Кибершпионаж. Кибершпионаж или компьютерный шпионаж употребляется также термин киберразведка
 Скачать 17.61 Kb.
|
|
Кибершпионаж или компьютерный шпионаж (употребляется также термин «киберразведка») — термин, обозначающий, как правило, несанкционированное получение информации с целью получения личного, экономического, политического или военного превосходства, осуществляемый с использованием обхода (взлома) систем компьютерной безопасности, с применением вредоносного программного обеспечения, включая «троянских коней» и шпионских программ. Кибершпионаж может осуществляться как дистанционно, с помощью Интернета, так и путём проникновения в компьютеры и компьютерные сети предприятий обычными шпионами («кротами»), а также хакерами[1]. С недавних пор кибершпионаж включает также анализ спецслужбами поведения пользователей социальных сетей, таких как Facebook и Twitter с целью выявления экстремистской, террористической или антиправительственной деятельности[2]. Способы кибершпионажа Способы осуществления кибершпионажа постоянно развиваются с появлением нового ПО, увеличением роли гаджетов в жизни учреждений и людей. К основным способам стоит отнести: Вредоносные и шпионские программы. Потенциально угрожают всем, кто пользуется интернетом, включая рядовых владельцев страниц в соцсетях. Программы-импланты (недекларированные возможности). Имеющийся в программах код, позволяющий получать доступ к компьютерной системе. Целевые атаки (АPT). Объект воздействия Жертвой кибершпионажа в современном мире рискует оказаться практически каждая заметная на рынке компания или государственная организация. Большой интерес представляют государственные ведомства и межправительственные организации. Компьютерным шпионажем зачастую занимаются спецслужбы или хакерские группировки по их заказу. Подобные акты расцениваются как преступление в государстве-жертве, но не квалифицируются таким образом в стране-агрессоре. Большинство операций глубоко засекречены, о конкретных событиях можно узнать только в ходе громких разоблачений. Кибершпионаж может выполняться наёмниками, но нередко атаки осуществляются и противниками известных фигур, политических партий, государств. Он тесно переплетается с такими понятиями, как кибертерроризм и кибервойны. Можно констатировать, что шпионаж в киберпространстве стал частью военных и прочих недружественных действий, которые одни страны в современном мире ведут против других. Источник угрозы Угрозы могут исходить от спецслужб и хакерских группировок. Для криминальных элементов кибершпионаж не является самоцелью, но бывает частью их деятельности. Есть группировки, действующие по идеологическим и (или) материальным причинам. Кибершпионаж может включать физическое проникновение, но до 90% всех осуществляемых сегодня атак приходится на интернет или локальные сети. Слабым местом правительственных организаций, юридических лиц являются их официальные сайты, корпоративные блоги, веб-страницы сотрудников, личные кабинеты. Особое внимание уделяется защищённости серверов. Также отслеживается любая деятельность через крупные поисковики (определённые запросы), социальные сети, мессенджеры, известные порталы. Google, YouTube, Facebook, Skype и прочие подобные сервисы представляют потенциальную опасность. Ведётся мониторинг деятельности лидирующих компаний в сфере IT (Microsoft, Apple), поскольку выявленные уязвимости помогает обходить защиту. Вероятность нападения пропорционально увеличивается по мере возрастания популярности сервиса и организации. ПРИМЕР Web shell — это сценарий, который загружается на сервер и служит для удаленного администрирования. Вредоносным он становится только тогда, когда им управляет злоумышленник. И в этом случае он представляет серьезную угрозу. Зараженный сервер не обязательно должен быть подключен к интернету — он может располагаться во внутренней сети компании. Кибератаки с использованием Potao относятся к типу направленных атак, некоторые примеры которых мы уже рассматривали ранее. Речь идет о вредоносном ПО BlackEnergy (a.k.a. Sandworm, Quedagh), которое преобладает на Украине, в России, а также в некоторых странах СНГ, включая, Грузию и Беларусь. Жертвами Potao стали компьютерные сети военных и правительства Украины, а также одно из ведущих украинских новостных агентств. Кроме этого, вредоносная программа использовалась злоумышленниками для шпионажа за участниками финансовой пирамиды МММ, которая является популярной и в России, и на Украине. Одна из наиболее интересных особенностей этой вредоносной кампании заключается в том, что злоумышленники компрометировали известное open-source легитимное ПО для шифрования TrueCrypt, а затем использовали его для распространения вредоносного ПО. Механизм распространения Potao в этой вредоносной кампании был довольно тривиальным, но довольно эффективным. Дропперы вредоносной программы распространялись в качестве вложений фишинговых сообщений электронной почты, при этом в качестве значка исполняемого файла использовался значок документов MS Word. Подобная маскировка помогает усыпить внимание пользователей, которые получают такие фишинговые сообщения. Нужно отметить, что злоумышленники не использовали какие-либо эксплойты для автоматической установки вредоносной программы. Кроме полезной нагрузки, дропперы содержали фальшивый документ Word, который отображался пользователю для маскировки процесса установки вредоносной программы в систему. Рис. 3. Фальшивый decoy-документ (приманка), который дроппер Potao показывает пользователю для маскировки процесса своей установки в систему. Другие дропперы Potao, которые использовались во вредоносных кампаниях в 2011 г., содержали документы на армянском языке. Интересно отметить, что в качестве одного из decoy-документов использовался легитимный документ, принадлежащий министерству труда и социальных дел Армении (Armenian Ministry of Labor and Social Affairs). https://securelist.ru/toddycat/105564/ |