چگونه یک وزیر ژاپنی هکرها را غافلگیر کرد؟

تعداد روش‌های پنهان‌سازی، پنهان‌سازی و گمراه‌کردن دشمن - چه جنایت سایبری و چه جنگ سایبری - به طور غیرقابل اجتنابی در حال افزایش است. می توان گفت که امروزه هکرها به ندرت، به خاطر شهرت یا کسب و کار، کارهایی که انجام داده اند را فاش می کنند.

یک سری نقص فنی در مراسم افتتاحیه سال گذشته المپیک زمستانی در کره، نتیجه یک حمله سایبری بود. گاردین گزارش داد که در دسترس نبودن وب‌سایت بازی‌ها، خرابی وای‌فای در استادیوم و خرابی تلویزیون‌ها در اتاق مطبوعات نتیجه حمله‌ای بسیار پیچیده‌تر از آن چیزی است که در ابتدا تصور می‌شد. مهاجمان از قبل به شبکه سازمان‌دهندگان دسترسی پیدا کردند و بسیاری از رایانه‌ها را به روشی بسیار حیله‌گر غیرفعال کردند - با وجود اقدامات امنیتی متعدد.

تا زمانی که آثار آن دیده نشد، دشمن نامرئی بود. هنگامی که تخریب دیده شد، تا حد زیادی به همین شکل باقی ماند (1). چندین نظریه در مورد اینکه چه کسی پشت این حمله بود وجود دارد. به گفته محبوب ترین ها، آثار به روسیه منتهی شد - به گفته برخی از مفسران، این می تواند انتقام حذف بنرهای دولتی روسیه از بازی ها باشد.

سایر ظن ها متوجه کره شمالی است که همیشه به دنبال مزاحمت همسایه جنوبی خود است، یا چین که یک قدرت هکر است و اغلب در میان مظنونان قرار دارد. اما همه اینها بیشتر یک استنباط کارآگاهی بود تا نتیجه گیری مبتنی بر شواهد غیرقابل انکار. و در بیشتر این موارد، ما محکوم به این نوع حدس و گمان هستیم.

به عنوان یک قاعده، ایجاد نویسندگی یک حمله سایبری یک کار دشوار است. مجرمان نه تنها معمولاً هیچ ردی از خود باقی نمی گذارند، بلکه سرنخ های گیج کننده ای را نیز به روش های خود اضافه می کنند.

اینجوری بود حمله به بانک های لهستان در ابتدای سال 2017 BAE Systems که برای اولین بار حمله پرمخاطب به بانک ملی بنگلادش را توصیف کرد، برخی از عناصر بدافزاری را که رایانه‌های بانک‌های لهستانی را هدف قرار می‌داد به دقت بررسی کرد و به این نتیجه رسید که نویسندگان آن تلاش می‌کردند هویت افراد روسی زبان را جعل کنند.

عناصر کد حاوی کلمات روسی با نویسه‌گردانی عجیب بود - به عنوان مثال، کلمه روسی به شکل غیرمعمول "مشتری". BAE Systems مظنون است که مهاجمان با استفاده از واژگان روسی از Google Translate برای تظاهر به هکرهای روسی استفاده کرده اند.

در ماه مه 2018 Banco de Chile اذعان کرد که مشکلاتی دارد و توصیه کرد که مشتریان از خدمات بانکداری آنلاین و موبایلی و همچنین دستگاه های خودپرداز استفاده کنند. در صفحه نمایش رایانه های مستقر در بخش ها، کارشناسان نشانه هایی از آسیب به بخش های بوت دیسک ها را پیدا کردند.

پس از چندین روز گشت و گذار در شبکه، ردپایی یافت شد که تأیید می کرد که خرابی گسترده دیسک واقعاً در هزاران رایانه رخ داده است. بر اساس اطلاعات غیر رسمی، عواقب آن 9 هزار نفر را تحت تاثیر قرار داده است. کامپیوتر و 500 سرور

تحقیقات بیشتر نشان داد که ویروس در زمان حمله از بانک ناپدید شده بود. 11 میلیونو منابع دیگر به مبلغی حتی بزرگتر اشاره می کنند! کارشناسان امنیتی در نهایت به این نتیجه رسیدند که دیسک‌های آسیب‌دیده رایانه بانکی صرفاً یک استتار برای هکرها برای سرقت است. با این حال، بانک به طور رسمی این را تایید نمی کند.

صفر روز برای آماده سازی و صفر فایل

در طول سال گذشته، تقریباً دو سوم از بزرگترین شرکت های جهان با موفقیت مورد حمله مجرمان سایبری قرار گرفته اند. آنها اغلب از تکنیک های مبتنی بر آسیب پذیری های روز صفر و به اصطلاح استفاده می کردند. حملات بدون فایل

اینها یافته های گزارش وضعیت خطر امنیتی نقطه پایانی است که توسط موسسه Ponemon به نمایندگی از Barkly تهیه شده است. هر دو تکنیک حمله انواعی از دشمن نامرئی هستند که روز به روز محبوبیت بیشتری پیدا می کنند.

