¿Cómo sorprendió a los piratas informáticos cierto ministro japonés?
La cantidad de métodos para ocultar, disfrazar y engañar al enemigo, ya sea ciberdelincuencia o ciberguerra, está creciendo inexorablemente. Se puede decir que hoy en día los piratas informáticos muy rara vez, por el bien de la fama o los negocios, revelan lo que han hecho.
Una serie de fallas técnicas durante la ceremonia de apertura del año pasado Juegos Olímpicos de Invierno en Corea, fue el resultado de un ciberataque. The Guardian informó que la falta de disponibilidad del sitio web de los Juegos, la falla de Wi-Fi en el estadio y los televisores rotos en la sala de prensa fueron el resultado de un ataque mucho más sofisticado de lo que se pensó originalmente. Los atacantes obtuvieron acceso a la red de los organizadores por adelantado y deshabilitaron muchas computadoras de una manera muy astuta, a pesar de las numerosas medidas de seguridad.
Hasta que se vieron sus efectos, el enemigo era invisible. Una vez que se vio la destrucción, en gran medida permaneció así (1). Ha habido varias teorías sobre quién estaba detrás del ataque. Según los más populares, los rastros condujeron a Rusia; según algunos comentaristas, esto podría ser una venganza por la eliminación de las banderas estatales de Rusia de los Juegos.
Otras sospechas se han dirigido a Corea del Norte, que siempre busca burlarse de su vecino del sur, o China, que es una potencia hacker y, a menudo, se encuentra entre los sospechosos. Pero todo esto era más una deducción detectivesca que una conclusión basada en pruebas irrefutables. Y en la mayoría de estos casos, estamos condenados únicamente a este tipo de especulaciones.
Por regla general, establecer la autoría de un ciberataque es una tarea difícil. Los delincuentes no solo no suelen dejar rastros reconocibles, sino que también añaden pistas confusas a sus métodos.
Fue asi ataque a bancos polacos a principios de 2017. BAE Systems, que describió por primera vez el ataque de alto perfil en el Banco Nacional de Bangladesh, examinó cuidadosamente algunos elementos del malware que se dirigía a las computadoras en los bancos polacos y concluyó que sus autores intentaban hacerse pasar por personas de habla rusa.
Los elementos del código contenían palabras rusas con una transliteración extraña, por ejemplo, la palabra rusa en la forma inusual "cliente". BAE Systems sospecha que los atacantes usaron Google Translate para hacerse pasar por piratas informáticos rusos que usan vocabulario ruso.
En mayo, el 2018 Banco de Chile Reconoció que tuvo problemas y recomendó a los clientes que utilicen los servicios de banca en línea y móvil, así como los cajeros automáticos. En las pantallas de las computadoras ubicadas en los departamentos, los expertos encontraron señales de daños en los sectores de arranque de los discos.
Después de varios días de navegar por la red, se encontraron rastros que confirmaban que efectivamente se había producido una corrupción masiva del disco en miles de computadoras. Según información extraoficial, las consecuencias afectaron a 9 mil personas. computadoras y 500 servidores.
Investigaciones posteriores revelaron que el virus había desaparecido del banco en el momento del ataque. 11 millones¡y otras fuentes apuntan a una suma aún mayor! Los expertos en seguridad finalmente concluyeron que los discos dañados de la computadora del banco eran simplemente un camuflaje para que los piratas informáticos los robaran. Sin embargo, el banco no lo confirma oficialmente.
Cero días para preparar y cero archivos
Durante el último año, casi dos tercios de las empresas más grandes del mundo han sido atacadas con éxito por ciberdelincuentes. Utilizaron con mayor frecuencia técnicas basadas en vulnerabilidades de día cero y las llamadas. Ataques sin archivos.
Estas son las conclusiones del informe Estado del riesgo de seguridad de los endpoints preparado por Ponemon Institute en nombre de Barkly. Ambas técnicas de ataque son variedades del enemigo invisible que están ganando cada vez más popularidad.
