми правами доступа и правами учётной записи пользователя пользователя или системного администратора, шифрование может обходится. Например, перехват звука с помощью микрофона и устройств вывода звука позволяет вредоносной программе захватывать обе стороны зашифрованного звонка Skype.[11]
  • Система Изъятия информации : программы для киберсбора обычно извлекают захваченные данные встроенным образом, часто ожидая высокого количества веб-трафика и маскируя передачу под просмотр безопасных веб-страниц. USB-накопители использовались для извлечения информации из систем, защищённых воздушным зазором. Системы вывода информации часто включают использование обратных прокси-систем, которые анонимизируют получателя данных.[12]
  • Механизм репликации : программы могут копировать себя на другие носители или системы, например, программа может заражать файлы в доступном для записи сетевом ресурсе или устанавливать себя на USB-накопители, чтобы заразить компьютеры, защищённые воздушным зазором или иным образом не находящиеся в той же сети.
  • Управление файлами и обслуживание файлов : вредоносное ПО может использоваться для стирания собственных следов из файлов журналов. Оно также может загружать и устанавливать модули или обновления, а также файлы данных. Эта функция также может использоваться для размещения «доказательств» в целевой системе, например, для вставки детской порнографии в компьютер политика или для манипулирования голосами на электронной машине для подсчёта голосов.
  • Правило комбинирования : некоторые программы очень сложны и могут комбинировать вышеперечисленные функции, чтобы обеспечить целенаправленные возможности сбора разведывательной информации. Например, использование данных мест частого нахождения цели через GPS и активности микрофона можно использовать для превращения смартфона в умный жучок, который перехватывает разговоры только в офисе цели.
  • Скомпрометированные мобильные телефоны. Поскольку современные мобильные телефоны все больше похожи на компьютеры общего назначения, эти мобильные телефоны уязвимы для тех же кибератак, что и компьютерные системы, с дополнительной уязвимостью в виде утечки чрезвычайно конфиденциальной информации о разговоре и местоположении злоумышленникам.[13] В ряде недавних случаев сталкинга злоумышленнику получалось получить местоположение (по GPS) мобильного телефона и разговорную информацию, и с их помощью позвонить в близлежащим органам полиции, чтобы выдвинуть ложные обвинения против жертвы в зависимости от его места (варьируется от сообщения информации о посетителе персоналу ресторана, чтобы подразнить жертву, до лжесвидетельства против неё. Например, если жертва была припаркована на большой стоянке, злоумышленники могут позвонить и заявить, что они видели наркотики или насилие, с описанием жертвы и указаниями по GPS.

Проникновение

[править | править код]

Существует несколько распространённых способов заражения или доступа к цели:

  • Прокси-сервер для инъекций — это система, которая размещается выше по течению от цели или компании, обычно у интернет-провайдера, созданная для внедрения вредоносного ПО в целевую систему. Например, невинная загрузка, сделанная пользователем, может быть заражена исполняемым файлом шпионской программы на лету, для получения доступа к информации правительственными агентами.[14]
  • Целевой фишинг : тщательно составленное электронное письмо отправляется цели, чтобы побудить их установить вредоносное ПО через заражённый трояном документ или путём прямой атаки, размещённой на веб-сервере, скомпрометированном или контролируемом владельцем вредоносного ПО.[15]
  • Скрытное проникновение может быть использовано для заражения системы. Другими словами, шпионы осторожно проникают в дом или офис цели и устанавливают вредоносное ПО в систему цели.[16]
  • Монитор исходящего трафика или сниффер — это устройство, которое может перехватывать и просматривать данные, передаваемые целевой системой. Обычно это устройство ставится у интернет-провайдера. Система Carnivore, разработанная ФБР США, является известным примером системы такого типа. Основываясь на той же логике, что и телефонный перехват, этот тип систем сегодня имеет ограниченное применение из-за широкого применения шифрования при передаче данных.
  • Беспроводная система проникновения может использоваться вблизи цели, когда цель использует какую либо беспроводную технологию передачи информации. Обычно это система на базе ноутбука, которая имитирует базовую станцию WiFi или 3G для захвата целевых систем и ретрансляции запросов в Интернет. Как только целевые системы находятся в сети, система затем функционирует как прокси-сервер для внедрения или как монитор исходящего трафика для проникновения или мониторинга целевой системы.
  • USB-ключ с предварительно загруженным заразителем вредоносным ПО может быть передан или якобы случайно выброшен рядом с целью.

Программы для киберсбора обычно устанавливаются вместе с полезным программным обеспечением, заражённым с использованием уязвимостей нулевого дня, и доставляемых через заражённые USB-накопители, вложений в письма электронной почты или вредоносные веб-сайты.[17][18] В спонсируемых государством операциях по киберсбору использовались официальные сертификаты операционных систем вместо того, чтобы полагаться на общие уязвимости в системе безопасности. В операции Flame Microsoft заявила, что сертификат Microsoft, используемый для идентификация Центра обновления Windows, был подделан;[19] Однако некоторые эксперты считают, что он мог быть получен благодаря усилиям по сбору разведданных через личный контакт (HUMINT).[20]

Примеры операций

[править | править код]

Примечания

[править | править код]
  1. 1 2 Pete Warren, State-sponsored cyber espionage projects now prevalent, say experts Архивная копия от 8 апреля 2022 на Wayback Machine, The Guardian, August 30, 2012
  2. Nicole Perlroth, Elusive FinSpy Spyware Pops Up in 10 Countries Архивная копия от 18 августа 2012 на Wayback Machine, New York Times, August 13, 2012
  3. Kevin G. Coleman, Has Stuxnet, Duqu and Flame Ignited a Cyber Arms Race? Архивировано 8 июля 2012 года., AOL Government, July 2, 2012
  4. Rachael King, Operation High Roller Targets Corporate Bank Accounts Архивная копия от 11 декабря 2017 на Wayback Machine, June 26, 2012
  5. Frederic Lardinois, Eugene Kaspersky And Mikko Hypponen Talk Red October And The Future Of Cyber Warfare At DLD Архивная копия от 8 апреля 2022 на Wayback Machine, TechCrunch, January 21, 2013
  6. Vernon Silver, Spyware Matching FinFisher Can Take Over IPhones Архивная копия от 8 марта 2021 на Wayback Machine,, Bloomberg, August 29, 2012
  7. FinFisher IT Intrusion. Дата обращения: 31 июля 2012. Архивировано из оригинала 31 июля 2012 года.
  8. Hacking Team, Remote Control System. Дата обращения: 21 января 2013. Архивировано из оригинала 15 декабря 2016 года.
  9. Mathew J. Schwartz, Weaponized Bugs: Time For Digital Arms Control Архивная копия от 31 октября 2013 на Wayback Machine, Information Week, 9 October 2012
  10. Ryan Gallagher, Cyberwar’s Gray Market Архивная копия от 2 октября 2018 на Wayback Machine, Slate, 16 Jan 2013
  11. Daniele Milan, The Data Encryption Problem Архивная копия от 8 апреля 2022 на Wayback Machine, Hacking Team
  12. Robert Lemos, Flame stashes secrets in USB drives Архивировано 15 марта 2014 года., InfoWorld, June 13, 2012
  13. how to spy on a cell phone without having access. Дата обращения: 11 мая 2022. Архивировано 8 апреля 2022 года.
  14. Pascal Gloor, (Un)lawful Interception Архивировано 5 февраля 2016 года., SwiNOG #25, 07 November 2012
  15. Mathew J. Schwartz, Operation Red October Attackers Wielded Spear Phishing Архивная копия от 7 ноября 2013 на Wayback Machine, Information Week, January 16, 2013
  16. FBI Records: The Vault, Surreptitious Entries Архивная копия от 8 апреля 2022 на Wayback Machine, Federal Bureau of Investigation
  17. Kim Zetter, «Flame» spyware infiltrating Iranian computers Архивная копия от 16 апреля 2016 на Wayback Machine, CNN — Wired, May 30, 2012
  18. Anne Belle de Bruijn, Cybercriminelen doen poging tot spionage bij DSM Архивная копия от 4 марта 2016 на Wayback Machine, Elsevier, July 9, 2012
  19. Mike Lennon, Microsoft Certificate Was Used to Sign «Flame» Malware [{{{1}}} Архивировано] {{{2}}}., June 4, 2012
  20. Paul Wagenseil, Flame Malware Uses Stolen Microsoft Digital Signature, NBC News, June 4, 2012
  21. «Red October» Diplomatic Cyber Attacks Investigation Архивная копия от 28 июня 2014 на Wayback Machine, Securelist, January 14, 2013
  22. Kaspersky Lab Identifies Operation Red October Архивировано 4 марта 2016 года., Kaspersky Lab Press Release, January 14, 2013
  23. Dave Marcus & Ryan Cherstobitoff, Dissecting Operation High Roller Архивировано 8 марта 2013 года., McAfee Labs