Русская Википедия:Киберсбор

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Шаблон:К объединению Киберсбор — это использование методов кибервойны для ведения шпионажа, Частный случай кибершипонажа . Действия по киберсбору обычно основаны на внедрении вредоносного ПО в целевую сеть или компьютер для сканирования, сбора и вывода конфиденциальной и(или) секретной информации.

Киберсбор начался ещё в 1996 году, когда широкое распространение доступа к интернету к правительственным и корпоративным системам набрало обороты. С тех пор было зафиксировано множество случаев такой деятельности.[1][2][3]

В дополнение к примерам, включающим в себя государство, киберсбор также использовался организованной преступностью для кражи личных данных и электронных банковских операций, а также корпоративными шпионами. В рамках Операции High Roller использовались программы для сбора информации о ПК и смартфонах, использовавшихся для электронных рейдов на банковские счета.[4] Система сбора Rocra, также известная как «Красный Октябрь», представляет собой «шпионаж по найму» от организованных преступников, которые продают собранную информацию тому, кто больше заплатит.[5]

Платформы и функционал

Инструменты киберсбора были разработаны правительствами и частными лицами практически для каждой существующей версии операционной системы компьютера и смартфона. Известно, что инструменты существуют для компьютеров на базе Microsoft Windows, Apple MacOs и Linux, а также для телефонов iPhone, Android, Blackberry и Windows Phone.[6] Основными производителями коммерческих готовых технологий киберсбора (COTS) являются Gamma Group из Великобритании[7] и Hacking Team из Италии.[8] Компании, занимающиеся производством специализированных инструментов для киберсбора, также часто предлагают COTS-пакеты эксплойтов нулевого дня. Такими компаниями являются, например, Endgame, Inc. и Netragard из США, а также Vupen из Франции.[9] У государственных разведывательных служб часто есть собственные команды для разработки инструментов кибер-сбора, таких как Stuxnet, но им требуется постоянный источник эксплойтов нулевого дня, чтобы внедрять свои инструменты в новые атакуемые системы. Конкретные технические детали таких методов атаки часто продаются за шестизначные суммы долларов США.[10]

Общие функциональные возможности систем киберсбора включают:

  • Сканирование данных : локальное и сетевое хранилище сканируется для поиска и копирования интересующих файлов, таких как документы, электронные таблицы, файлы дизайна, например, файлы Autocad, и системные файлы, такие как файл passwd.
  • Захват местоположения: GPS, Wi-Fi, информация о сети и другие подключённые датчики используются для определения местоположения и перемещения заражённого устройства.
  • Жучок : микрофон устройства может быть активирован для записи звука. Точно так же аудиопотоки, предназначенные для расположенных в локальной сети динамиков и громкоговорителей, могут быть перехвачены на уровне устройства и записаны.
  • Скрытые частные сети, обходящие защиту корпоративной сети. Компьютер, за которым ведётся слежка, может быть подключён к настоящей корпоративной сети, которая тщательно отслеживается на предмет активности вредоносных программ и в то же время подключён к частной сети Wi-Fi за пределами корпоративной сети, из которой происходит утечка конфиденциальной информации с компьютера сотрудника. Такой компьютер легко настраивается двойным агентом, работающим в ИТ-отделе, путём установки второй сетевой карты в компьютер и специального программного обеспечения для удалённого мониторинга компьютера сотрудника, не знающего о наличии дополнительного стороннего подключения, проходящего через эту карту,
  • Перехват Камера : камеры устройства могут быть активированы для скрытой съёмки изображений или видео.
  • Кейлогер и считыватель движений мышки : вредоносная программа, которая фиксирует каждое нажатие клавиши, движение мыши и щелчок, которые делает пользователь. В сочетании со снимками экрана это можно использовать для получения паролей, которые вводятся с помощью виртуальной экранной клавиатуры.
  • Захват экрана : вредоносный агент может делать периодические снимки экрана. Это необходимо для получения доступа к к отображению конфиденциальной информации, которая может не храниться на машине, такой как балансы электронных банковских операций и зашифрованная веб-почта. Также, такие программы можно использовать в сочетании с данными кейлоггера и считывателя движений мышки для определения учётных данных для доступа к другим интернет-ресурсам.
  • Шифрование : собранные данные обычно шифруются во время захвата и могут быть переданы в режиме реального времени или сохранены для последующего изъятия. Аналогичным образом, для каждой конкретной операции обычной практикой является использование определённых возможностей шифрования и полиморфных возможностей программы киберсбора, чтобы гарантировать, что обнаружение на одном месте не поставит под угрозу другие действующие инструменты.
  • Обход шифрования : поскольку агент вредоносного ПО работает в целевой системе со всеми правами доступа и правами учётной записи пользователя пользователя или системного администратора, шифрование может обходится. Например, перехват звука с помощью микрофона и устройств вывода звука позволяет вредоносной программе захватывать обе стороны зашифрованного звонка Skype.[11]
  • Система Изъятия информации : программы для киберсбора обычно извлекают захваченные данные встроенным образом, часто ожидая высокого количества веб-трафика и маскируя передачу под просмотр безопасных веб-страниц. USB-накопители использовались для извлечения информации из систем, защищённых воздушным зазором . Системы вывода информации часто включают использование обратных прокси-систем, которые анонимизируют получателя данных.[12]
  • Механизм репликации : программы могут копировать себя на другие носители или системы, например, программа может заражать файлы в доступном для записи сетевом ресурсе или устанавливать себя на USB-накопители, чтобы заразить компьютеры, защищённые воздушным зазором или иным образом не находящиеся в той же сети.
  • Управление файлами и обслуживание файлов : вредоносное ПО может использоваться для стирания собственных следов из файлов журналов. Оно также может загружать и устанавливать модули или обновления, а также файлы данных. Эта функция также может использоваться для размещения «доказательств» в целевой системе, например, для вставки детской порнографии в компьютер политика или для манипулирования голосами на электронной машине для подсчёта голосов.
  • Правило комбинирования : некоторые программы очень сложны и могут комбинировать вышеперечисленные функции, чтобы обеспечить целенаправленные возможности сбора разведывательной информации. Например, использование данных мест частого нахождения цели через GPS и активности микрофона можно использовать для превращения смартфона в умный жучок, который перехватывает разговоры только в офисе цели.
  • Скомпрометированные мобильные телефоны . Поскольку современные мобильные телефоны все больше похожи на компьютеры общего назначения, эти мобильные телефоны уязвимы для тех же кибератак, что и компьютерные системы, с дополнительной уязвимостью в виде утечки чрезвычайно конфиденциальной информации о разговоре и местоположении злоумышленникам.[13] В ряде недавних случаев сталкинга злоумышленнику получалось получить местоположение (по GPS) мобильного телефона и разговорную информацию, и с их помощью позвонить в близлежащим органам полиции, чтобы выдвинуть ложные обвинения против жертвы в зависимости от его места (варьируется от сообщения информации о посетителе персоналу ресторана, чтобы подразнить жертву, до лжесвидетельства против неё. Например, если жертва была припаркована на большой стоянке, злоумышленники могут позвонить и заявить, что они видели наркотики или насилие, с описанием жертвы и указаниями по GPS.

Проникновение

Существует несколько распространённых способов заражения или доступа к цели:

  • Прокси-сервер для инъекций — это система, которая размещается выше по течению от цели или компании, обычно у интернет-провайдера, созданная для внедрения вредоносного ПО в целевую систему. Например, невинная загрузка, сделанная пользователем, может быть заражена исполняемым файлом шпионской программы на лету, для получения доступа к информации правительственными агентами.[14]
  • Целевой фишинг : тщательно составленное электронное письмо отправляется цели, чтобы побудить их установить вредоносное ПО через заражённый трояном документ или путём прямой атаки, размещённой на веб-сервере, скомпрометированном или контролируемом владельцем вредоносного ПО.[15]
  • Скрытное проникновение может быть использовано для заражения системы. Другими словами, шпионы осторожно проникают в дом или офис цели и устанавливают вредоносное ПО в систему цели.[16]
  • Монитор исходящего трафика или сниффер — это устройство, которое может перехватывать и просматривать данные, передаваемые целевой системой. Обычно это устройство ставится у интернет-провайдера. Система Carnivore, разработанная ФБР США, является известным примером системы такого типа. Основываясь на той же логике, что и телефонный перехват, этот тип систем сегодня имеет ограниченное применение из-за широкого применения шифрования при передаче данных.
  • Беспроводная система проникновения может использоваться вблизи цели, когда цель использует какую либо беспроводную технологию передачи информации. Обычно это система на базе ноутбука, которая имитирует базовую станцию WiFi или 3G для захвата целевых систем и ретрансляции запросов в Интернет. Как только целевые системы находятся в сети, система затем функционирует как прокси-сервер для внедрения или как монитор исходящего трафика для проникновения или мониторинга целевой системы.
  • USB-ключ с предварительно загруженным заразителем вредоносным ПО может быть передан или якобы случайно выброшен рядом с целью.

Программы для киберсбора обычно устанавливаются вместе с полезным программным обеспечением, заражённым с использованием уязвимостей нулевого дня, и доставляемых через заражённые USB-накопители, вложений в письма электронной почты или вредоносные веб-сайты.[17][18] В спонсируемых государством операциях по киберсбору использовались официальные сертификаты операционных систем вместо того, чтобы полагаться на общие уязвимости в системе безопасности. В операции Flame Microsoft заявила, что сертификат Microsoft, используемый для идентификация Центра обновления Windows, был подделан;[19] Однако некоторые эксперты считают, что он мог быть получен благодаря усилиям по сбору разведданных через личный контакт (HUMINT) .[20]

Примеры операций

См. также

Примечания

Шаблон:Примечания Шаблон:Разведывательная деятельность

  1. 1,0 1,1 Pete Warren, State-sponsored cyber espionage projects now prevalent, say experts Шаблон:Wayback, The Guardian, August 30, 2012
  2. Nicole Perlroth, Elusive FinSpy Spyware Pops Up in 10 Countries Шаблон:Wayback, New York Times, August 13, 2012
  3. Kevin G. Coleman, Has Stuxnet, Duqu and Flame Ignited a Cyber Arms Race? Шаблон:Архивировано, AOL Government, July 2, 2012
  4. Rachael King, Operation High Roller Targets Corporate Bank Accounts Шаблон:Wayback, June 26, 2012
  5. Frederic Lardinois, Eugene Kaspersky And Mikko Hypponen Talk Red October And The Future Of Cyber Warfare At DLD Шаблон:Wayback, TechCrunch, January 21, 2013
  6. Vernon Silver, Spyware Matching FinFisher Can Take Over IPhones Шаблон:Wayback,, Bloomberg, August 29, 2012
  7. Шаблон:Cite web
  8. Шаблон:Cite web
  9. Mathew J. Schwartz, Weaponized Bugs: Time For Digital Arms Control Шаблон:Wayback, Information Week, 9 October 2012
  10. Ryan Gallagher, Cyberwar’s Gray Market Шаблон:Wayback, Slate, 16 Jan 2013
  11. Daniele Milan, The Data Encryption Problem Шаблон:Wayback, Hacking Team
  12. Robert Lemos, Flame stashes secrets in USB drives Шаблон:Архивировано, InfoWorld, June 13, 2012
  13. Шаблон:Cite web
  14. Pascal Gloor, (Un)lawful Interception Шаблон:Архивировано, SwiNOG #25, 07 November 2012
  15. Mathew J. Schwartz, Operation Red October Attackers Wielded Spear Phishing Шаблон:Wayback, Information Week, January 16, 2013
  16. FBI Records: The Vault, Surreptitious Entries Шаблон:Wayback, Federal Bureau of Investigation
  17. Kim Zetter, «Flame» spyware infiltrating Iranian computers Шаблон:Wayback, CNN — Wired, May 30, 2012
  18. Anne Belle de Bruijn, Cybercriminelen doen poging tot spionage bij DSM Шаблон:Wayback, Elsevier, July 9, 2012
  19. Mike Lennon, Microsoft Certificate Was Used to Sign «Flame» Malware Шаблон:Архивировано, June 4, 2012
  20. Paul Wagenseil, Flame Malware Uses Stolen Microsoft Digital Signature, NBC News, June 4, 2012
  21. «Red October» Diplomatic Cyber Attacks Investigation Шаблон:Wayback, Securelist, January 14, 2013
  22. Kaspersky Lab Identifies Operation Red October Шаблон:Архивировано, Kaspersky Lab Press Release, January 14, 2013
  23. Dave Marcus & Ryan Cherstobitoff, Dissecting Operation High Roller Шаблон:Архивировано, McAfee Labs