Según los autores del estudio, tan solo en el último año, el número de ataques contra las organizaciones más grandes del mundo se ha incrementado en un 20%. También aprendemos del informe que la pérdida promedio incurrida como resultado de tales acciones se estima en $ 7,12 millones cada una, que es $ 440 por posición que fue atacada. Estos montos incluyen tanto las pérdidas específicas causadas por los delincuentes como los costos de restaurar los sistemas atacados a su estado original.
Los ataques típicos son extremadamente difíciles de contrarrestar, ya que generalmente se basan en vulnerabilidades en el software que ni el fabricante ni los usuarios conocen. El primero no puede preparar la actualización de seguridad adecuada y el segundo no puede implementar los procedimientos de seguridad adecuados.
“Hasta el 76% de los ataques exitosos se basaron en la explotación de vulnerabilidades de día cero o algún malware previamente desconocido, lo que significa que fueron cuatro veces más efectivos que las técnicas clásicas utilizadas anteriormente por los ciberdelincuentes”, explican los representantes del Ponemon Institute. .
Segundo método invisible, ataques sin archivos, es ejecutar código malicioso en el sistema usando varios "trucos" (por ejemplo, inyectando un exploit en un sitio web), sin requerir que el usuario descargue o ejecute ningún archivo.
Los delincuentes utilizan este método cada vez con más frecuencia, ya que los ataques clásicos para enviar archivos maliciosos (como documentos de Office o archivos PDF) a los usuarios se vuelven cada vez menos efectivos. Además, los ataques suelen basarse en vulnerabilidades de software que ya se conocen y corrigen; el problema es que muchos usuarios no actualizan sus aplicaciones con la frecuencia suficiente.
A diferencia del escenario anterior, el malware no coloca el ejecutable en el disco. En cambio, se ejecuta en la memoria interna de su computadora, que es RAM.
Esto significa que el software antivirus tradicional tendrá dificultades para detectar una infección maliciosa porque no encontrará el archivo que apunta a ella. Mediante el uso de malware, un atacante puede ocultar su presencia en la computadora sin generar una alarma y causar varios tipos de daños (robo de información, descarga de malware adicional, acceso a mayores privilegios, etc.).
El malware sin archivos también se denomina (AVT). Algunos expertos dicen que es incluso peor que (APT).
2. Información sobre el sitio pirateado
Cuando HTTPS no ayuda
Parece que los tiempos en que los delincuentes tomaban el control del sitio, cambiaban el contenido de la página principal y ponían información en letra grande (2), se han ido para siempre.
Actualmente, el objetivo de los ataques es principalmente obtener dinero, y los delincuentes utilizan todos los métodos para obtener beneficios económicos tangibles en cualquier situación. Después de la adquisición, las partes intentan permanecer ocultas el mayor tiempo posible y obtener ganancias o utilizar la infraestructura adquirida.
Inyectar código malicioso en sitios web mal protegidos puede tener varios propósitos, como el financiero (robo de información de tarjetas de crédito). Una vez se escribió sobre guiones búlgaros introducido en el sitio web de la Oficina del Presidente de la República de Polonia, pero no fue posible establecer claramente cuál era el propósito de los enlaces a fuentes extranjeras.
Un método relativamente nuevo es el llamado, es decir, superposiciones que roban números de tarjetas de crédito en los sitios web de las tiendas. El usuario de un sitio web que usa HTTPS(3) ya está entrenado y acostumbrado a verificar si un sitio web determinado está marcado con este símbolo característico, y la sola presencia de un candado se convierte en evidencia de que no hay amenazas.
3. Designación de HTTPS en la dirección de Internet
Sin embargo, los delincuentes usan esta confianza excesiva en la seguridad del sitio de diferentes maneras: usan certificados gratuitos, colocan un favicon en forma de candado en el sitio e inyectan código infectado en el código fuente del sitio.
Un análisis de los métodos de infección de algunas tiendas online muestra que los atacantes trasladaron los skimmers físicos de los cajeros automáticos al mundo cibernético en forma de . Al realizar una transferencia estándar para compras, el cliente rellena un formulario de pago en el que indica todos los datos (número de tarjeta de crédito, fecha de caducidad, número de CVV, nombre y apellido).
El pago es autorizado por la tienda de la forma tradicional, y todo el proceso de compra se realiza correctamente. Sin embargo, en caso de uso, se inyecta un código (una sola línea de JavaScript es suficiente) en el sitio de la tienda, lo que hace que los datos ingresados en el formulario se envíen al servidor de los atacantes.
