Comment un certain ministre japonais a-t-il surpris les hackers ?
Teneur
Le nombre de méthodes pour dissimuler, déguiser et tromper l'ennemi - qu'il s'agisse de la cybercriminalité ou de la cyberguerre - augmente inexorablement. On peut dire qu'aujourd'hui, les pirates informatiques, pour des raisons de gloire ou d'affaires, révèlent très rarement ce qu'ils ont fait.
Une série de pannes techniques lors de la cérémonie d'ouverture de l'année dernière Jeux olympiques d'hiver en Corée, c'est le résultat d'une cyberattaque. Le Guardian a rapporté que l'indisponibilité du site Web des Jeux, la panne du Wi-Fi dans le stade et les téléviseurs cassés dans la salle de presse étaient le résultat d'une attaque beaucoup plus sophistiquée qu'on ne le pensait initialement. Les attaquants ont eu accès au réseau des organisateurs à l'avance et ont désactivé de nombreux ordinateurs de manière très rusée - malgré de nombreuses mesures de sécurité.
Jusqu'à ce que ses effets soient vus, l'ennemi était invisible. Une fois la destruction constatée, elle le resta largement (1). Il y avait plusieurs théories sur qui était derrière l'attaque. Selon les plus populaires, les traces ont conduit à la Russie - selon certains commentateurs, cela pourrait être une revanche pour le retrait des bannières d'État de la Russie des Jeux.
D'autres soupçons ont été dirigés vers la Corée du Nord, qui cherche toujours à taquiner son voisin du sud, ou la Chine, qui est une puissance de hackers et fait souvent partie des suspects. Mais tout cela était plus une déduction policière qu'une conclusion basée sur des preuves irréfutables. Et dans la plupart de ces cas, nous ne sommes condamnés qu'à ce genre de spéculation.
En règle générale, établir la paternité d'une cyberattaque est une tâche difficile. Non seulement les criminels ne laissent généralement aucune trace reconnaissable, mais ils ajoutent également des indices déroutants à leurs méthodes.
C'était comme ça attaque contre des banques polonaises au début de 2017. BAE Systems, qui a décrit pour la première fois l'attaque très médiatisée contre la Banque nationale du Bangladesh, a soigneusement examiné certains éléments du logiciel malveillant qui ciblait les ordinateurs des banques polonaises et a conclu que ses auteurs tentaient de se faire passer pour des russophones.
Des éléments du code contenaient des mots russes avec une translittération étrange - par exemple, le mot russe sous la forme inhabituelle "client". BAE Systems soupçonne que les attaquants ont utilisé Google Translate pour se faire passer pour des pirates informatiques russes utilisant du vocabulaire russe.
En mai, le 2018 Banque du Chili a reconnu qu'il avait des problèmes et a recommandé aux clients d'utiliser les services bancaires en ligne et mobiles, ainsi que les guichets automatiques. Sur les écrans d'ordinateurs situés dans les départements, les experts ont constaté des signes d'endommagement des secteurs de démarrage des disques.
Après plusieurs jours de navigation sur le net, des traces ont été trouvées confirmant qu'une corruption massive de disque avait bien eu lieu sur des milliers d'ordinateurs. Selon des informations non officielles, les conséquences ont touché 9 500 personnes. ordinateurs et XNUMX serveurs.
Une enquête plus approfondie a révélé que le virus avait disparu de la banque au moment de l'attaque. 11 millionset d'autres sources indiquent une somme encore plus importante ! Les experts en sécurité ont finalement conclu que les disques endommagés de l'ordinateur de la banque n'étaient qu'un camouflage que les pirates pouvaient voler. Cependant, la banque ne le confirme pas officiellement.
Zéro jour pour préparer et zéro dossier
Au cours de l'année écoulée, près des deux tiers des plus grandes entreprises du monde ont été attaquées avec succès par des cybercriminels. Ils ont le plus souvent utilisé des techniques basées sur les vulnérabilités zero-day et les soi-disant. attaques sans fichier.
Telles sont les conclusions du rapport State of Endpoint Security Risk préparé par le Ponemon Institute pour le compte de Barkly. Les deux techniques d'attaque sont des variétés de l'ennemi invisible qui gagnent de plus en plus en popularité.
Selon les auteurs de l'étude, rien qu'au cours de la dernière année, le nombre d'attaques contre les plus grandes organisations mondiales a augmenté de 20 %. Nous apprenons également du rapport que la perte moyenne subie à la suite de telles actions est estimée à 7,12 millions de dollars chacune, soit 440 $ par poste attaqué. Ces montants comprennent à la fois les pertes spécifiques causées par les criminels et les coûts de restauration des systèmes attaqués dans leur état d'origine.