به گفته نویسندگان این مطالعه، تنها در سال گذشته، تعداد حملات علیه بزرگترین سازمان های جهان 20 درصد افزایش یافته است. همچنین از این گزارش می آموزیم که میانگین ضرر ناشی از چنین اقداماتی 7,12 میلیون دلار تخمین زده می شود که 440 دلار به ازای هر موقعیتی است که مورد حمله قرار گرفته است. این مبالغ شامل خسارات خاص ناشی از مجرمان و هزینه های بازگرداندن سیستم های حمله شده به حالت اولیه می شود.

مقابله با حملات معمولی بسیار دشوار است، زیرا معمولاً بر اساس آسیب‌پذیری‌هایی در نرم‌افزار است که نه سازنده و نه کاربران از آن آگاه نیستند. اولی نمی تواند به روز رسانی امنیتی مناسب را آماده کند و دومی نمی تواند رویه های امنیتی مناسب را اجرا کند.

نمایندگان مؤسسه پونمون توضیح می‌دهند: «حدود 76 درصد از حملات موفقیت‌آمیز مبتنی بر بهره‌برداری از آسیب‌پذیری‌های روز صفر یا برخی بدافزارهای ناشناخته قبلی بود، به این معنی که آنها چهار برابر مؤثرتر از تکنیک‌های کلاسیکی بودند که قبلاً توسط مجرمان سایبری استفاده می‌شد.» .

روش نامرئی دوم، حملات بدون فایل، اجرای کدهای مخرب بر روی سیستم با استفاده از "ترفندهای" مختلف (مثلاً با تزریق یک اکسپلویت به یک وب سایت)، بدون نیاز به کاربر برای دانلود یا اجرای هیچ فایلی است.

مجرمان بیشتر و بیشتر از این روش استفاده می کنند زیرا حملات کلاسیک برای ارسال فایل های مخرب (مانند اسناد آفیس یا فایل های PDF) به کاربران کمتر و کمتر موثر می شوند. علاوه بر این، حملات معمولاً مبتنی بر آسیب‌پذیری‌های نرم‌افزاری هستند که قبلاً شناخته شده و برطرف شده‌اند - مشکل این است که بسیاری از کاربران برنامه‌های خود را اغلب به‌اندازه کافی به‌روزرسانی نمی‌کنند.

برخلاف سناریوی بالا، بدافزار فایل اجرایی را روی دیسک قرار نمی دهد. در عوض روی حافظه داخلی کامپیوتر شما که همان RAM است اجرا می شود.

این بدان معنی است که نرم افزار آنتی ویروس سنتی برای تشخیص یک عفونت مخرب کار سختی خواهد داشت زیرا فایلی را که به آن اشاره می کند را پیدا نمی کند. از طریق استفاده از بدافزار، مهاجم می‌تواند بدون به صدا درآوردن آلارم حضور خود را در رایانه پنهان کند و باعث آسیب‌های مختلف (سرقت اطلاعات، دانلود بدافزار اضافی، دسترسی به امتیازات بالاتر و غیره) شود.

بدافزار بدون فایل (AVT) نیز نامیده می شود. برخی از کارشناسان می گویند که حتی بدتر از (APT) است.

وقتی HTTPS کمکی نمی کند

به نظر می رسد دورانی که مجرمان کنترل سایت را در دست گرفته، محتوای صفحه اصلی را تغییر داده و اطلاعات را با حروف بزرگ (2) روی آن قرار می دهند، برای همیشه گذشته است.

در حال حاضر هدف از حملات در درجه اول به دست آوردن پول است و مجرمان از همه روش ها برای به دست آوردن منافع مالی ملموس در هر شرایطی استفاده می کنند. پس از تصاحب، طرفین سعی می کنند تا جایی که ممکن است پنهان بمانند و سود ببرند یا از زیرساخت های به دست آمده استفاده کنند.

تزریق کد مخرب به وب سایت هایی که محافظت ضعیفی دارند می تواند اهداف مختلفی مانند مالی (سرقت اطلاعات کارت اعتباری) داشته باشد. یک بار در مورد آن نوشته شده بود خط های بلغاری در وب سایت دفتر ریاست جمهوری لهستان معرفی شد، اما نمی توان به وضوح بیان کرد که هدف از پیوند به فونت های خارجی چیست.

یک روش نسبتا جدید، به اصطلاح، پوشش هایی است که شماره کارت اعتباری را در وب سایت های فروشگاهی سرقت می کند. کاربر یک وب‌سایت با استفاده از HTTPS(3) قبلاً آموزش دیده و عادت کرده است که بررسی کند آیا یک وب‌سایت مشخص با این نماد مشخص شده است یا خیر، و وجود قفل به دلیل عدم وجود تهدید است.

با این حال، مجرمان از این اتکای بیش از حد به امنیت سایت به روش های مختلف استفاده می کنند: آنها از گواهینامه های رایگان استفاده می کنند، یک فاویکون به شکل قفل در سایت قرار می دهند و کد آلوده را به کد منبع سایت تزریق می کنند.