Uno de los delitos de este tipo más sonados fue el ataque a la página web Tienda del Partido Republicano de EE. UU.. En seis meses, los datos de la tarjeta de crédito del cliente fueron robados y transferidos a un servidor ruso.
Al evaluar el tráfico de la tienda y los datos del mercado negro, se determinó que las tarjetas de crédito robadas generaron una ganancia de $600 para los ciberdelincuentes. dólares
En 2018, fueron robados de forma idéntica. datos del cliente del fabricante de teléfonos inteligentes OnePlus. La empresa admitió que su servidor estaba infectado y que los datos de la tarjeta de crédito transferidos se ocultaron directamente en el navegador y se enviaron a delincuentes desconocidos. Se informó que de esta manera se apropiaron los datos de 40 personas. clientela.
Riesgos del equipo
Un área enorme y creciente de amenazas cibernéticas invisibles está compuesta por todo tipo de técnicas basadas en equipos digitales, ya sea en forma de chips instalados en secreto en componentes aparentemente inofensivos o dispositivos espía.
Sobre el descubrimiento de más, anunciado en octubre del año pasado por Bloomberg, chips espía en miniatura en equipos de telecomunicaciones, incl. en puntos de venta Ethernet (4) vendidos por Apple o Amazon se convirtió en una sensación en 2018. El rastro condujo a Supermicro, un fabricante de dispositivos en China. Sin embargo, la información de Bloomberg fue posteriormente refutada por todas las partes interesadas, desde los chinos hasta Apple y Amazon.
4. Puertos de red Ethernet
Al final resultó que, también desprovisto de implantes especiales, el hardware de computadora "ordinario" se puede usar en un ataque silencioso. Por ejemplo, se ha descubierto que un error en los procesadores Intel, sobre el que escribimos recientemente en MT, que consiste en la capacidad de "predecir" operaciones posteriores, es capaz de permitir que cualquier software (desde un motor de base de datos hasta un simple JavaScript) se ejecute. en un navegador) para acceder a la estructura o el contenido de las áreas protegidas de la memoria del kernel.
Hace unos años, escribimos sobre equipos que le permiten piratear y espiar en secreto dispositivos electrónicos. Describimos un "Catálogo de compras ANT" de 50 páginas que estaba disponible en línea. Como escribe Spiegel, es de él que los agentes de inteligencia especializados en guerra cibernética eligen sus “armas”.
La lista incluye productos de varias clases, desde la onda de sonido y el dispositivo de espionaje LOUDAUTO de $30 hasta $40. Dólares CANDYGRAM, que se utilizan para instalar su propia copia de una torre celular GSM.
La lista incluye no solo hardware, sino también software especializado, como DROPOUTJEEP, que, tras ser "implantado" en el iPhone, permite, entre otras cosas, recuperar archivos de su memoria o guardar archivos en ella. Así, podrás recibir listas de correo, mensajes SMS, mensajes de voz, así como controlar y localizar la cámara.
Ante el poder y la omnipresencia de enemigos invisibles, a veces te sientes impotente. Por eso no todo el mundo se sorprende y divierte. actitud de Yoshitaka Sakurada, el ministro a cargo de los preparativos para los Juegos Olímpicos de Tokio 2020 y subjefe de la oficina de estrategia de seguridad cibernética del gobierno, quien, según se informa, nunca ha usado una computadora.
Al menos era invisible para el enemigo, no un enemigo para él.
Lista de términos relacionados con el ciberenemigo invisible
Software malicioso diseñado para iniciar sesión de forma encubierta en un sistema, dispositivo, computadora o software, o eludiendo las medidas de seguridad tradicionales.
Bot – un dispositivo separado conectado a Internet, infectado con malware e incluido en una red de dispositivos infectados similares. suele ser una computadora, pero también puede ser un teléfono inteligente, una tableta o un equipo conectado a IoT (como un enrutador o un refrigerador). Recibe instrucciones operativas del servidor de mando y control o directamente, y en ocasiones de otros usuarios de la red, pero siempre sin el conocimiento o conocimiento del propietario. pueden incluir hasta un millón de dispositivos y enviar hasta 60 mil millones de spam por día. Se utilizan con fines fraudulentos, recepción de encuestas online, manipulación de redes sociales, así como para la difusión de spam y.
– en 2017, apareció una nueva tecnología para extraer criptomonedas Monero en navegadores web. El script se creó en JavaScript y se puede incrustar fácilmente en cualquier página. cuando el usuario
una computadora visita una página infectada de este tipo, la potencia informática de su dispositivo se utiliza para la minería de criptomonedas. Cuanto más tiempo pasemos en este tipo de sitios web, más ciclos de CPU de nuestro equipo podrán ser utilizados por un ciberdelincuente.
– Software malicioso que instala otro tipo de malware, como un virus o una puerta trasera. a menudo diseñado para evitar la detección por soluciones tradicionales
antivirus, incluido debido a la activación retrasada.
Malware que explota una vulnerabilidad en software legítimo para comprometer una computadora o sistema.
– usar software para recopilar información relacionada con un tipo particular de uso del teclado, como la secuencia de caracteres alfanuméricos/especiales asociados con ciertas palabras
palabras clave como "bankofamerica.com" o "paypal.com". Si se ejecuta en miles de computadoras conectadas, un ciberdelincuente tiene la capacidad de recopilar información confidencial rápidamente.
– Software malicioso diseñado específicamente para dañar una computadora, sistema o datos. Incluye varios tipos de herramientas, incluidos troyanos, virus y gusanos.
– un intento de obtener información sensible o confidencial de un usuario de un equipo conectado a Internet. Los ciberdelincuentes utilizan este método para distribuir contenido electrónico a una amplia gama de víctimas, incitándolas a realizar ciertas acciones, como hacer clic en un enlace o responder a un correo electrónico. En este caso, proporcionarán información personal como nombre de usuario, contraseña, datos bancarios o financieros o datos de tarjetas de crédito sin su conocimiento. Los métodos de distribución incluyen correo electrónico, publicidad en línea y SMS. Una variante es un ataque dirigido a individuos o grupos de individuos específicos, como ejecutivos corporativos, celebridades o funcionarios gubernamentales de alto rango.
– Software malicioso que le permite obtener acceso en secreto a partes de una computadora, software o sistema. A menudo modifica el sistema operativo del hardware de tal manera que permanece oculto para el usuario.
- malware que espía a un usuario de la computadora, intercepta pulsaciones de teclas, correos electrónicos, documentos e incluso enciende una cámara de video sin su conocimiento.
- un método para ocultar un archivo, mensaje, imagen o película en otro archivo. Aproveche esta tecnología cargando archivos de imágenes aparentemente inofensivos que contienen secuencias complejas.
mensajes enviados a través del canal C&C (entre una computadora y un servidor) aptos para uso ilegal. Las imágenes pueden almacenarse en un sitio web pirateado o incluso
en servicios para compartir imágenes.
Cifrado/protocolos complejos es un método utilizado en el código para ofuscar las transmisiones. Algunos programas basados en malware, como el troyano, cifran tanto la distribución de malware como la comunicación de C&C (control).
es una forma de malware que no se replica y que contiene funciones ocultas. Por lo general, el troyano no intenta propagarse ni inyectarse en otros archivos.
- una combinación de las palabras ("voz") y. Significa utilizar una conexión telefónica para obtener información personal confidencial, como números de tarjetas bancarias o de crédito.
Por lo general, la víctima recibe un mensaje de desafío automatizado de alguien que dice representar a una institución financiera, un ISP o una empresa de tecnología. El mensaje puede solicitar un número de cuenta o un PIN. Una vez que se activa la conexión, se redirige a través del servicio al atacante, quien luego solicita datos personales confidenciales adicionales.
(BEC): un tipo de ataque destinado a engañar a las personas de una determinada empresa u organización y robar dinero haciéndose pasar por
gobernado por. Los delincuentes obtienen acceso a un sistema corporativo a través de un ataque típico o malware. Luego estudian la estructura organizativa de la empresa, sus sistemas financieros y el estilo y horario de correo electrónico de la gerencia.
Ver también:
