Wie überraschte ein gewisser japanischer Minister die Hacker?
Inhalt
Die Zahl der Techniken zur Verschleierung, Verschleierung und Täuschung des Feindes – sei es Cybercrime oder Cyberwar – nimmt unaufhaltsam zu. Man kann sagen, dass Hacker heute nur noch sehr selten aus Ruhm- oder Geschäftsgründen offenlegen, was sie getan haben.
Eine Reihe technischer Pannen während der Eröffnungsfeier im letzten Jahr Winterolympiade in Korea war es die Folge eines Cyberangriffs. Der Guardian berichtete, dass die Unzugänglichkeit der Spiele-Website, der WLAN-Ausfall im Stadion und kaputte Fernseher im Presseraum das Ergebnis eines viel raffinierteren Angriffs seien als zunächst angenommen. Die Angreifer verschafften sich im Vorfeld Zugriff auf das Netzwerk des Veranstalters und lahmlegten auf sehr listige Weise viele Computer – trotz zahlreicher Sicherheitsmaßnahmen.
Bis seine Auswirkungen bemerkt wurden, war der Feind unsichtbar. Als die Zerstörung bemerkt wurde, blieb sie größtenteils bestehen (1). Es gab mehrere Theorien darüber, wer hinter dem Angriff steckte. Der populärsten zufolge führten die Spuren nach Russland – einigen Kommentatoren zufolge könnte dies eine Rache für die Entfernung russischer Staatsbanner von den Spielen sein.
Andere Verdächtigungen richteten sich gegen Nordkorea, das immer darauf aus ist, seinen südlichen Nachbarn zu hänseln, oder gegen China, das eine Hackermacht ist und oft zu den Verdächtigen zählt. Aber das alles war eher eine detektivische Schlussfolgerung als eine Schlussfolgerung, die auf unwiderlegbaren Beweisen beruhte. Und in den meisten Fällen sind wir nur zu solchen Spekulationen verdammt.
Normalerweise ist es eine schwierige Aufgabe, den Ursprung eines Cyberangriffs zu bestimmen. Kriminelle hinterlassen in der Regel nicht nur keine erkennbaren Spuren, sondern fügen ihren Methoden auch verwirrende Hinweise hinzu.
Es war so Angriff auf polnische Banken Anfang 2017. BAE Systems, das als Erster den aufsehenerregenden Angriff auf die Nationalbank von Bangladesch beschrieb, hat einige der Malware, die auf Computer polnischer Banken abzielte, sorgfältig untersucht und ist zu dem Schluss gekommen, dass ihre Autoren versuchten, sich als russischsprachige Personen auszugeben.
Die Codeelemente enthielten russische Wörter mit seltsamen Transliterationen – zum Beispiel das russische Wort in einer ungewöhnlichen Form „Kunde“. BAE Systems vermutet, dass die Angreifer Google Translate nutzten, um sich mit russischem Vokabular als russische Hacker auszugeben.
Im Mai wurde die 2018 Banco de Chile gab zu, dass es Probleme gab, und empfahl den Kunden, Online- und Mobile-Banking-Dienste sowie Geldautomaten zu nutzen. Auf den Computerbildschirmen in den Abteilungen fanden Experten Anzeichen von Schäden an den Bootsektoren der Festplatten.
Nach mehrtägigem Scannen des Netzwerks wurden Spuren gefunden, die bestätigten, dass es tatsächlich zu einer massiven Festplattenbeschädigung auf Tausenden von Computern gekommen war. Nach inoffiziellen Angaben waren 9 Menschen von den Folgen betroffen. Computer und 500 Server.
Weitere Untersuchungen ergaben, dass der Virus während des Angriffs aus der Bank verschwunden war. 11 Mio.und andere Quellen weisen auf eine noch größere Menge hin! Sicherheitsexperten kamen schließlich zu dem Schluss, dass die beschädigten Bankcomputerfestplatten lediglich eine Tarnung waren, die Hacker stehlen wollten. Offiziell bestätigt die Bank dies jedoch nicht.
Null Tage für die Vorbereitung und null Dateien
Im vergangenen Jahr wurden fast zwei Drittel der weltweit größten Unternehmen erfolgreich von Cyberkriminellen angegriffen. Am häufigsten verwendeten sie Techniken, die auf Zero-Day-Schwachstellen und sogenannten Zero-Day-Schwachstellen basieren. Dateilose Angriffe.
Dies sind die Ergebnisse des Berichts „State of Endpoint Security Risk“, der vom Ponemon Institute im Auftrag von Barkly erstellt wurde. Bei beiden Angriffstechniken handelt es sich um Variationen des unsichtbaren Feindes, die sich immer größerer Beliebtheit erfreuen.
Den Autoren der Studie zufolge ist die Zahl der Angriffe auf die größten Organisationen der Welt allein im vergangenen Jahr um 20 % gestiegen. Aus dem Bericht erfahren wir auch, dass der durchschnittliche Verlust, der durch solche Aktionen entsteht, auf jeweils 7,12 Millionen US-Dollar geschätzt wird, was 440 US-Dollar pro angegriffener Position entspricht. Diese Beträge umfassen sowohl konkrete Schäden, die Kriminelle verursachen, als auch die Kosten für die Wiederherstellung des ursprünglichen Zustands der angegriffenen Systeme.
Typische Angriffe sind äußerst schwer zu bekämpfen, da sie meist auf Software-Schwachstellen basieren, die weder dem Hersteller noch den Anwendern bekannt sind. Erstere sind nicht in der Lage, ein entsprechendes Sicherheitsupdate vorzubereiten, und letztere sind nicht in der Lage, entsprechende Sicherheitsverfahren umzusetzen.
„Bis zu 76 % der erfolgreichen Angriffe basierten auf der Ausnutzung von Zero-Day-Schwachstellen oder bisher unbekannter Malware – was bedeutet, dass sie viermal effektiver waren als klassische Techniken, die zuvor von Cyberkriminellen eingesetzt wurden“, erklärt das Ponemon Institute. .
Zweite unsichtbare Methode Dateilose Angriffebesteht darin, mithilfe verschiedener „Tricks“ bösartigen Code auf einem System auszuführen (z. B. durch das Einschleusen eines Exploits in eine Website), ohne dass der Benutzer eine Datei herunterladen oder ausführen muss.
Kriminelle nutzen diese Methode immer häufiger, da klassische Angriffe, um schädliche Dateien (z. B. Office-Dokumente oder PDFs) an Benutzer zu senden, immer weniger effektiv sind. Fügen wir hinzu, dass Angriffe in der Regel auf bereits bekannten und behobenen Software-Schwachstellen basieren – das Problem besteht darin, dass viele Benutzer ihre Anwendungen nicht oft genug aktualisieren.
Anders als im obigen Szenario legt die Malware die ausführbare Datei nicht auf der Festplatte ab. Stattdessen läuft es im internen Speicher Ihres Computers, dem RAM.
Dies bedeutet, dass herkömmliche Antivirensoftware eine bösartige Infektion nur schwer erkennen kann, da sie die darauf verweisende Datei nicht findet. Durch den Einsatz von Malware kann ein Angreifer seine Anwesenheit auf einem Computer verbergen, ohne Alarm auszulösen, und verschiedene Arten von Schaden anrichten (Diebstahl von Informationen, Herunterladen zusätzlicher Malware, Zugriff auf höhere Berechtigungen usw.).
Dateilose Malware wird auch (AVT) genannt. Einige Experten sagen, es sei sogar noch schlimmer als (APT).
2. Informationen über die gehackte Website
Wenn HTTPS nicht hilft
Es scheint, dass die Zeiten, in denen Kriminelle die Kontrolle über eine Website übernahmen, den Inhalt der Hauptseite veränderten und Informationen in großer Schrift darauf platzierten (2), für immer vorbei sind.
Heutzutage geht es bei Angriffen in erster Linie darum, Geld zu erbeuten, und Kriminelle nutzen alle Methoden, um in jeder Situation einen spürbaren finanziellen Gewinn zu erzielen. Nach einer Übernahme versuchen die Parteien möglichst lange im Verborgenen zu bleiben und Gewinn zu machen bzw. die erworbene Infrastruktur zu nutzen.
Das Einschleusen von Schadcode in schlecht geschützte Websites kann verschiedene Zwecke haben, beispielsweise finanzielle Zwecke (Stehlen von Kreditkarteninformationen). Darüber wurde einmal geschrieben Bulgarische Schriften auf der Website des Amtes des Präsidenten der Republik Polen eingeführt, es war jedoch nicht möglich, eindeutig anzugeben, welchen Zweck die Links zu ausländischen Schriftarten hatten.
Eine relativ neue Methode sind die sogenannten Overlays, die Kreditkartennummern auf den Webseiten von Geschäften stehlen. Der Benutzer einer Website, die HTTPS (3) verwendet, ist bereits darin geschult und daran gewöhnt, zu überprüfen, ob die Website mit diesem charakteristischen Symbol gekennzeichnet ist, und das bloße Vorhandensein des Vorhängeschlosses war ein Beweis dafür, dass keine Bedrohung vorlag.
3. HTTPS-Bezeichnung in der Internetadresse
Dieses übermäßige Vertrauen in die Sicherheit der Website nutzen Kriminelle jedoch auf unterschiedliche Weise aus: Sie nutzen kostenlose Zertifikate, platzieren ein Favicon in Form einer Sperre auf der Website und schleusen infizierten Code in den Quellcode der Website ein.
Eine Analyse, wie einige Online-Shops infiziert wurden, zeigt, dass physische Geldautomaten-Skimmer von Angreifern in Form von . in die Cyberwelt übertragen wurden. Bei einer Standardüberweisung für Einkäufe füllt der Kunde ein Zahlungsformular aus, in dem er alle Daten angibt (Kreditkartennummer, Ablaufdatum, CVV-Nummer, Vor- und Nachname).
Die Zahlung wird vom Geschäft auf herkömmliche Weise autorisiert und der gesamte Kaufvorgang wird korrekt durchgeführt. Bei der Nutzung wird jedoch ein Code (eine Zeile JavaScript genügt) in die Website des Shops eingegeben, der dazu führt, dass die im Formular eingegebenen Daten an den Server der Angreifer gesendet werden.
Eines der bekanntesten Verbrechen dieser Art war ein Angriff auf die Website Laden der US-Republikanischen Partei. Innerhalb von sechs Monaten wurden die Kreditkarteninformationen des Kunden gestohlen und an einen russischen Server übertragen.
Durch die Auswertung des Ladenverkehrs und der Schwarzmarktdaten wurde festgestellt, dass die gestohlenen Kreditkarten den Cyberkriminellen einen Gewinn von 600 US-Dollar einbrachten. Dollar.
Im Jahr 2018 wurden sie auf identische Weise gestohlen. Kundendaten des Smartphone-Herstellers OnePlus. Das Unternehmen gab zu, dass sein Server infiziert war und die übermittelten Kreditkartendaten direkt im Browser versteckt und an unbekannte Kriminelle gesendet wurden. Es wurde berichtet, dass auf diese Weise die Daten von 40 Personen entwendet wurden. Kunden.
Gefahren durch die Ausrüstung
Ein riesiger und wachsender Bereich unsichtbarer Cyber-Bedrohungen besteht aus allen möglichen Techniken, die auf digitalen Geräten basieren, sei es in Form von Chips, die heimlich in scheinbar harmlose Komponenten eingebaut werden, oder in Form von Spionagegeräten.
Die Entdeckung weiterer, die Bloomberg letzten Oktober bekannt gab, Miniatur-Spionagechips in Telekommunikationsgeräten, inkl. in Ethernet-Buchsen (4), die von Apple oder Amazon verkauft wurden, sorgten 2018 für eine Sensation. Die Spur führte zu Supermicro, einem Gerätehersteller in China. Allerdings wurden Bloombergs Angaben anschließend von allen Interessenten – von den Chinesen bis hin zu Apple und Amazon – dementiert.
4. Ethernet-Netzwerkanschlüsse
Wie sich herausstellte, kann auch ohne spezielle Implantate „normale“ Computerhardware für einen stillen Angriff verwendet werden. Es wurde beispielsweise festgestellt, dass ein Fehler in Intel-Prozessoren, über den wir kürzlich in MT geschrieben haben und der in der Fähigkeit besteht, nachfolgende Vorgänge „vorherzusagen“, dazu führen kann, dass jede Software (von einer Datenbank-Engine bis hin zu einfachem JavaScript) in einem ausgeführt wird Browser), um auf die Struktur oder den Inhalt geschützter Bereiche des Kernel-Speichers zuzugreifen.
Vor ein paar Jahren haben wir über Geräte geschrieben, mit denen man elektronische Geräte heimlich hacken und ausspionieren kann. Wir beschrieben einen 50-seitigen „ANT-Shopping-Katalog“, der online verfügbar war. Wie der Spiegel schreibt, wählen von ihm Geheimdienstagenten, die sich auf Cyberkriegsführung spezialisiert haben, ihre „Waffen“.
Die Liste umfasst Produkte verschiedener Klassen, vom Schallwellen- und LOUDAUTO-Hörgerät für 30 bis 40 US-Dollar. CANDYGRAM-Dollar, mit denen Sie Ihre eigene Kopie eines GSM-Mobilfunkmasten installieren können.
Die Liste umfasst nicht nur Hardware, sondern auch spezielle Software wie DROPOUTJEEP, die nach der „Implantation“ in das iPhone unter anderem das Extrahieren von Dateien aus dem Speicher oder das Speichern von Dateien darauf ermöglicht. Auf diese Weise können Sie Mailinglisten, SMS-Nachrichten und Sprachnachrichten empfangen sowie die Kamera überwachen und lokalisieren.
Angesichts der Macht und Allgegenwart unsichtbarer Feinde fühlt man sich manchmal hilflos. Deshalb ist nicht jeder überrascht und amüsiert Haltung Yoshitaka Sakurada, der für die Vorbereitungen für die Olympischen Spiele 2020 in Tokio zuständige Minister und stellvertretende Leiter des Cybersicherheitsstrategiebüros der Regierung, der Berichten zufolge noch nie einen Computer benutzt hat.
Zumindest war er für den Feind unsichtbar und für ihn kein Feind.
Liste von Begriffen im Zusammenhang mit dem unsichtbaren Cyber-Feind
Schädliche Software, die entwickelt wurde, um sich heimlich bei einem System, Gerät, Computer oder einer Software anzumelden oder herkömmliche Sicherheitsmaßnahmen zu umgehen.
Bot – ein separates Gerät, das mit dem Internet verbunden, mit Malware infiziert und Teil eines Netzwerks ähnlich infizierter Geräte ist. Dies ist meistens ein Computer, aber es kann sich auch um ein Smartphone, ein Tablet oder ein IoT-verbundenes Gerät (z. B. einen Router oder einen Kühlschrank) handeln. Es erhält Betriebsanweisungen vom Befehls- und Kontrollserver oder direkt und manchmal von anderen Benutzern im Netzwerk, jedoch immer ohne das Wissen oder Wissen des Eigentümers. Sie können bis zu einer Million Geräte umfassen und bis zu 60 Milliarden Spam pro Tag versenden. Sie werden für betrügerische Zwecke verwendet, um Online-Umfragen zu erhalten, soziale Netzwerke zu manipulieren sowie Spam zu verbreiten und.
– 2017 erschien eine neue Technologie zum Schürfen der Monero-Kryptowährung in Webbrowsern. Das Skript wurde in JavaScript erstellt und kann einfach in jede Seite eingebettet werden. Wenn der Benutzer
Besucht ein Computer eine solche infizierte Seite, wird die Rechenleistung seines Geräts zum Schürfen von Kryptowährungen verwendet. Je mehr Zeit wir auf solchen Websites verbringen, desto mehr CPU-Zyklen können Cyberkriminelle in unserer Hardware ausnutzen.
– Schädliche Software, die eine andere Art von Malware installiert, z. B. einen Virus oder eine Hintertür. oft darauf ausgelegt, eine Erkennung durch herkömmliche Lösungen zu vermeiden
Antivirus, inkl. aufgrund verzögerter Aktivierung.
Malware, die eine Schwachstelle in legitimer Software ausnutzt, um einen Computer oder ein System zu kompromittieren.
– Verwendung von Software zum Sammeln von Informationen in Bezug auf eine bestimmte Art der Tastaturbenutzung, wie z. B. die Folge von alphanumerischen Zeichen/Sonderzeichen, die bestimmten Wörtern zugeordnet sind
Schlüsselwörter wie „bankofamerica.com“ oder „paypal.com“. Wenn es auf Tausenden angeschlossenen Computern läuft, hat ein Cyberkrimineller die Möglichkeit, schnell vertrauliche Informationen zu sammeln.
– Schädliche Software, die speziell entwickelt wurde, um einen Computer, ein System oder Daten zu beschädigen. Es enthält verschiedene Arten von Tools, darunter Trojaner, Viren und Würmer.
– ein Versuch, sensible oder vertrauliche Informationen von einem Benutzer eines mit dem Internet verbundenen Geräts zu erhalten. Cyberkriminelle verwenden diese Methode, um elektronische Inhalte an eine Vielzahl von Opfern zu verteilen und sie zu bestimmten Aktionen aufzufordern, z. B. auf einen Link zu klicken oder auf eine E-Mail zu antworten. In diesem Fall geben sie ohne ihr Wissen personenbezogene Daten wie Benutzername, Passwort, Bank- oder Finanzdaten oder Kreditkartendaten preis. Zu den Verteilungsmethoden gehören E-Mail, Online-Werbung und SMS. Eine Variante ist ein Angriff, der sich gegen bestimmte Personen oder Gruppen von Personen richtet, z. B. Führungskräfte, Prominente oder hochrangige Regierungsbeamte.
– Schädliche Software, die es Ihnen ermöglicht, sich heimlich Zugang zu Teilen eines Computers, einer Software oder eines Systems zu verschaffen. Oft modifiziert es das Hardware-Betriebssystem so, dass es dem Benutzer verborgen bleibt.
- Malware, die einen Computerbenutzer ausspioniert, Tastenanschläge, E-Mails, Dokumente abfängt und sogar ohne sein Wissen eine Videokamera einschaltet.
- eine Methode zum Verstecken einer Datei, Nachricht, eines Bildes oder eines Films in einer anderen Datei. Nutzen Sie diese Technologie, indem Sie scheinbar harmlose Bilddateien hochladen, die komplexe Streams enthalten.
Nachrichten, die über einen C&C-Kanal (zwischen einem Computer und einem Server) gesendet werden und für die illegale Verwendung geeignet sind. Die Bilder können auf einer gehackten Website oder sogar gespeichert werden
in Bild-Sharing-Diensten.
Verschlüsselung/komplexe Protokolle ist eine Methode, die im Code verwendet wird, um Übertragungen zu verschleiern. Einige Malware-basierte Programme wie der Trojaner verschlüsseln sowohl die Malware-Verbreitung als auch die C&C-(Kontroll-)Kommunikation.
– eine Form nicht replizierender Malware, die versteckte Funktionen enthält. Der Trojaner versucht normalerweise nicht, sich in andere Dateien zu verbreiten oder einzuschleusen.
- eine Kombination aus den Wörtern ("Stimme") und. Bedeutet die Nutzung einer Telefonverbindung, um vertrauliche persönliche Informationen wie Bank- oder Kreditkartennummern zu erhalten.
Typischerweise erhält das Opfer eine Robocall-Nachricht von jemandem, der vorgibt, ein Finanzinstitut, einen Internetdienstanbieter oder ein Technologieunternehmen zu vertreten. In der Nachricht wird möglicherweise nach einer Kontonummer oder PIN gefragt. Sobald die Verbindung aktiviert ist, wird sie über den Dienst an den Angreifer weitergeleitet, der dann weitere sensible persönliche Daten anfordert.
(BEC) ist eine Art Angriff, der darauf abzielt, Personen eines bestimmten Unternehmens oder einer bestimmten Organisation zu täuschen und durch Identitätsdiebstahl Geld zu stehlen
regiert durch. Kriminelle verschaffen sich durch einen generischen Angriff oder Malware Zugang zu einem Unternehmenssystem. Anschließend untersuchen sie die Organisationsstruktur des Unternehmens, seine Finanzsysteme sowie den E-Mail-Stil und -Zeitplan des Managements.
Siehe auch:
