Малколм Нэнс - Заговор с целью взлома Америки

Чтобы отслеживать APT, кибер-фирмы присваивают APT легко запоминающиеся имена, связанные с кластерным поведением. Они также известны под множеством других имен в зависимости от фирм, которые обнаружили и каталогизировали их вредоносное ПО и действия. По словам Ричарда Бейтлиха из Mandiant, фирмы по кибербезопасности, связанной с FireEye, и бывшего сотрудника агентства по борьбе с информационными войнами ВВС США, практика исходила от аналитиков ВВС США, которые работали с гражданскими лицами и нуждались в способе обсуждения атак с гражданскими лицами2.

APT работают, используя комбинацию кода, социальной инженерии (задавание невинных вопросов и получение секретов) и распространенных человеческих ошибок для достижения своих целей. Они способны адаптироваться к самым современным системам безопасности. Как постоянная угроза, они требуют постоянной бдительности со стороны охранных фирм, разработчиков, правительств, учреждений и частных предприятий. Инструменты, которые используют эти группы, постоянно развиваются, даже несмотря на то, что охранные фирмы отслеживают их развитие и создают патчи для защиты от вторжений.

Нулевой день

Нулевой день (или записанный нулевой день) - это уязвимость в коде, которая остается необнаруженной до тех пор, пока не станет активной, что дает целевому нулевому количеству дней для управления последствиями уязвимости. Если хакеры обнаружат его первыми, целевая организация подвергнется риску, если только хакер не дружелюбен и не работает на них (так называемый хакер White Hat). Если хакер принадлежит к группе злоумышленников (хакеры Black Hat), хакер может использовать уязвимость до тех пор, пока они не будут обнаружены экспертами по кибербезопасности.

Многие хакеры разрабатывают «уязвимости нулевого дня» и могут либо использовать их напрямую, либо продавать. Продажа эксплойтов 0day - прибыльный бизнес на черном рынке через Dark Web. Чтобы найти эти бреши в безопасности, хакеры должны разработать исчерпывающий профиль цели, включающий в себя, какие системы электронной почты используются, какие операционные системы используются и какие проприетарные компьютерные системы используются. Для взлома Национального комитета Демократической партии они использовали специальную компьютерную систему, созданную NGP VAN, специализированной компьютерной компанией, которая помогает прогрессивным некоммерческим организациям. Примеры вредоносного ПО, описанные в отчете CrowdStrike о взломе, показали, что злоумышленники использовали компоненты пользовательского кодирования, которые использовались для этой конкретной атаки на это конкретное программное обеспечение, чтобы получить очень конкретный результат - Watergate 2.0.3

Обнаружив хакерскую активность, жертва часто помогает охранным компаниям и государственным учреждениям определить происхождение злоумышленника или его сторонников. APT из Китая, как правило, сосредоточены только на интересах китайского правительства, которые могут включать в себя деятельность его соседей или, как это было видно в последние несколько лет, китайское усиление в Южно-Китайском море. Некоторые хорошо задокументированные APT, разработанные Китаем, включают Blue Termite, The Elderwood Platform, Hidden Lynx, Deep Panda и Putter Panda (APT2). Органы компьютерной безопасности идентифицировали APT1 как подразделения Народно-освободительной армии Китая (НОАК), а также носили название APT, «Подразделение 61398 НОАК». Он хорошо известен своим вниманием к американским технологическим компаниям.

Иранцев часто называют APT-именами, связанными с котятами. Например, в августе 2016 года Rocket Kitten был признан виновным в взломе шифрования Telegram, представляющем угрозу для диссидентов в Иране или связанных с ним. Другие группы включали Flying Kitten, Magic Kitten и Clever Kitten и это лишь некоторые из них.

Русские, как и китайцы, сосредоточены на Восточной Европе, силах НАТО, США и противодействии российским интересам. Эти атаки варьируются от ударов по электростанции в Украине до атаки на Всемирное антидопинговое агентство в августе 2016 года. Хотя многие фирмы не прихотливают напрямую приписывают атаки национальным государствам, они раскрывают шаблоны метаданных, указывающие на причастность России или Китая. , включая примеры ОС, которые хакеры использовали для компиляции вредоносного ПО, диапазоны IP-адресов, связанные с целевыми фишинговыми атаками, с именами доменов, используемыми для обмана цели при нажатии на горячие ссылки. В отличие от российских киберпреступников, российские правительственные APT ориентированы почти исключительно на кибершпионаж.

Криминальные APT или CRIMINAL BEARS, такие как Anunak / Carbanak и BuhTrap, явно сосредоточены на банковских учреждениях по всему миру. Впервые обнаруженный в декабре 2013 года, Carbanak украл более 1 миллиарда долларов в ходе забастовок против американских розничных продавцов, в том числе офисных магазинов Staples. Они используют методы, очень похожие на другие APT, такие как целевые фишинговые кампании. Spear-phishing - это вредоносное мошенническое электронное письмо, которое, как представляется, исходит из надежного источника. Обычно он содержит гиперссылку на ложную страницу входа для ввода ваших паролей, кредитной карты или другой информации. Это также может быть прямая ссылка на вирус.

Подобно государственным субъектам, метод кражи финансовых данных Carbanak использует вредоносное ПО с бэкдором, который реплицируется как «svhost.exe», прежде чем он подключится к командному серверу, чтобы загрузить больше файлов и начать поиск новых уязвимостей. Затем APT может загрузить дополнительные инструменты для управления зараженным компьютером, включая кейлоггинг, а также сбор данных со снимков экрана, микрофонов и видеокамер. Carbanak даже задокументировал свои операции в виде видео, чтобы оценить процесс и обучить других. Данные, которые эта группа пытается извлечь, могут выходить за рамки одной только финансовой информации, но основной целью было кража средств с помощью мошеннических транзакций.

От механических взломов до кибер-кражи

В разгар «холодной войны» Россия научилась делать скачок от ручного перехвата печатных СМИ к компьютерной эре задолго до того, как появился Интернет. В период с 1978 по 1984 год КГБ провел дерзкую операцию электронной разведки, которая предшествовала выходкам КИБЕР-МЕДВЕДЕЙ. Специальная группа технических специалистов перехватила партию американских электрических пишущих машинок IBM Selectric II и Selectric III, направлявшуюся в американское посольство в Москве и консульство США в Санкт-Петербурге. КГБ вставил устройства под названием Selectric Bug в шестнадцать пишущих машинок4. Специальное электрическое устройство было встроено в полый алюминиевый стержень, который улавливал удар вращающегося печатного шара, когда он ударялся о бумагу. Когда машинистка нажимала на клавиши, жучок передавал каждое нажатие клавиши на ближайший пост прослушивания через радиосигнал ближнего действия. В ответ на это АНБ направило в Москву специальную группу и проверило все компьютеры посольства, кодирующие машины и пишущие машинки. Под кодовым названием GUNMAN группа АНБ в конечном итоге обнаружила ошибки и тайно заменила пишущие машинки на безопасные.5 Тем не менее, раннее осознание КГБ прогресса в технологии печати привело к внедрению одной из самых первых систем обнаружения нажатия клавиш до того, как компьютеры стали обычным явлением. . Обладая этими корпоративными знаниями, КГБ значительно опередил технологию перехвата - способность, которой они скоро овладеют в компьютерный век.