Colecție cibernetică

Adunarea cibernetică  este utilizarea tehnicilor de război cibernetic pentru a conduce spionaj , un caz special de spionaj cibernetic . Activitățile de recoltare cibernetică se bazează de obicei pe injectarea de malware într-o rețea sau un computer vizat pentru a scana, colecta și afișa informații sensibile și/sau sensibile.

Adunarea cibernetică a început încă din 1996, când accesul pe scară largă la Internet la sistemele guvernamentale și corporative a câștigat avânt. De atunci, au fost înregistrate multe cazuri de astfel de activitate. [1] [2] [3]

Pe lângă exemplele care implică statul, colecția cibernetică a fost folosită și de crima organizată pentru furtul de identitate și banca electronică, precum și spionii corporativi. Operațiunea High Roller a folosit programe pentru a colecta informații despre computerele și smartphone-urile utilizate pentru raiduri electronice în conturile bancare. [4] Sistemul de colectare Rocra, cunoscut și sub denumirea de „Octombrie roșie”, este „spionajul pentru închiriere” de la infractorii organizați care vând informațiile colectate celui mai bun ofertant. [5]

Platforme și caracteristici

Instrumentele de colectare cibernetică au fost dezvoltate de guverne și persoane fizice pentru aproape fiecare versiune existentă a sistemului de operare pentru computer și smartphone . Se știe că instrumentele există pentru computere bazate pe Microsoft Windows , Apple MacOs și Linux și pentru telefoanele iPhone , Android , Blackberry și Windows Phone . [6] Principalii producători de tehnologii comerciale de recoltare cibernetică (COTS) sunt Gamma Group din Regatul Unit [7] și Hacking Team din Italia . [8] Companiile care produc instrumente specializate de recoltare cibernetică oferă adesea pachete de exploatare COTS zero-day . Astfel de companii sunt, de exemplu, Endgame, Inc. și Netragard din SUA și Vupen din Franța. [9] Agențiile guvernamentale de informații au adesea propriile echipe pentru a dezvolta instrumente de colectare cibernetică, cum ar fi Stuxnet , dar au nevoie de o sursă constantă de exploit-uri zero-day pentru a-și injecta instrumentele în noile sisteme atacate. Detaliile tehnice specifice ale unor astfel de metode de atac sunt adesea vândute pentru șase cifre în dolari SUA . [zece]

Funcționalitățile comune ale sistemelor de colectare cibernetică includ:

• Scanarea datelor  : Stocarea locală și de rețea este scanată pentru a găsi și copia fișiere de interes, cum ar fi documente, foi de calcul, fișiere de proiectare, cum ar fi fișiere Autocad și fișiere de sistem, cum ar fi fișierul passwd.
• Captură locație : GPS, Wi-Fi, informații de rețea și alți senzori conectați sunt utilizați pentru a localiza și muta un dispozitiv infectat.
• Eroare  : microfonul dispozitivului poate fi activat pentru a înregistra sunet. În mod similar, fluxurile audio destinatedifuzoarelor și difuzoarelor situate în rețeaua locală pot fi interceptate la nivel de dispozitiv și înregistrate.
• Rețele private ascunse care ocolesc securitatea rețelei corporative. Calculatorul monitorizat poate fi conectat la o rețea corporativă reală care este monitorizată îndeaproape pentru activitatea malware, în același timp conectat la o rețea Wi-Fi privată din afara rețelei corporative, din care informații confidențiale sunt scurse din computerul angajatului. Un astfel de computer este ușor de configurat de către un agent dual care lucrează în departamentul IT prin instalarea unei a doua plăci de rețea în computer și a unui software special pentru monitorizarea de la distanță a computerului unui angajat care nu este conștient de prezența unei conexiuni terțe suplimentare. trecând prin acest card,
• Captură cameră  : camerele dispozitivului pot fi activate pentru a captura în secret imagini sau videoclipuri.
• Keylogger și Mouse Movement Reader  : Un program rău intenționat care captează fiecare apăsare a tastei, mișcare a mouse-ului și clic pe care îl face utilizatorul. În combinație cu capturile de ecran, aceasta poate fi folosită pentru a prelua parolele care sunt introduse folosind tastatura virtuală de pe ecran.
• Captură de ecran  : un agent rău intenționat poate face capturi de ecran periodice. Acest lucru este necesar pentru a obține acces la afișarea informațiilor sensibile care este posibil să nu fie stocate pe aparat, cum ar fi soldurile bancare electronice și e-mailul web criptat. De asemenea, astfel de programe pot fi utilizate în combinație cu date de la un keylogger și un cititor de mișcări ale mouse-ului pentru a determina acreditările pentru accesarea altor resurse de Internet.
• Criptare  : Datele colectate sunt de obicei criptate în momentul capturii și pot fi transmise în timp real sau stocate pentru retragere ulterioară. De asemenea, este o practică obișnuită ca o anumită operațiune să folosească anumite capacități de criptare și capacități polimorfe ale programului de cybergathering pentru a se asigura că descoperirea într-un loc nu compromite alte instrumente de operare.
• Ocolire criptare  : Deoarece agentul malware rulează pe sistemul țintă cu drepturi de acces complete și drepturi de utilizator sau administrator de sistem pentru contul de utilizator , criptarea poate fi ocolită. De exemplu, capturarea audio folosind un microfon și dispozitive de ieșire audio permite malware-ului să capteze ambele părți ale unui apel Skype criptat. [unsprezece]
• Sistem de captare a datelor  : programele de recoltare cibernetică extrag de obicei datele capturate într-o manieră inline, așteaptă adesea cantități mari de trafic web și deghizând transmisia ca navigând pe pagini web securizate. Stick- urile USB au fost folosite pentru a prelua informații din sistemele protejate de un spațiu de aer . Sistemele de ieșire implică adesea utilizarea de sisteme proxy inversă care anonimizează destinatarul datelor. [12]
• Mecanism de replicare  : programele se pot copia singure pe alte medii sau sisteme, de exemplu, un program poate infecta fișiere dintr-o partajare de rețea care poate fi scrisă sau se poate instala pe unități USB pentru a infecta computere care au întrerupt sau nu se află în aceeași rețea.
• Gestionarea fișierelor și deservirea fișierelor  : Malware-ul poate fi folosit pentru a-și șterge propriile urme din fișierele jurnal. De asemenea, poate descărca și instala module sau actualizări, precum și fișiere de date. Această caracteristică poate fi folosită și pentru a plasa „dovezi” pe sistemul țintă, cum ar fi inserarea pornografiei infantile în computerul unui politician sau manipularea voturilor pe o mașină electronică de numărare a voturilor.
• Regulă de combinare  : Unele programe sunt foarte complexe și pot combina caracteristicile de mai sus pentru a oferi capabilități de colectare de informații specifice. De exemplu, utilizarea frecventă a datelor despre locația țintei prin intermediul GPS-ului și al microfonului poate fi folosită pentru a transforma un smartphone într-un bug inteligent care interceptează doar conversațiile din biroul țintei.
• Telefoane mobile compromise . Deoarece telefoanele mobile din ziua de azi sunt din ce în ce mai mult ca computerele de uz general, aceste telefoane mobile sunt vulnerabile la aceleași atacuri cibernetice ca și sistemele informatice, cu vulnerabilitatea adăugată de a difuza informații extrem de sensibile despre conversații și locații către intruși. [13] Într-o serie de cazuri recente de urmărire , făptuitorul a putut obține locația (prin GPS) a unui telefon mobil și informații de conversație și să le folosească pentru a suna autoritățile de poliție din apropiere pentru a face acuzații false împotriva victimei, în funcție de el. locația (diferă de la raportarea informațiilor despre personalul restaurantului vizitator pentru a tachina victima în mărturie mincinoasă împotriva lor. De exemplu, dacă victima a fost parcată într-o parcare mare, făptuitorii pot suna și susține că au văzut droguri sau violență, cu o descriere a victima și indicațiile GPS.

Penetrare

Există mai multe modalități comune de a infecta sau de a accesa o țintă:

• Un proxy de injecție  este un sistem care este găzduit în amonte de o țintă sau companie, de obicei un ISP, conceput pentru a injecta malware în sistemul țintă. De exemplu, o descărcare nevinovată făcută de un utilizator poate fi infectată cu un program spyware executabil din mers pentru a obține acces la informații de către agenții guvernamentali. [paisprezece]
• Spear phishing  : un e-mail atent conceput este trimis unei ținte pentru a-i atrage să instaleze malware printr-un document infectat cu troian sau printr-un atac direct găzduit pe un server web compromis sau controlat de proprietarul malware-ului. [cincisprezece]
• Pătrunderea furișă poate fi folosită pentru a infecta un sistem. Cu alte cuvinte, programele spion se strecoară în casa sau biroul țintei și instalează programe malware pe sistemul țintei. [16]
• Un monitor sau un sniffer de ieșire  este un dispozitiv care poate intercepta și vizualiza datele transmise de sistemul țintă. De obicei, acest dispozitiv este instalat la furnizorul de internet. Sistemul Carnivore , dezvoltat de US FBI , este un exemplu celebru al acestui tip de sistem. Bazat pe aceeași logică ca și interceptarea telefonică, acest tip de sistem are o utilizare limitată astăzi din cauza utilizării pe scară largă a criptării în transmisia datelor.
• Un sistem de intruziune fără fir poate fi utilizat în vecinătatea unei ținte atunci când ținta utilizează un anumit tip de tehnologie de transmisie fără fir. Acesta este de obicei un sistem bazat pe laptop care imită o stație de bază WiFi sau 3G pentru a prelua sistemele țintă și a transmite cererile către Internet. Odată ce sistemele țintă sunt online, sistemul funcționează apoi ca un proxy pentru injecție sau ca un monitor de ieșire pentru a infiltra sau monitoriza sistemul țintă.
• O cheie USB cu un infectator de malware pre-încărcat poate fi trecută sau aruncată în mod aparent accidental lângă țintă.

Programele de recoltare cibernetică sunt de obicei instalate împreună cu software-ul util infectat cu vulnerabilități zero-day și livrat prin unități USB infectate, atașamente de e-mail sau site-uri web rău intenționate. [17] [18] Operațiunile de recoltare cibernetice sponsorizate de guvern au folosit certificate oficiale ale sistemului de operare în loc să se bazeze pe vulnerabilități de securitate comune. În Operation Flame , Microsoft a susținut că certificatul Microsoft folosit pentru a identifica Windows Update a fost falsificat; [19] Cu toate acestea, unii experți cred că este posibil să fi fost obținut prin eforturi de inteligență personală de contact (HUMINT). [douăzeci]

Exemple de operații

• Stuxnet
• Flacără (virus informatic)
• duqu
• Rocra[21] [22]
• Operațiunea High Roller[23]

Vezi și

• război cibernetic
• supraveghere computerizată
• Securitatea calculatorului
• Operațiuni de informații chineze în SUA
• Reglementarea securității cibernetice
• Spionaj industrial
• rețea fantomă
• Apărare cibernetică proactivă
• Observare
• Chaos Computer Club [1]
• Dezvăluirea de supraveghere globală (2013 până în prezent)
• Operațiuni de acces individual

Note

1. ↑ 1 2 Pete Warren, proiectele de spionaj cibernetic sponsorizate de stat sunt acum predominante, spun experții Arhivat la 8 aprilie 2022 la Wayback Machine , The Guardian, 30 august 2012
2. ↑ Nicole Perlroth, Elusive FinSpy Spyware apare în 10 țări Arhivat 18 august 2012 la Wayback Machine , New York Times, 13 august 2012
3. ↑ Kevin G. Coleman, Stuxnet, Duqu și Flame au declanșat o cursă cibernetică a armelor? Arhivat din original pe 8 iulie 2012. , Guvernul AOL, 2 iulie 2012
4. ↑ Rachael King, Operation High Roller Targets Corporate Bank Accounts Arhivat 11 decembrie 2017 la Wayback Machine , 26 iunie 2012
5. ↑ Frederic Lardinois, Eugene Kaspersky și Mikko Hypponen vorbesc octombrie roșu și viitorul războiului cibernetic la DLD Arhivat 8 aprilie 2022 la Wayback Machine , TechCrunch, 21 ianuarie 2013
6. ↑ Vernon Silver, Spyware Matching FinFisher Can Take Over IPhones Arhivat 8 martie 2021 la Wayback Machine , Bloomberg, 29 august 2012
7. ↑ FinFisher IT Intrusion . Data accesului: 31 iulie 2012. Arhivat din original la 31 iulie 2012. (nedefinit)
8. ↑ Echipa de hacking, sistem de control de la distanță . Data accesului: 21 ianuarie 2013. Arhivat din original pe 15 decembrie 2016. (nedefinit)
9. ↑ Mathew J. Schwartz, Weaponized Bugs: Time For Digital Arms Control Arhivat la 31 octombrie 2013 la Wayback Machine , Information Week, 9 octombrie 2012
10. ↑ Ryan Gallagher, Cyberwar's Grey Market Arhivat 2 octombrie 2018 la Wayback Machine , Slate, 16 ianuarie 2013
11. ↑ Daniele Milan, The Data Encryption Problem Arhivat 8 aprilie 2022 la Wayback Machine , Echipa de piraterie
12. ↑ Robert Lemos, Flame stashes secrets in USB drives Arhivat 15 martie 2014. , InfoWorld, 13 iunie 2012
13. ↑ cum să spionezi un telefon mobil fără a avea acces . Preluat la 11 mai 2022. Arhivat din original la 8 aprilie 2022. (nedefinit)
14. ↑ Pascal Gloor, (Ne)legal Interception Arhivat 5 februarie 2016. , SwiNOG #25, 07 noiembrie 2012
15. ↑ Mathew J. Schwartz, Operation Red October Attackers Wielded Spear Phishing Arhivat 7 noiembrie 2013 la Wayback Machine , Information Week, 16 ianuarie 2013
16. ↑ FBI Records: The Vault, Subreptitious Entries Arhivat 8 aprilie 2022 la Wayback Machine , Biroul Federal de Investigații
17. ↑ Kim Zetter, „Flame” spyware infiltrating Iranian computers Arhivat 16 aprilie 2016 la Wayback Machine , CNN - Wired, 30 mai 2012
18. ↑ Anne Belle de Bruijn, Cybercriminelen doen poging tot spionage bij DSM Arhivat 4 martie 2016 la Wayback Machine , Elsevier, 9 iulie 2012
19. ↑ Mike Lennon, Certificatul Microsoft a fost folosit pentru a semna programul malware „Flame” [{{{1}}} Arhivat] {{{2}}}. 4 iunie 2012
20. ↑ Paul Wagenseil, Flame Malware Uses Stolen Microsoft Digital Signature , NBC News, 4 iunie 2012
21. ↑ Investigația privind atacurile cibernetice diplomatice „Octombrie roșie” Arhivată 28 iunie 2014 la Wayback Machine , Securelist, 14 ianuarie 2013
22. ↑ Kaspersky Lab identifică Operațiunea Octombrie Roșu Arhivat 4 martie 2016. , Comunicat de presă Kaspersky Lab, 14 ianuarie 2013
23. ↑ Dave Marcus și Ryan Cherstobitoff, Dissecting Operation High Roller Arhivat 8 martie 2013. , McAfee Labs