تجزیه و تحلیل روش های آلوده شدن برخی فروشگاه های آنلاین نشان می دهد که مهاجمان اسکیمرهای فیزیکی دستگاه های خودپرداز را در قالب . هنگام انجام انتقال استاندارد برای خرید، مشتری یک فرم پرداخت را پر می کند که در آن تمام داده ها (شماره کارت اعتباری، تاریخ انقضا، شماره CVV، نام و نام خانوادگی) را نشان می دهد.

پرداخت به روش سنتی توسط فروشگاه مجاز بوده و تمامی مراحل خرید به درستی انجام می شود. اما در صورت استفاده، یک کد (یک خط جاوا اسکریپت کافی است) به سایت فروشگاه تزریق می شود که باعث می شود داده های وارد شده در فرم به سرور مهاجمان ارسال شود.

یکی از معروف ترین جنایات از این دست، حمله به وب سایت بود فروشگاه حزب جمهوری خواه ایالات متحده آمریکا. ظرف شش ماه، اطلاعات کارت اعتباری مشتری به سرقت رفت و به یک سرور روسی منتقل شد.

با ارزیابی ترافیک فروشگاه ها و داده های بازار سیاه مشخص شد که کارت های اعتباری سرقت شده سودی بالغ بر 600 هزار دلار برای مجرمان سایبری به همراه داشته است. دلار

در سال 2018، آنها به روشی مشابه به سرقت رفتند. اطلاعات مشتریان سازنده گوشی هوشمند OnePlus. این شرکت اعتراف کرد که سرور آن آلوده شده است و جزئیات کارت اعتباری منتقل شده دقیقاً در مرورگر پنهان شده و برای مجرمان ناشناس ارسال شده است. گزارش شده است که داده های 40 نفر از این طریق تخصیص داده شده است. مشتریان

خطرات در تجهیزات

منطقه بزرگ و رو به رشدی از تهدیدات سایبری نامرئی از انواع تکنیک‌های مبتنی بر تجهیزات دیجیتالی تشکیل شده است، چه به شکل تراشه‌هایی که مخفیانه در اجزای به ظاهر بی‌ضرر یا دستگاه‌های جاسوسی نصب شده‌اند.

در مورد کشف موارد اضافی که در اکتبر سال گذشته توسط بلومبرگ اعلام شد، تراشه های جاسوسی مینیاتوری در تجهیزات مخابراتی، از جمله در رسانه های اترنت (4) فروخته شده توسط اپل یا آمازون در سال 2018 بسیار پر شور شد. این مسیر به سوپرمیکرو، سازنده دستگاه در چین منتهی شد. با این حال، اطلاعات بلومبرگ متعاقباً توسط همه طرف های علاقه مند - از چینی ها گرفته تا اپل و آمازون - تکذیب شد.

همانطور که مشخص شد، همچنین بدون ایمپلنت های خاص، سخت افزار رایانه "معمولی" می تواند در یک حمله خاموش استفاده شود. به عنوان مثال، مشخص شده است که یک اشکال در پردازنده های اینتل، که اخیراً در MT درباره آن نوشتیم، که شامل توانایی "پیش بینی" عملیات بعدی است، می تواند به هر نرم افزاری (از موتور پایگاه داده گرفته تا جاوا اسکریپت ساده) اجازه اجرا دهد. در مرورگر) برای دسترسی به ساختار یا محتویات مناطق حفاظت شده حافظه هسته.

چند سال پیش در مورد تجهیزاتی نوشتیم که به شما امکان می دهد مخفیانه دستگاه های الکترونیکی را هک و جاسوسی کنید. ما یک 50 صفحه "کاتالوگ خرید ANT" را توصیف کردیم که به صورت آنلاین در دسترس بود. همانطور که اشپیگل می نویسد، از اوست که ماموران اطلاعاتی متخصص در جنگ سایبری "سلاح" خود را انتخاب می کنند.

این لیست شامل محصولاتی از کلاس های مختلف، از موج صوتی و دستگاه شنود 30 دلاری LOUDAUTO تا 40 دلار بود. دلار CANDYGRAM، که برای نصب کپی خود از یک برج سلولی GSM استفاده می شود.

این لیست نه تنها شامل سخت افزار، بلکه نرم افزارهای تخصصی مانند DROPOUTJEEP نیز می شود که پس از "کاشته شدن" در آیفون، از جمله موارد دیگر، امکان بازیابی فایل ها را از حافظه آن یا ذخیره فایل ها در آن فراهم می کند. بنابراین، شما می توانید لیست های پستی، پیام های SMS، پیام های صوتی و همچنین کنترل و مکان یابی دوربین را دریافت کنید.

در مواجهه با قدرت و حضور همه جانبه دشمنان نامرئی، گاهی اوقات احساس ناتوانی می کنید. به همین دلیل است که همه شگفت زده و سرگرم نمی شوند نگرش یوشیتاکا ساکورادا، وزیر مسئول آماده سازی برای المپیک 2020 توکیو و معاون دفتر استراتژی امنیت سایبری دولت که ظاهراً هرگز از رایانه استفاده نکرده است.

حداقل او برای دشمن نامرئی بود، نه برای او دشمن.

همچنین ببینید: