Кибер-коллекция - Cyber-collection

Кибер-коллекция относится к использованию кибервойна техники для проведения шпионаж. Действия по кибер-сбору обычно основываются на добавлении вредоносное ПО в целевую сеть или компьютер для сканирования, сбора и утечки конфиденциальной информации.

Киберсборка началась еще в 1996 году, когда повсеместное распространение Подключение к Интернету к правительственным и корпоративным системам. С тех пор было много случаев подобной деятельности.[1][2][3]

Помимо примеров, спонсируемых государством, киберсборки также использовались организованной преступностью для кражи личных данных и электронных банковских операций, а также корпоративными шпионами. Операция High Roller использовали кибер-сборщиков для сбора информации с ПК и смартфонов, которая использовалась для электронного рейда на банковские счета.[4] В Рокра Система сбора, также известная как Красный Октябрь, представляет собой операцию «шпионажа по найму», осуществляемую организованными преступниками, которые продают собранную информацию тому, кто больше заплатит.[5]

Платформы и функционал

Инструменты киберсборки были разработаны правительствами и частными лицами почти для всех операционных систем компьютеров и смартфонов. Известно, что инструменты существуют для компьютеров Microsoft, Apple и Linux, а также для телефонов iPhone, Android, Blackberry и Windows.[6] Основные производители Коммерческие готовые (COTS) киберсборка включает Gamma Group из Великобритании[7] и Команда взлома из Италии.[8] Изготовленные на заказ компании по сбору средств киберпространства, многие из которых предлагают пакеты COTS нулевой день эксплойты, включают Endgame, Inc. и Нетрагард из США и Вупен из Франции.[9] Государственные спецслужбы часто имеют свои собственные команды для разработки инструментов киберсбора, таких как Stuxnet, но требуют постоянного источника эксплойты нулевого дня чтобы вставить свои инструменты в новые целевые системы. Конкретные технические детали этих методов атаки часто продаются за шестизначные суммы.[10]

Общие функциональные возможности систем киберсборки включают:

  • Сканирование данных: локальное и сетевое хранилище сканируются для поиска и копирования интересующих файлов, часто это документы, электронные таблицы, файлы проекта, такие как файлы Autocad, и системные файлы, такие как файл passwd.
  • Место захвата: GPS, Wi-Fi, информация о сети и другие подключенные датчики используются для определения местоположения и движения проникшего устройства.
  • Ошибка: микрофон устройства можно активировать для записи звука. Точно так же аудиопотоки, предназначенные для местных динамиков, могут быть перехвачены на уровне устройства и записаны.
  • Скрытые частные сети которые обходят безопасность корпоративной сети. Компьютер, за которым ведется слежка, можно подключить к законной корпоративной сети, которая тщательно отслеживается на предмет активности вредоносных программ и в то же время принадлежит частной сети Wi-Fi за пределами корпоративной сети, которая передает конфиденциальную информацию с компьютера сотрудника. Такой компьютер легко настраивается двойным агентом, работающим в ИТ-отделе, путем установки второй беспроводной карты в компьютер и специального программного обеспечения для удаленного мониторинга компьютера сотрудника через эту вторую интерфейсную карту, не зная о побочной полосе. канал связи, извлекающий информацию из его компьютера.
  • Камера: камеры устройства могут быть активированы для скрытой съемки изображений или видео.
  • Кейлоггер и регистратор мыши: агент вредоносной программы может фиксировать каждое нажатие клавиши, движение мыши и щелчок, выполняемые целевым пользователем. В сочетании с захватом экрана это можно использовать для получения паролей, которые вводятся с помощью виртуальной экранной клавиатуры.
  • Screen Grabber: агент вредоносной программы может периодически делать снимки экрана. В дополнение к отображению конфиденциальной информации, которая может не храниться на машине, такой как баланс в электронном банке и зашифрованная веб-почта, их можно использовать в сочетании с данными регистратора клавиш и мыши для определения учетных данных для доступа к другим Интернет-ресурсам.
  • Шифрование: Собранные данные обычно зашифровываются во время захвата и могут быть переданы в реальном времени или сохранены для последующего извлечения. Аналогичным образом, для каждой конкретной операции обычной практикой является использование определенных возможностей шифрования и полиморфизма агента киберсборки, чтобы гарантировать, что обнаружение в одном месте не поставит под угрозу другие.
  • Обойти шифрование: Поскольку агент вредоносной программы работает в целевой системе со всеми правами доступа и правами учетной записи пользователя целевого объекта или системного администратора, шифрование обходится. Например, перехват звука с помощью микрофона и устройств вывода звука позволяет вредоносной программе перехватывать обе стороны зашифрованного вызова Skype.[11]
  • Эксфильтрация: Агенты Cyber-collection обычно извлекают захваченные данные дискретным образом, часто ожидая большого веб-трафика и маскируя передачу под безопасный просмотр веб-страниц. USB-накопители были использованы для эксфильтрации информации из воздушный зазор защищенные системы. Системы эксфильтрации часто включают использование систем обратного прокси, которые анонимизируют получателя данных.[12]
  • Тиражировать: Агенты могут реплицироваться на другие носители или системы, например, агент может заразить файлы на доступном для записи сетевом ресурсе или установить себя на USB-накопители, чтобы заразить компьютеры, защищенные воздушный зазор или иначе не в той же сети.
  • Управление файлами и обслуживание файлов: Вредоносное ПО может быть использовано для удаления своих следов из файлов журнала. Он также может загружать и устанавливать модули или обновления, а также файлы данных. Эту функцию также можно использовать для размещения «свидетельств» в целевой системе, например вставить детской порнографии на компьютере политик или манипулировать голоса на электронном подсчете голосов машины.
  • Правила комбинирования: Некоторые агенты очень сложны и могут сочетать вышеуказанные функции для обеспечения целенаправленного сбора информации. Например, использование ограничивающих рамок GPS и активности микрофона можно использовать для превращения смартфона в интеллектуальный жучок, который перехватывает разговоры только в офисе цели.
  • Взломанные мобильные телефоны. Поскольку современные сотовые телефоны все больше похожи на компьютеры общего назначения, эти мобильные телефоны уязвимы для тех же киберсборочных атак, что и компьютерные системы, и уязвимы для утечки злоумышленникам чрезвычайно конфиденциальной разговорной информации и информации о местоположении.[13] Утечка данных GPS мобильного телефона и разговорной информации злоумышленнику была отмечена в ряде недавних кибер-преследование Случаи, когда злоумышленник мог использовать местоположение жертвы по GPS, чтобы позвонить в близлежащие предприятия и в полицию, чтобы выдвинуть ложные обвинения против жертвы в зависимости от его местоположения, это может варьироваться от сообщения персоналу ресторана информации, чтобы подразнить жертву, или лжесвидетельства против жертва. Например, если жертва была припаркована на большой парковке, злоумышленники могут позвонить и заявить, что видели наркотики или насилие, с описанием жертвы и указанием направления к их местоположению по GPS.

Проникновение

Есть несколько распространенных способов заразить цель или получить к ней доступ:

  • An Прокси-сервер для инъекций - это система, которая размещается выше по течению от целевого лица или компании, обычно у интернет-провайдера, который внедряет вредоносное ПО в целевую систему. Например, в невинную загрузку, сделанную пользователем, можно «на лету» внедрить исполняемый файл вредоносной программы, чтобы целевая система была доступна правительственным агентам.[14]
  • Целевой фишинг: Адресату отправляется тщательно составленное электронное письмо, чтобы побудить его установить вредоносное ПО через Троян документ или гонять за атакой размещены на веб-сервере, скомпрометированном или контролируемом владельцем вредоносной программы.[15]
  • Тайный вход может использоваться для заражения системы. Другими словами, шпионы осторожно проникают в жилище или офис цели и устанавливают вредоносное ПО в системе цели.[16]
  • An Монитор восходящего потока или же сниффер это устройство, которое может перехватывать и просматривать данные, передаваемые целевой системой. Обычно это устройство размещается у поставщика услуг Интернета. В Плотоядное животное система, разработанная США ФБР является известным примером системы такого типа. Основываясь на той же логике, что и телефонный перехват, этот тип системы сегодня имеет ограниченное использование из-за широкого использования шифрования во время передачи данных.
  • А беспроводное проникновение Система может использоваться в непосредственной близости от цели, когда цель использует беспроводную технологию. Обычно это система на базе портативного компьютера, которая олицетворяет базовую станцию ​​WiFi или 3G для захвата целевых систем и ретрансляции восходящих запросов в Интернет. Как только целевые системы оказываются в сети, система затем функционирует как Прокси-сервер для инъекций или как Монитор восходящего потока для того, чтобы проникнуть в целевую систему или контролировать ее.
  • А Ключ USB предварительно загруженный вредоносный программный модуль может быть передан или сброшен на целевой сайт.

