Кибершпионаж

Получение секретов с использованием Интернета

Кибершпионаж , кибершпионаж или киберсбор информации — это действие или практика получения секретов и информации без разрешения и ведома владельца информации с использованием методов в Интернете, сетях или отдельных компьютерах посредством использования прокси-серверов , ^{[1] методов} взлома и вредоносного программного обеспечения, включая троянских коней и шпионское программное обеспечение . ^{[2] [3]} Кибершпионаж может использоваться для нападения на различных субъектов — отдельных лиц, конкурентов, соперников, группы, правительства и других — с целью получения личных, экономических, политических или военных преимуществ. Он может полностью совершаться в режиме онлайн с компьютерных столов профессионалов на базах в далеких странах или может включать проникновение в дома обученных на компьютере обычных шпионов и « кротов» или в других случаях может быть преступным делом рук хакеров- любителей и программистов-программистов . ^[2]

История

Кибершпионаж начался еще в 1996 году, когда широкое распространение Интернет-подключения к государственным и корпоративным системам набирало обороты. С тех пор было зафиксировано множество случаев такой деятельности. ^{[4] [5] [6]}

Подробности

Кибершпионаж обычно подразумевает использование такого доступа к секретам и секретной информации или управление отдельными компьютерами или целыми сетями для получения стратегического преимущества и для психологических , политических и физических подрывных действий и саботажа . ^[7] В последнее время кибершпионаж включает анализ общественной активности на сайтах социальных сетей, таких как Facebook и Twitter . ^[8]

Такие операции, как некибершпионаж, обычно незаконны в стране-жертве, хотя полностью поддерживаются высшим уровнем правительства в стране-агрессоре. Этическая ситуация также зависит от точки зрения, в частности, мнения о вовлеченных правительствах. ^[7]

Платформы и функциональность

Инструменты киберсбора были разработаны правительствами и частными лицами почти для каждой операционной системы компьютера и смартфона. Известно, что инструменты существуют для компьютеров Microsoft, Apple и Linux, а также телефонов iPhone, Android, Blackberry и Windows. ^[9] Основные производители коммерческих готовых (COTS) технологий киберсбора включают Gamma Group из Великобритании ^[10] и Hacking Team из Италии. ^[11] Компании, занимающиеся индивидуальными инструментами киберсбора, многие из которых предлагают пакеты COTS эксплойтов нулевого дня , включают Endgame, Inc. и Netragard из США и Vupen из Франции. ^[12] Государственные разведывательные агентства часто имеют свои собственные команды для разработки инструментов киберсбора, таких как Stuxnet , но им требуется постоянный источник эксплойтов нулевого дня для того, чтобы вставлять свои инструменты в новые целевые системы. Конкретные технические детали этих методов атак часто продаются за шестизначные суммы. ^[13]

К общим функциональным возможностям систем киберсбора данных относятся:

• Сканирование данных : локальное и сетевое хранилище сканируется для поиска и копирования интересующих файлов. Чаще всего это документы, электронные таблицы, файлы проектов, такие как файлы Autocad, и системные файлы, такие как файл passwd.
• Определение местоположения : GPS, WiFi, сетевая информация и другие подключенные датчики используются для определения местоположения и перемещения внедренного устройства.
• Ошибка : микрофон устройства может быть активирован для записи звука. Аналогично, аудиопотоки, предназначенные для локальных динамиков, могут быть перехвачены на уровне устройства и записаны.
• Скрытые частные сети, которые обходят корпоративную сетевую безопасность. Компьютер, за которым шпионят, может быть подключен к легитимной корпоративной сети, которая тщательно отслеживается на предмет вредоносной активности, и в то же время принадлежать к частной сети Wi-Fi за пределами корпоративной сети, которая сливает конфиденциальную информацию с компьютера сотрудника. Такой компьютер легко настраивается двойным агентом, работающим в ИТ-отделе, путем установки второй беспроводной карты в компьютер и специального программного обеспечения для удаленного мониторинга компьютера сотрудника через эту вторую интерфейсную карту, при этом он не будет знать о побочном канале связи, извлекающем информацию из его компьютера.
• Камера : камеры устройства можно активировать для скрытой фото- или видеосъемки.
• Keylogger и Mouse Logger : вредоносный агент может захватывать каждое нажатие клавиши, движение мыши и щелчок, которые делает целевой пользователь. В сочетании со снимками экрана это может использоваться для получения паролей, которые вводятся с помощью виртуальной экранной клавиатуры.
• Screen Grabber : вредоносный агент может делать периодические снимки экрана. Помимо отображения конфиденциальной информации, которая может не храниться на машине, например, балансов электронного банкинга и зашифрованной веб-почты, они могут использоваться в сочетании с данными регистратора ключей и мыши для определения учетных данных доступа к другим интернет-ресурсам.
• Шифрование : Собранные данные обычно шифруются во время захвата и могут передаваться в прямом эфире или сохраняться для последующей эксфильтрации. Аналогичным образом, для каждой конкретной операции обычно используется определенное шифрование и полиморфные возможности агента киберсбора, чтобы гарантировать, что обнаружение в одном месте не поставит под угрозу другие.
• Обход шифрования : поскольку вредоносный агент работает в целевой системе со всеми правами доступа и учетной записи пользователя цели или системного администратора, шифрование обходит. Например, перехват звука с помощью микрофона и устройств вывода звука позволяет вредоносному ПО захватывать обе стороны зашифрованного звонка Skype. ^[14]
• Эксфильтрация : Агенты по кибер-сбору обычно извлекают захваченные данные скрытно, часто дожидаясь высокого веб-трафика и маскируя передачу под безопасный веб-браузер. USB-флеш-накопители использовались для извлечения информации из защищенных систем с воздушным зазором . Системы эксфильтрации часто включают использование систем обратного прокси , которые анонимизируют получателя данных. ^[15]
• Репликация : Агенты могут копировать себя на другие носители или системы, например, агент может заражать файлы на доступном для записи сетевом ресурсе или устанавливать себя на USB-накопители, чтобы заражать компьютеры, защищенные воздушным зазором или иным образом не находящиеся в той же сети.
• Манипулирование файлами и обслуживание файлов : вредоносное ПО может использоваться для стирания своих следов из файлов журналов. Оно также может загружать и устанавливать модули или обновления, а также файлы данных. Эта функция также может использоваться для размещения «доказательств» в целевой системе, например, для вставки детской порнографии на компьютер политика или для манипулирования голосами на электронной машине подсчета голосов.
• Правила комбинирования : Некоторые агенты очень сложны и способны комбинировать вышеуказанные функции, чтобы обеспечить очень целевые возможности сбора разведданных. Например, использование ограничивающих рамок GPS и активности микрофона может быть использовано для превращения смартфона в умный жучок, который перехватывает разговоры только в пределах офиса цели.
• Скомпрометированные мобильные телефоны . Поскольку современные мобильные телефоны все больше похожи на компьютеры общего назначения, эти мобильные телефоны уязвимы для тех же кибер-атак, что и компьютерные системы, и уязвимы для утечки крайне конфиденциальной разговорной и локационной информации злоумышленникам. ^[16] Утечка местоположения GPS мобильного телефона и локационной информации злоумышленникам была зарегистрирована в ряде недавних случаев киберпреследования , когда злоумышленник мог использовать местоположение GPS жертвы, чтобы позвонить в близлежащие предприятия и полицейские органы, чтобы выдвинуть ложные обвинения против жертвы в зависимости от его местоположения, это может варьироваться от сообщения информации персоналу ресторана, чтобы подразнить жертву, или дачи ложных показаний против жертвы. Например, если жертва была припаркована на большой парковке, злоумышленники могут позвонить и заявить, что они видели, как происходила деятельность, связанная с наркотиками или насилием, с описанием жертвы и указаниями к ее местоположению по GPS.

Проникновение

Существует несколько распространенных способов заражения или доступа к цели:

• Injection Proxy — это система, которая размещается выше по течению от целевого лица или компании, обычно у интернет-провайдера, которая внедряет вредоносное ПО в целевую систему. Например, невинная загрузка, сделанная пользователем, может быть внедрена с исполняемым файлом вредоносного ПО на лету, так что целевая система затем становится доступной для правительственных агентов. ^[17]
• Целевой фишинг : тщательно составленное электронное письмо отправляется цели, чтобы побудить ее установить вредоносное ПО с помощью троянского документа или атаки с помощью диска, размещенного на веб-сервере, скомпрометированном или контролируемом владельцем вредоносного ПО. ^[18]
• Для заражения системы может использоваться метод скрытного проникновения . Другими словами, шпионы осторожно проникают в жилище или офис цели и устанавливают вредоносное ПО на ее систему. ^[19]
• Upstream-монитор или сниффер — это устройство, которое может перехватывать и просматривать данные, передаваемые целевой системой. Обычно это устройство размещается у интернет-провайдера. Система Carnivore , разработанная ФБР США , является известным примером такого типа системы. Основанная на той же логике, что и телефонный перехват , эта система сегодня имеет ограниченное применение из-за широкого использования шифрования при передаче данных.
• Беспроводная система инфильтрации может использоваться вблизи цели, когда цель использует беспроводную технологию. Обычно это система на основе ноутбука, которая имитирует базовую станцию ​​WiFi или 3G для захвата целевых систем и ретрансляции запросов вверх по течению в Интернет. Как только целевые системы оказываются в сети, система функционирует как Injection Proxy или как Upstream Monitor для инфильтрации или мониторинга целевой системы.
• USB - накопитель с предустановленным вредоносным ПО можно передать или подбросить на целевое устройство.

Агенты кибер-сбора обычно устанавливаются с помощью программного обеспечения доставки полезной нагрузки, созданного с использованием атак нулевого дня и доставляемого через зараженные USB-накопители, вложения электронной почты или вредоносные веб-сайты. ^{[20] [21]} Спонсируемые государством усилия по кибер-сбору использовали официальные сертификаты операционной системы вместо того, чтобы полагаться на уязвимости безопасности. В операции Flame Microsoft заявляет, что сертификат Microsoft, используемый для имитации обновления Windows , был поддельным; ^[22] однако некоторые эксперты полагают, что он мог быть получен с помощью усилий HUMINT . ^[23]

Примеры операций

• Stuxnet
• Пламя
• Дуку
• Bundestrojaner
• Рокра ^{[24] [25]}
• Операция «Крупный игрок» ^[26]
• Cozy Bear : хорошо обеспеченная ресурсами, высоко преданная своему делу и организованная группа кибершпионажа, которая, по мнению F-Secure , работает на Российскую Федерацию по крайней мере с 2008 года. ^{[27] [28] [29]}

Смотрите также

• Хаос Компьютерный Клуб
• Операции китайской разведки в Соединенных Штатах
• Компьютерная безопасность
• Компьютерное наблюдение
• Регулирование кибербезопасности
• Кибершпионаж за университетами
• Разведка киберугроз
• Кибервойна
• Программное обеспечение для мониторинга сотрудников
• GhostNet
• Промышленный шпионаж
• Проактивная киберзащита
• Сталкерное ПО
• Наблюдение
• Титановый дождь
• Утечка файлов Vulkan

Ссылки

1. "Варианты использования сети резидентных прокси-серверов". GeoSurf . Получено 28 сентября 2017 г.
2. "Кибершпионаж". Журнал PC.
3. "Кибершпионаж". Techopedia.
4. Пит Уоррен, Эксперты говорят, что финансируемые государством проекты кибершпионажа сейчас широко распространены , The Guardian, 30 августа 2012 г.
5. Николь Перлрот, Неуловимая шпионская программа FinSpy появилась в 10 странах , New York Times, 13 августа 2012 г.
6. Кевин Г. Коулман, Stuxnet, Duqu и Flame разожгли гонку кибервооружений? Архивировано 08.07.2012 в Wayback Machine , AOL Government, 2 июля 2012 г.
7. Мессмер, Эллен. «Кибершпионаж: растущая угроза бизнесу». Архивировано из оригинала 26 января 2021 г. Получено 21 января 2008 г.
8. «Пять способов, которыми правительство шпионит за вами». The LockerGnome Daily Report . 7 ноября 2011 г. Архивировано из оригинала 18 октября 2019 г. Получено 9 февраля 2019 г.
9. Вернон Сильвер, Шпионское ПО FinFisher может захватить iPhone ,, Bloomberg, 29 августа 2012 г.
10. "FinFisher IT Intrusion". Архивировано из оригинала 2012-07-31 . Получено 2012-07-31 .
11. "Hacking Team, Remote Control System". Архивировано из оригинала 2016-12-15 . Получено 2013-01-21 .
12. Мэтью Дж. Шварц, «Вооруженные жуки: время цифрового контроля над вооружениями» , Information Week, 9 октября 2012 г.
13. Райан Галлахер, Серый рынок кибервойны , Slate, 16 января 2013 г.
14. Даниэле Милан, Проблема шифрования данных Архивировано 2022-04-08 в Wayback Machine , Hacking Team
15. Роберт Лемос, Flame хранит секреты на USB-накопителях Архивировано 15.03.2014 в Wayback Machine , InfoWorld, 13 июня 2012 г.
16. как шпионить за мобильным телефоном, не имея доступа
17. Паскаль Глор, (Не)законный перехват. Архивировано 05.02.2016 на Wayback Machine , SwiNOG #25, 7 ноября 2012 г.
18. Мэтью Дж. Шварц, Террористы, участвовавшие в операции «Красный Октябрь», прибегали к фишинговым атакам , Information Week, 16 января 2013 г.
19. Записи ФБР: Хранилище, Тайные записи , Федеральное бюро расследований
20. Ким Зеттер, шпионское ПО «Flame» проникает в иранские компьютеры , CNN - Wired, 30 мая 2012 г.
21. Анн Бель де Брёйн, Киберпреступники занимаются шпионажем в DSM , Elsevier, 9 июля 2012 г.
22. Майк Леннон, Сертификат Microsoft использовался для подписи вредоносного ПО «Flame» Архивировано 07.03.2013 на Wayback Machine , 4 июня 2012 г.
23. Пол Вагенсейл, Вредоносное ПО Flame использует украденную цифровую подпись Microsoft , NBC News, 4 июня 2012 г.
24. «Красный октябрь» Расследование дипломатических кибератак , Securelist, 14 января 2013 г.
25. «Лаборатория Касперского» идентифицирует операцию «Красный Октябрь». Архивировано 04.03.2016 в Wayback Machine , пресс-релиз «Лаборатории Касперского», 14 января 2013 г.
26. Дэйв Маркус и Райан Черстобитофф, Dissecting Operation High Roller Архивировано 08.03.2013 в Wayback Machine , McAfee Labs
27. "the Dukes, timeline". Архивировано из оригинала 2015-10-13 . Получено 2015-10-13 .
28. "The Dukes Whitepaper" (PDF) . Архивировано (PDF) из оригинала 2015-12-09.
29. "Пресс-центр F-Secure - Глобальный".

Источники

• Билл Шиллер, Азиатское бюро (1 апреля 2009 г.), «Китайцы высмеивают шпионский отчет Университета Торонто — но правительственные чиновники тщательно подбирают слова, никогда не отрицая, что страна занимается кибершпионажем», Toronto Star (Канада) , Торонто, Онтарио, Канада , получено 04.04.2009
• Келли, Катал (31 марта 2009 г.), «Код кибершпионов на расстоянии одного клика — простой поиск в Google быстро находит ссылку на программное обеспечение для программы Ghost Rat, используемой для атаки на правительства», Toronto Star (Канада) , Торонто, Онтарио, Канада , получено 04.04.2009 г.
• Все о китайском кибершпионаже, infotech.indiatimes.com ( Times of India ), 30 марта 2009 г., архивировано из оригинала 2 апреля 2009 г. , извлечено 1 апреля 2009 г.
• Купер, Алекс (30 марта 2009 г.), «Мы можем лидировать в кибершпионской войне, говорит сыщик; следователь из Торонто помог раскрыть взлом посольств и НАТО», Toronto Star (Канада) , Торонто, Онтарио, Канада , получено 31.03.2009
• Базирующаяся в Китае сеть кибершпионов демонстрирует необходимость улучшения безопасности, архивировано из оригинала 2021-11-09 , извлечено 2017-03-06
• Стив Герман (30 марта 2009 г.), Правительство Тибета в изгнании выражает обеспокоенность по поводу кибершпионажа, ведущего в Китай, Нью-Дели: GlobalSecurity.org , дата обращения 31.03.2009
• «Китайское правительство обвиняется в кибершпионаже», Belfast Telegraph , 30 марта 2009 г.
• Харви, Майк (29 марта 2009 г.), «'Крупнейшая в мире сеть кибершпионов' шпионит за секретными документами в 103 странах», The Times , Лондон, архивировано с оригинала 30 марта 2009 г. , извлечено 30 марта 2009 г.
• Раскрыта крупная сеть кибершпионов, BBC News , 29 марта 2009 г. , дата получения 30.03.2009 г.
• SciTech Cyber ​​шпионская сеть «дымящийся пистолет» для Китая: эксперт, CTV Canada, 29 марта 2009 г. , получено 30.03.2009
• Ким Коверт (28 марта 2009 г.), «Канадские исследователи раскрывают обширную китайскую сеть кибершпионов», National Post, Дон Миллс, Онтарио, Канада , Canwest News Service^{[ мертвая ссылка ]}
• США предупредили о «кибершпионаже» Китая, BBC News , 20 ноября 2008 г. , получено 01.04.2009 г.
• Марк Хосенболл (2 июня 2008 г.), «Разведка - кибершпионаж для чайников», Newsweek
• Уолтон, Грегори (апрель 2008 г.). "Год Gh0st RAT". Всемирная ассоциация газет. Архивировано из оригинала 2009-08-11 . Получено 2009-04-01 .
• Немецкий суд ограничивает кибершпионаж, BBC News, 27 февраля 2008 г.
• Роуэн Каллик; Джейн Макартни (7 декабря 2007 г.), «Китайская ярость из-за заявлений о кибершпионаже», The Australian , архивировано из оригинала 13 августа 2009 г. , извлечено 31 марта 2009 г.

Внешние ссылки

• Конгресс расследует обвинения Google в китайском интернет-шпионаже (AHN)
• Архив Information Warfare Monitor - Отслеживание киберсилы (Университет Торонто, Канада/Центр Манка)