Кибершпионаж

Получение секретов с помощью Интернета

Кибершпионаж , кибершпионаж или киберсбор — это действие или практика получения секретов и информации без разрешения и ведома владельца информации с использованием методов в Интернете, сетях или отдельных компьютерах посредством использования прокси-серверов , ^{[1 ]} методы взлома и вредоносное программное обеспечение, включая троянские кони и шпионское ПО . ^{[2] [3]} Кибершпионаж может использоваться для нападения на различных субъектов — отдельных лиц, конкурентов, соперников, группы, правительства и других — с целью получения личных, экономических, политических или военных преимуществ. Оно может быть полностью совершено в режиме онлайн с компьютерных столов профессионалов на базах в далеких странах или может включать проникновение в дом обычных шпионов и кротов , прошедших компьютерное обучение , или в других случаях может быть преступным делом рук злонамеренных хакеров- любителей и программистов-программистов . ^[2]

История

Кибершпионаж начался еще в 1996 году, когда широкое распространение подключения к Интернету в государственных и корпоративных системах набрало обороты. С тех пор случаев подобных действий было немало. ^{[4] [5] [6]}

Подробности

Кибершпионаж обычно предполагает использование такого доступа к секретам и секретной информации или контроля над отдельными компьютерами или целыми сетями для получения стратегического преимущества, а также для психологической , политической и физической подрывной деятельности и саботажа . ^[7] В последнее время кибершпионаж включает в себя анализ общественной активности на сайтах социальных сетей, таких как Facebook и Twitter . ^[8]

Такие операции, как некибершпионаж, обычно являются незаконными в стране-жертве, хотя они полностью поддерживаются высшим правительством страны-агрессора. Этическая ситуация также зависит от точки зрения, особенно от мнения вовлеченных правительств. ^[7]

Платформы и функциональность

Инструменты киберсбора были разработаны правительствами и частными организациями практически для каждой операционной системы компьютера и смартфона. Известно, что инструменты существуют для компьютеров Microsoft, Apple и Linux, а также телефонов iPhone, Android, Blackberry и Windows. ^[9] Основными производителями готовых коммерческих технологий киберсбора (COTS) являются Gamma Group из Великобритании ^[10] и Hacking Team из Италии. ^[11] Компании, специализирующиеся на разработке инструментов для кибер-сбора, многие из которых предлагают COTS-пакеты эксплойтов нулевого дня , включают Endgame, Inc. , Netragard из США и Vupen из Франции. ^[12] Государственные спецслужбы часто имеют свои собственные команды для разработки инструментов кибер-сбора, таких как Stuxnet , но им требуется постоянный источник эксплойтов нулевого дня , чтобы вставлять свои инструменты в новые целевые системы. Конкретные технические детали этих методов атаки часто продаются за шестизначные суммы. ^[13]

Общие функциональные возможности систем киберсбора включают в себя:

• Сканирование данных : локальное и сетевое хранилище сканируются для поиска и копирования интересующих файлов, часто это документы, электронные таблицы, файлы дизайна, такие как файлы Autocad, и системные файлы, такие как файл passwd.
• Местоположение захвата : GPS, Wi-Fi, сетевая информация и другие подключенные датчики используются для определения местоположения и перемещения проникшего устройства.
• Ошибка : микрофон устройства можно активировать для записи звука. Аналогично, аудиопотоки, предназначенные для локальных динамиков, могут быть перехвачены на уровне устройства и записаны.
• Скрытые частные сети , которые обходят безопасность корпоративной сети. Компьютер, за которым ведется слежка, может быть подключен к законной корпоративной сети, которая тщательно отслеживается на предмет активности вредоносных программ и в то же время принадлежит частной сети Wi-Fi за пределами сети компании, из которой происходит утечка конфиденциальной информации с компьютера сотрудника. Подобный компьютер легко настраивается двойным агентом, работающим в ИТ-отделе, путем установки второй беспроводной карты в компьютер и специального программного обеспечения для удаленного мониторинга компьютера сотрудника через эту вторую интерфейсную карту без его ведома о боковой полосе. канал связи, извлекающий информацию из его компьютера.
• Камера : камеры устройства можно активировать для скрытой съемки изображений или видео.
• Кейлоггер и регистратор мыши : агент вредоносного ПО может фиксировать каждое нажатие клавиши, движение мыши и щелчок, который делает целевой пользователь. В сочетании со снимками экрана это можно использовать для получения паролей, которые вводятся с помощью виртуальной экранной клавиатуры.
• Screen Grabber : агент вредоносного ПО может периодически делать снимки экрана. Помимо отображения конфиденциальной информации, которая не может храниться на компьютере, такой как балансы электронных банковских операций и зашифрованная веб-почта, их можно использовать в сочетании с данными регистратора ключей и мыши для определения учетных данных для доступа к другим ресурсам Интернета.
• Шифрование . Собранные данные обычно шифруются во время захвата и могут быть переданы в реальном времени или сохранены для последующей эксфильтрации. Аналогично, обычной практикой для каждой конкретной операции является использование определенных возможностей шифрования и полиморфизма агента киберсбора, чтобы гарантировать, что обнаружение в одном месте не поставит под угрозу другие.
• Обход шифрования : поскольку агент вредоносного ПО работает в целевой системе со всем доступом и правами учетной записи пользователя целевого или системного администратора, шифрование обходит. Например, перехват звука с помощью микрофона и устройств вывода звука позволяет вредоносному ПО перехватывать обе стороны зашифрованного звонка Skype. ^[14]
• Эксфильтрация : агенты киберсбора обычно фильтруют захваченные данные дискретным образом, часто ожидая высокого веб-трафика и маскируя передачу под безопасный просмотр веб-страниц. USB-накопители использовались для извлечения информации из систем, защищенных воздушным зазором . Системы эксфильтрации часто включают использование систем обратного прокси , которые анонимизируют получателя данных. ^[15]
• Репликация : агенты могут реплицировать себя на другие носители или системы, например, агент может заражать файлы на записываемом сетевом ресурсе или устанавливать себя на USB-накопители, чтобы заразить компьютеры, защищенные воздушным зазором или иным образом не находящиеся в той же сети.
• Манипулирование файлами и обслуживание файлов . Вредоносное ПО может использоваться для стирания своих следов из файлов журналов. Он также может загружать и устанавливать модули или обновления, а также файлы данных. Эту функцию также можно использовать для размещения «доказательств» в целевой системе, например, для вставки детской порнографии в компьютер политика или для манипулирования голосами в электронной машине подсчета голосов.
• Правила комбинирования . Некоторые агенты очень сложны и способны комбинировать вышеперечисленные функции, чтобы обеспечить возможности целевого сбора разведывательной информации. Например, использование ограничивающих рамок GPS и активности микрофона можно использовать для превращения смартфона в интеллектуальное устройство, которое перехватывает разговоры только в пределах офиса объекта.
• Скомпрометированные мобильные телефоны . Поскольку современные мобильные телефоны все больше похожи на компьютеры общего назначения, эти мобильные телефоны уязвимы для тех же атак с кибер-сбором, что и компьютерные системы, и уязвимы для утечки чрезвычайно конфиденциальной информации о разговорах и местонахождении злоумышленникам. ^{[16] В ряде недавних случаев} киберпреследования сообщалось об утечке данных о местоположении мобильного телефона и разговорной информации злоумышленнику, когда злоумышленник мог использовать местоположение жертвы по GPS, чтобы позвонить в близлежащие предприятия и в полицию, чтобы выдвинуть ложные обвинения против жертвы. в зависимости от его местонахождения это может варьироваться от сообщения информации персоналу ресторана, чтобы подразнить жертву, или дачи ложных показаний против жертвы. Например, если жертва была припаркована на большой парковке, злоумышленники могут позвонить и заявить, что видели, как происходила деятельность, связанная с наркотиками или насилием, с описанием жертвы и указаниями ее местоположения по GPS.

Проникновение

Существует несколько распространенных способов заражения или доступа к цели:

• Прокси -сервер для внедрения — это система, которая устанавливается выше целевого лица или компании, обычно у интернет-провайдера, и которая внедряет вредоносное ПО в целевую систему. Например, в невинную загрузку, сделанную пользователем, можно на лету внедрить исполняемый файл вредоносного ПО, так что целевая система станет доступной для правительственных агентов. ^[17]
• Целевой фишинг : целевому объекту отправляется тщательно составленное электронное письмо с целью побудить его установить вредоносное ПО через троянский документ или диск путем атаки , размещенный на веб-сервере, скомпрометированном или контролируемом владельцем вредоносного ПО. ^[18]
• Тайный вход может быть использован для заражения системы. Другими словами, шпионы осторожно проникают в дом или офис цели и устанавливают вредоносное ПО в систему цели. ^[19]
• Монитор или анализатор восходящего потока — это устройство, которое может перехватывать и просматривать данные, передаваемые целевой системой. Обычно это устройство устанавливается у интернет-провайдера. Система Carnivore , разработанная ФБР США , является известным примером системы такого типа. Основанный на той же логике, что и перехват телефонных разговоров , этот тип системы сегодня имеет ограниченное применение из-за широкого использования шифрования при передаче данных.
• Беспроводную систему проникновения можно использовать вблизи цели, когда цель использует беспроводную технологию. Обычно это система на базе ноутбука, которая имитирует базовую станцию ​​Wi-Fi или 3G для захвата целевых систем и ретрансляции запросов в Интернет. Как только целевые системы оказываются в сети, система функционирует как прокси-сервер для внедрения или как вышестоящий монитор для проникновения или мониторинга целевой системы.
• USB -ключ с предварительно загруженным вирусом-инфектором может быть передан или сброшен на целевой сайт.

Агенты киберсбора обычно устанавливаются с помощью программного обеспечения для доставки полезной нагрузки, созданного с использованием атак нулевого дня и доставляемого через зараженные USB-накопители, вложения электронной почты или вредоносные веб-сайты. ^{[20] [21]} В усилиях по сбору кибер-сборов, спонсируемых государством, использовались официальные сертификаты операционной системы вместо того, чтобы полагаться на уязвимости безопасности. В ходе операции Flame Microsoft заявляет, что сертификат Microsoft, используемый для выдачи себя за Центр обновления Windows , был подделан; ^[22] однако некоторые эксперты полагают, что он мог быть получен благодаря усилиям HUMINT . ^[23]

Примеры операций

• Стакснет
• Пламя
• Дуку
• Бундестроянер
• Рокра ^{[24] [25]}
• Операция «Хайроллер» ^[26]
• Cosy Bear : хорошо обеспеченная ресурсами, преданная своему делу и организованная группа кибершпионажа, которая, по мнению F-Secure, работает на Российскую Федерацию как минимум с 2008 года. ^{[27] [28] [29]}

Смотрите также

• Компьютерный клуб Хаос
• Операции китайской разведки в США
• Компьютерная безопасность
• Компьютерное наблюдение
• Регулирование кибербезопасности
• Кибершпионаж за университетами
• Разведка киберугроз
• Кибервойна
• Программное обеспечение для мониторинга сотрудников
• GhostNet
• Промышленный шпионаж
• Проактивная киберзащита
• Сталкерварь
• Наблюдение
• Титановый дождь
• Утечка файлов Vulkan

Рекомендации

1. «Случаи использования локальной прокси-сети» . ГеоСерф . Проверено 28 сентября 2017 г.
2. «Кибершпионаж». Журнал ПК.
3. «Кибершпионаж». Техопедия.
4. Пит Уоррен, Спонсируемые государством проекты кибершпионажа сейчас преобладают, говорят эксперты , The Guardian, 30 августа 2012 г.
5. Николь Перлрот, Неуловимое шпионское ПО FinSpy появляется в 10 странах , New York Times, 13 августа 2012 г.
6. Кевин Г. Коулман, Спровоцировали ли Stuxnet, Duqu и Flame гонку кибервооружений? Архивировано 8 июля 2012 г. в Wayback Machine , AOL Government, 2 июля 2012 г.
7. Мессмер, Эллен. «Кибершпионаж: растущая угроза бизнесу». Архивировано из оригинала 26 января 2021 года . Проверено 21 января 2008 г.
8. «Пять способов, которыми правительство шпионит за вами» . Ежедневный отчет LockerGnome . 7 ноября 2011 г. Архивировано из оригинала 18 октября 2019 г. . Проверено 9 февраля 2019 г.
9. Вернон Сильвер, Шпионское ПО, совместимое с FinFisher, может захватить iPhone , Bloomberg, 29 августа 2012 г.
10. "Вторжение FinFisher в ИТ" . Архивировано из оригинала 31 июля 2012 г. Проверено 31 июля 2012 г.
11. «Команда хакеров, система дистанционного управления» . Архивировано из оригинала 15 декабря 2016 г. Проверено 21 января 2013 г.
12. Мэтью Дж. Шварц, Ошибки с оружием: время цифрового контроля над вооружениями , Информационная неделя, 9 октября 2012 г.
13. Райан Галлахер, Серый рынок Кибервойны , Slate, 16 января 2013 г.
14. Даниэле Милан, Проблема шифрования данных. Архивировано 8 апреля 2022 г. в Wayback Machine , команда хакеров.
15. Роберт Лемос, Flame хранит секреты на USB-накопителях. Архивировано 15 марта 2014 г. в Wayback Machine , InfoWorld, 13 июня 2012 г.
16. как шпионить за мобильным телефоном, не имея доступа
17. Паскаль Глор, (Не)законный перехват. Архивировано 5 февраля 2016 г. в Wayback Machine , SwiNOG № 25, 7 ноября 2012 г.
18. Мэтью Дж. Шварц, Злоумышленники операции «Красный Октябрь» применили целевой фишинг , Information Week, 16 января 2013 г.
19. Отчеты ФБР: Хранилище, тайные записи , Федеральное бюро расследований.
20. Ким Зеттер, Шпионское ПО «Пламя», проникающее в иранские компьютеры , CNN — Wired, 30 мая 2012 г.
21. Анн Бель де Брёйн, Киберпреступники занимаются шпионажем в DSM , Elsevier, 9 июля 2012 г.
22. Майк Леннон, Сертификат Microsoft использовался для подписи вредоносного ПО Flame. Архивировано 7 марта 2013 г. на Wayback Machine , 4 июня 2012 г.
23. Пол Вагенсейл, Вредоносное ПО Flame использует украденную цифровую подпись Microsoft , NBC News, 4 июня 2012 г.
24. Расследование дипломатических кибератак «Красный Октябрь» , Securelist, 14 января 2013 г.
25. «Лаборатория Касперского» идентифицирует операцию «Красный Октябрь», архивировано 4 марта 2016 г. на Wayback Machine , Пресс-релиз «Лаборатории Касперского», 14 января 2013 г.
26. Дэйв Маркус и Райан Черстобитофф, Dissecting Operation High Roller. Архивировано 8 марта 2013 г. в Wayback Machine , McAfee Labs.
27. "Герцоги, график времени" . Архивировано из оригинала 13 октября 2015 г. Проверено 13 октября 2015 г.
28. "Белая книга герцогов" (PDF) .
29. "Пресс-центр F-Secure - Глобальный" .

Источники

• Билл Шиллер, Азиатское бюро (1 апреля 2009 г.), «Китайцы высмеивают шпионский отчет U of T. Но правительственные чиновники тщательно выбирают слова, никогда не отрицая, что страна занимается кибершпионажем», Toronto Star (Канада) , Торонто, Онтарио, Канада , получено 4 апреля 2009 г.
• Келли, Катал (31 марта 2009 г.), «Код кибершпионов одним щелчком мыши - простой поиск в Google быстро находит ссылку на программное обеспечение для программы Ghost Rat, используемой для нападения на правительства», Toronto Star (Канада) , Торонто, Онтарио, Канада , получено в 2009 г. -04-04
• Все о китайском кибершпионе, infotech.indiatimes.com ( Times of India ), 30 марта 2009 г., архивировано из оригинала 2 апреля 2009 г. , получено 1 апреля 2009 г.
• Купер, Алекс (30 марта 2009 г.), «Мы можем возглавить войну кибершпионов, - говорит сыщик; следователь из Торонто помог раскрыть взлом посольств и НАТО», Toronto Star (Канада) , Торонто, Онтарио, Канада , получено 3 марта 2009 г. 31
• Базирующаяся в Китае кибершпионская сеть демонстрирует необходимость повышения безопасности. Архивировано из оригинала 9 ноября 2021 г. , получено 6 марта 2017 г.
• Стив Херман (30 марта 2009 г.), Тибетское правительство в изгнании выражает обеспокоенность по поводу кибершпионажа, ведущегося в Китай , Нью-Дели: GlobalSecurity.org , получено 31 марта 2009 г.
• «Китайское правительство обвиняется в кибершпионаже», Belfast Telegraph , 30 марта 2009 г.
• Харви, Майк (29 марта 2009 г.), «Крупнейшая в мире сеть кибершпионов» шпионит за секретными документами в 103 странах», The Times , Лондон , получено 30 марта 2009 г.
• Раскрыта крупная кибершпионская сеть, BBC News , 29 марта 2009 г. , дата обращения: 30 марта 2009 г.
• «Дымящееся ружье» шпионской сети SciTech Cyber ​​для Китая: эксперт, CTV Canada, 29 марта 2009 г. , дата обращения 30 марта 2009 г.
• Ким Коверт (28 марта 2009 г.), «Канадские исследователи раскрывают обширную китайскую сеть кибершпионов», National Post, Дон Миллс, Онтарио, Канада , Canwest News Service^{[ мертвая ссылка ]}
• США предупредили Китай о «кибершпионаже», BBC News , 20 ноября 2008 г. , получено 1 апреля 2009 г.
• Марк Хосенболл (2 июня 2008 г.), «Разведка - кибершпионаж для чайников», Newsweek
• Уолтон, Грегори (апрель 2008 г.). «Год Призрачной Крысы». Всемирная ассоциация газет. Архивировано из оригинала 11 августа 2009 г. Проверено 1 апреля 2009 г.
• Немецкий суд ограничивает кибершпионаж, BBC News, 27 февраля 2008 г.
• Роуэн Каллик; Джейн Макартни (7 декабря 2007 г.), «Китайская ярость по поводу заявлений о кибершпионстве», The Australian , заархивировано из оригинала 13 августа 2009 г. , получено 31 марта 2009 г.

Внешние ссылки

• Конгресс расследует обвинения Google в китайском интернет-шпионе (AHN)
• Архив Information Warfare Monitor - Tracking Cyberpower (Университет Торонто, Канада/Центр Мунка)