Агенты киберсбора обычно устанавливаются программным обеспечением доставки полезной нагрузки, созданным с использованием нулевой день атакует и доставляется через зараженные USB-накопители, вложения электронной почты или вредоносные веб-сайты.[17][18] В рамках спонсируемых государством кибер-сборов использовались официальные сертификаты операционных систем вместо того, чтобы полагаться на уязвимости системы безопасности. В операции "Пламя" Microsoft заявляет, что сертификат Microsoft, используемый для олицетворения Центр обновления Windows был кованым;[19] однако некоторые эксперты считают, что он мог быть приобретен через Намек усилия.[20]

Примеры операций

Смотрите также

Рекомендации

  1. ^ а б Пит Уоррен, Эксперты говорят, что в настоящее время широко распространены проекты кибершпионажа, спонсируемые государством, The Guardian, 30 августа 2012 г.
  2. ^ Николь Перлрот, Неуловимое шпионское ПО FinSpy появляется в 10 странах, New York Times, 13 августа 2012 г.
  3. ^ Кевин Г. Коулман, Разожгли ли Stuxnet, Duqu и Flame гонку кибероружий? В архиве 2012-07-08 в Wayback Machine, Правительство AOL, 2 июля 2012 г.
  4. ^ Рэйчел Кинг, Операция High Roller нацелена на корпоративные банковские счета, 26 июня 2012 г.
  5. ^ Фредерик Лардинуа, Евгений Касперский и Микко Хиппонен обсуждают Красный Октябрь и будущее кибервойны на DLD, TechCrunch, 21 января 2013 г.
  6. ^ Вернон Сильвер, Подходящее шпионское ПО FinFisher может захватить iPhone,, Bloomberg, 29 августа 2012 г.
  7. ^ «Вторжение FinFisher IT». Архивировано из оригинал в 2012-07-31. Получено 2012-07-31.
  8. ^ «Команда хакеров, система удаленного управления». Архивировано из оригинал на 2016-12-15. Получено 2013-01-21.
  9. ^ Мэтью Дж. Шварц, Ошибки с оружием: время для цифрового контроля над вооружениями, Информационная неделя, 9 октября 2012 г.
  10. ^ Райан Галлахер, Серый рынок кибервойны, Slate, 16 янв 2013 г.
  11. ^ Даниэле Милан, Проблема шифрования данных, Команда взлома
  12. ^ Роберт Лемос, Flame хранит секреты на USB-накопителях В архиве 2014-03-15 в Wayback Machine, InfoWorld, 13 июня 2012 г.
  13. ^ как шпионить за мобильным телефоном без доступа
  14. ^ Паскаль Глор, (Не) законный перехват В архиве 2016-02-05 в Wayback Machine, SwiNOG # 25, 07 ноября 2012 г.
  15. ^ Мэтью Дж. Шварц, Операция "Красный Октябрь": атакующие использовали копье-фишинг, Информационная неделя, 16 января 2013 г.
  16. ^ Записи ФБР: Убежище, Скрытые записи, Федеральное Бюро Расследований
  17. ^ Ким Зеттер, Шпионское ПО Flame проникает в иранские компьютеры, CNN - Wired, 30 мая 2012 г.
  18. ^ Анн Бель де Брюйн, Cybercriminelen doen poging tot spionage bij DSM, Эльзевьер, 9 июля 2012 г.
  19. ^ Майк Леннон, Сертификат Microsoft был использован для подписи вредоносного ПО "Flame" В архиве 2013-03-07 в Wayback Machine, 4 июня 2012 г.
  20. ^ Поль Вагензей, Вредоносное ПО Flame использует украденную цифровую подпись Microsoft, NBC News, 4 июня 2012 г.
  21. ^ "Красный Октябрь" Расследование дипломатических кибератак, Securelist, 14 января 2013 г.
  22. ^ «Лаборатория Касперского» определила операцию «Красный Октябрь» В архиве 2016-03-04 в Wayback Machine, Пресс-релиз «Лаборатории Касперского», 14 января 2013 г.
  23. ^ Дэйв Маркус и Райан Черстобитофф, Рассекающая операция High Roller В архиве 2013-03-08 в Wayback Machine, McAfee Labs