Les attaques typiques sont extrêmement difficiles à contrer, car elles sont généralement basées sur des vulnérabilités de logiciels dont ni le fabricant ni les utilisateurs n'ont connaissance. Le premier ne peut pas préparer la mise à jour de sécurité appropriée, et le second ne peut pas mettre en œuvre les procédures de sécurité appropriées.
"Jusqu'à 76 % des attaques réussies étaient basées sur l'exploitation de vulnérabilités zero-day ou de logiciels malveillants jusque-là inconnus, ce qui signifie qu'elles étaient quatre fois plus efficaces que les techniques classiques utilisées auparavant par les cybercriminels", expliquent les représentants du Ponemon Institute. .
Deuxième méthode invisible, attaques sans fichier, consiste à exécuter un code malveillant sur le système à l'aide de diverses "astuces" (par exemple, en injectant un exploit dans un site Web), sans obliger l'utilisateur à télécharger ou à exécuter un fichier.
Les criminels utilisent de plus en plus souvent cette méthode car les attaques classiques pour envoyer des fichiers malveillants (tels que des documents Office ou des fichiers PDF) aux utilisateurs deviennent de moins en moins efficaces. De plus, les attaques sont généralement basées sur des vulnérabilités logicielles déjà connues et corrigées - le problème est que de nombreux utilisateurs ne mettent pas à jour leurs applications assez souvent.
Contrairement au scénario ci-dessus, le logiciel malveillant ne place pas l'exécutable sur le disque. Au lieu de cela, il fonctionne sur la mémoire interne de votre ordinateur, qui est la RAM.
Cela signifie qu'un logiciel antivirus traditionnel aura du mal à détecter une infection malveillante car il ne trouvera pas le fichier qui y pointe. Grâce à l'utilisation de logiciels malveillants, un attaquant peut masquer sa présence sur l'ordinateur sans déclencher d'alarme et causer divers types de dommages (vol d'informations, téléchargement de logiciels malveillants supplémentaires, accès à des privilèges plus élevés, etc.).
Les logiciels malveillants sans fichier sont également appelés (AVT). Certains experts disent que c'est encore pire que (APT).
2. Informations sur le site piraté
Quand HTTPS n'aide pas
Il semble que l'époque où les criminels prenaient le contrôle du site, modifiaient le contenu de la page principale, y plaçaient des informations en gros caractères (2), sont révolues à jamais.
Actuellement, le but des attaques est avant tout d'obtenir de l'argent, et les criminels utilisent toutes les méthodes pour obtenir des avantages financiers tangibles dans n'importe quelle situation. Après la prise de contrôle, les parties tentent de rester cachées le plus longtemps possible et de réaliser un profit ou d'utiliser l'infrastructure acquise.
L'injection de code malveillant dans des sites Web mal protégés peut avoir diverses finalités, telles que financières (vol d'informations de carte de crédit). Il a été écrit une fois sur Écritures bulgares introduit sur le site Internet du Cabinet du Président de la République de Pologne, mais il n'a pas été possible d'indiquer clairement à quoi servaient les liens vers des polices étrangères.
Une méthode relativement nouvelle est ce qu'on appelle, c'est-à-dire les superpositions qui volent les numéros de carte de crédit sur les sites Web des magasins. L'utilisateur d'un site web utilisant HTTPS(3) est déjà formé et habitué à vérifier si un site web donné est marqué de ce symbole caractéristique, et la présence même d'un cadenas est devenue la preuve qu'il n'y a pas de menace.
3. Désignation de HTTPS dans l'adresse Internet
Cependant, les criminels utilisent cette dépendance excessive à la sécurité du site de différentes manières : ils utilisent des certificats gratuits, placent un favicon sous la forme d'un cadenas sur le site et injectent du code infecté dans le code source du site.
Une analyse des méthodes d'infection de certaines boutiques en ligne montre que les attaquants ont transféré les skimmers physiques des distributeurs automatiques de billets vers le cybermonde sous la forme de . Lors d'un virement standard pour des achats, le client remplit un formulaire de paiement dans lequel il indique toutes les données (numéro de carte de crédit, date d'expiration, numéro CVV, nom et prénom).
Le paiement est autorisé par le magasin de manière traditionnelle et l'ensemble du processus d'achat est effectué correctement. Cependant, en cas d'utilisation, un code (une seule ligne de JavaScript suffit) est injecté dans le site marchand, ce qui provoque l'envoi des données saisies dans le formulaire vers le serveur des attaquants.
L'un des crimes les plus célèbres de ce type a été l'attaque du site Web Boutique du parti républicain américain. Dans les six mois, les détails de la carte de crédit du client ont été volés et transférés sur un serveur russe.
En évaluant le trafic en magasin et les données du marché noir, il a été déterminé que les cartes de crédit volées ont généré un profit de 600 XNUMX $ pour les cybercriminels. dollars.
En 2018, ils ont été volés de manière identique. Données client du fabricant de smartphones OnePlus. La société a admis que son serveur était infecté et que les détails de la carte de crédit transférée étaient cachés directement dans le navigateur et envoyés à des criminels inconnus. Il a été rapporté que les données de 40 personnes ont été appropriées de cette manière. clients.
Risques liés à l'équipement
Un domaine immense et croissant de cybermenaces invisibles est constitué de toutes sortes de techniques basées sur des équipements numériques, que ce soit sous la forme de puces installées secrètement dans des composants apparemment inoffensifs ou de dispositifs d'espionnage.
Sur la découverte d'autres, annoncée en octobre dernier par Bloomberg, puces d'espionnage miniatures dans les équipements de télécommunications, incl. dans les prises Ethernet (4) vendues par Apple ou Amazon a fait sensation en 2018. La piste a conduit à Supermicro, un fabricant d'appareils en Chine. Cependant, les informations de Bloomberg ont ensuite été réfutées par toutes les parties intéressées - des Chinois à Apple et Amazon.
4. Ports réseau Ethernet
Il s'est avéré que, également dépourvu d'implants spéciaux, le matériel informatique «ordinaire» peut être utilisé dans une attaque silencieuse. Par exemple, il a été constaté qu'un bogue dans les processeurs Intel, dont nous avons récemment parlé dans MT, qui consiste en la capacité de "prédire" les opérations ultérieures, est capable de permettre à n'importe quel logiciel (d'un moteur de base de données à un simple JavaScript de s'exécuter dans un navigateur) pour accéder à la structure ou au contenu des zones protégées de la mémoire du noyau.
Il y a quelques années, nous avons écrit sur les équipements qui vous permettent de pirater et d'espionner secrètement des appareils électroniques. Nous avons décrit un "catalogue d'achat ANT" de 50 pages qui était disponible en ligne. Comme l'écrit Spiegel, c'est auprès de lui que les agents du renseignement spécialisés dans la cyberguerre choisissent leurs « armes ».
La liste comprend des produits de différentes classes, de l'onde sonore et du dispositif d'écoute LOUDAUTO à 30 $ à 40 XNUMX $. Dollars CANDYGRAM, qui sont utilisés pour installer votre propre copie d'une tour cellulaire GSM.
La liste comprend non seulement du matériel, mais aussi des logiciels spécialisés, comme DROPOUTJEEP, qui, après avoir été "implanté" dans l'iPhone, permet, entre autres, de récupérer des fichiers de sa mémoire ou d'y enregistrer des fichiers. Ainsi, vous pouvez recevoir des listes de diffusion, des messages SMS, des messages vocaux, ainsi que contrôler et localiser la caméra.
Face au pouvoir et à l'omniprésence d'ennemis invisibles, vous vous sentez parfois impuissant. C'est pourquoi tout le monde n'est pas surpris et amusé attitude de Yoshitaka Sakurada, le ministre chargé des préparatifs des Jeux olympiques de Tokyo 2020 et chef adjoint du bureau gouvernemental de la stratégie de cybersécurité, qui n'aurait jamais utilisé d'ordinateur.
Au moins, il était invisible pour l'ennemi, pas un ennemi pour lui.
Liste des termes liés au cyber-ennemi invisible
Logiciel malveillant conçu pour se connecter secrètement à un système, un appareil, un ordinateur ou un logiciel, ou en contournant les mesures de sécurité traditionnelles.
Bot – un appareil distinct connecté à Internet, infecté par des logiciels malveillants et inclus dans un réseau d'appareils infectés similaires. il s'agit le plus souvent d'un ordinateur, mais il peut également s'agir d'un smartphone, d'une tablette ou d'un équipement connecté à l'IoT (comme un routeur ou un réfrigérateur). Il reçoit des instructions opérationnelles du serveur de commande et de contrôle ou directement, et parfois d'autres utilisateurs du réseau, mais toujours à l'insu ou à l'insu du propriétaire. ils peuvent inclure jusqu'à un million d'appareils et envoyer jusqu'à 60 milliards de spams par jour. Ils sont utilisés à des fins frauduleuses, pour recevoir des sondages en ligne, manipuler les réseaux sociaux, ainsi que pour diffuser du spam et.
– en 2017, une nouvelle technologie d'extraction de la crypto-monnaie Monero dans les navigateurs Web est apparue. Le script a été créé en JavaScript et peut être facilement intégré dans n'importe quelle page. Lorsque l'utilisateur
un ordinateur visite une telle page infectée, la puissance de calcul de son appareil est utilisée pour l'extraction de crypto-monnaie. Plus nous passons de temps sur ces types de sites Web, plus les cycles CPU de notre équipement peuvent être utilisés par un cybercriminel.
– Logiciel malveillant qui installe un autre type de logiciel malveillant, tel qu'un virus ou une porte dérobée. souvent conçu pour éviter la détection par les solutions traditionnelles
antivirus, y compris en raison d'une activation retardée.
Logiciel malveillant qui exploite une vulnérabilité dans un logiciel légitime pour compromettre un ordinateur ou un système.
– utiliser un logiciel pour collecter des informations liées à un type particulier d'utilisation du clavier, telles que la séquence de caractères alphanumériques/spéciaux associés à certains mots
des mots clés tels que "bankofamerica.com" ou "paypal.com". S'il fonctionne sur des milliers d'ordinateurs connectés, un cybercriminel a la capacité de collecter rapidement des informations sensibles.
– Logiciels malveillants spécialement conçus pour endommager un ordinateur, un système ou des données. Il comprend plusieurs types d'outils, notamment des chevaux de Troie, des virus et des vers.
– une tentative d'obtenir des informations sensibles ou confidentielles d'un utilisateur d'un équipement connecté à Internet. Les cybercriminels utilisent cette méthode pour distribuer du contenu électronique à un large éventail de victimes, les incitant à effectuer certaines actions, comme cliquer sur un lien ou répondre à un e-mail. Dans ce cas, ils fourniront des informations personnelles telles que nom d'utilisateur, mot de passe, coordonnées bancaires ou financières ou détails de carte de crédit à leur insu. Les méthodes de distribution comprennent le courrier électronique, la publicité en ligne et les SMS. Une variante est une attaque dirigée contre des individus ou des groupes d'individus spécifiques, tels que des dirigeants d'entreprise, des célébrités ou des hauts fonctionnaires.
– Logiciel malveillant qui vous permet d'accéder secrètement à des parties d'un ordinateur, d'un logiciel ou d'un système. Il modifie souvent le système d'exploitation matériel de telle manière qu'il reste caché à l'utilisateur.
- des logiciels malveillants qui espionnent un utilisateur d'ordinateur, interceptent des frappes au clavier, des e-mails, des documents et même allument une caméra vidéo à son insu.
- une méthode pour cacher un fichier, un message, une image ou un film dans un autre fichier. Tirez parti de cette technologie en téléchargeant des fichiers image apparemment inoffensifs contenant des flux complexes.
les messages envoyés sur le canal C&C (entre un ordinateur et un serveur) adaptés à une utilisation illégale. Les images peuvent être stockées sur un site Web piraté ou même
dans les services de partage d'images.
Cryptage/protocoles complexes est une méthode utilisée dans le code pour obscurcir les transmissions. Certains programmes basés sur des logiciels malveillants, tels que le cheval de Troie, cryptent à la fois la distribution de logiciels malveillants et les communications C&C (contrôle).
est une forme de logiciel malveillant non réplicable qui contient des fonctionnalités cachées. Le cheval de Troie n'essaie généralement pas de se propager ou de s'injecter dans d'autres fichiers.
- une combinaison des mots ("voix") et. Signifie utiliser une connexion téléphonique pour obtenir des informations personnelles sensibles telles que des numéros de banque ou de carte de crédit.
En règle générale, la victime reçoit un défi de message automatisé de la part d'une personne prétendant représenter une institution financière, un FAI ou une entreprise technologique. Le message peut demander un numéro de compte ou un code PIN. Une fois la connexion activée, elle est redirigée via le service vers l'attaquant, qui demande alors des données personnelles sensibles supplémentaires.
(BEC) - un type d'attaque visant à tromper les personnes d'une entreprise ou d'une organisation donnée et à voler de l'argent en se faisant passer pour
régi par. Les criminels accèdent à un système d'entreprise par le biais d'une attaque typique ou d'un logiciel malveillant. Ils étudient ensuite la structure organisationnelle de l'entreprise, ses systèmes financiers, ainsi que le style et le calendrier des e-mails de la direction.
Voir aussi:
