Kybersbírka

Kybernetické shromažďování  je použití technik kybernetické války k provádění špionáže , což je zvláštní případ kybernetické špionáže . Aktivity kybernetického shromažďování jsou obvykle založeny na vkládání malwaru do cílené sítě nebo počítače za účelem skenování, shromažďování a zobrazování citlivých a/nebo citlivých informací.

Kybernetické shromažďování začalo již v roce 1996, kdy nabral na síle široký přístup k internetu pro vládní a podnikové systémy. Od té doby bylo zaznamenáno mnoho případů takové činnosti. [1] [2] [3]

Kromě příkladů zahrnujících stát využívá kybernetický zločin také organizovaný zločin ke krádežím identity a elektronickému bankovnictví a také firemní špioni. Operation High Roller používal programy ke shromažďování informací o počítačích a chytrých telefonech používaných pro elektronické nájezdy na bankovní účty. [4] Sběrný systém Rocra, známý také jako „Rudý říjen“, je „špionáž k pronájmu“ od organizovaných zločinců, kteří prodávají shromážděné informace tomu, kdo nabídne nejvyšší nabídku. [5]

Platformy a funkce

Nástroje pro kybernetický sběr byly vyvinuty vládami a jednotlivci prakticky pro každou existující verzi operačního systému pro počítače a chytré telefony . Je známo, že tyto nástroje existují pro počítače založené na Microsoft Windows , Apple MacOs a Linux a pro telefony iPhone , Android , Blackberry a Windows Phone . [6] Hlavními výrobci komerčních běžně dostupných technologií kybernetického získávání (COTS) jsou Gamma Group ze Spojeného království [7] a Hacking Team z Itálie . [8] Společnosti, které vyrábějí specializované nástroje pro kybernetické shromažďování, také často nabízejí balíčky COTS zero-day exploit . Takovými společnostmi jsou například Endgame, Inc. a Netragard z USA a Vupen z Francie. [9] Vládní zpravodajské agentury mají často své vlastní týmy, které vyvíjejí nástroje pro kybernetické shromažďování, jako je Stuxnet , ale vyžadují neustálý zdroj zero-day exploitů , aby vložily své nástroje do nových napadených systémů. Konkrétní technické detaily takových metod útoku se často prodávají za šest čísel v amerických dolarech . [deset]

Mezi běžné funkce systémů kybernetického sběru patří:

• Skenování dat  : Lokální a síťové úložiště je skenováno za účelem nalezení a kopírování souborů, které vás zajímají, jako jsou dokumenty, tabulky, soubory návrhů, jako jsou soubory Autocad, a systémové soubory, jako je soubor passwd.
• Zachycení polohy : GPS, Wi-Fi, informace o síti a další připojené senzory se používají k lokalizaci a přesunutí infikovaného zařízení.
• Chyba  : Pro záznam zvuku lze aktivovat mikrofon zařízení. Podobně lze na úrovni zařízení zachytit a zaznamenat audio streamy určené proreproduktory a reproduktory umístěné v místní síti .
• Skryté privátní sítě , které obcházejí zabezpečení podnikové sítě. Monitorovaný počítač může být připojen ke skutečné podnikové síti, která je pečlivě sledována na přítomnost malwaru, a zároveň připojen k privátní Wi-Fi síti mimo podnikovou síť, ze které unikají důvěrné informace z počítače zaměstnance. Takový počítač snadno konfiguruje duální agent pracující v IT oddělení instalací druhé síťové karty do počítače a speciálního softwaru pro vzdálené monitorování počítače zaměstnance, který si není vědom přítomnosti dalšího připojení třetí strany projít touto kartou,
• Capture Camera  : Kamery zařízení lze aktivovat pro skryté pořizování snímků nebo videí.
• Keylogger a čtečka pohybu myši  : Škodlivý program, který zachytí každý stisk klávesy, pohyb myši a kliknutí uživatele. V kombinaci se snímky obrazovky to lze použít k načtení hesel, která se zadávají pomocí virtuální klávesnice na obrazovce.
• Snímek obrazovky  : Záškodnický agent může pořizovat pravidelné snímky obrazovky. To je nezbytné pro získání přístupu k zobrazení citlivých informací, které nemusí být uloženy v počítači, jako jsou zůstatky elektronického bankovnictví a šifrovaná webová pošta. Tyto programy lze také použít v kombinaci s daty z keyloggeru a čtečky pohybů myši k určení přihlašovacích údajů pro přístup k dalším internetovým zdrojům.
• Šifrování  : Shromážděná data jsou obvykle zašifrována v době zachycení a mohou být přenášena v reálném čase nebo uložena pro pozdější stažení. Stejně tak je běžnou praxí, že konkrétní operace používá určité šifrovací schopnosti a polymorfní schopnosti programu kybergathering, aby bylo zajištěno, že objev na jednom místě neohrozí ostatní operační nástroje.
• Vynechání šifrování  : Protože malwarový agent běží na cílovém systému s plnými přístupovými právy a právy uživatele nebo správce systému , lze šifrování obejít. Například zachycení zvuku pomocí mikrofonu a zvukových výstupních zařízení umožňuje malwaru zachytit obě strany šifrovaného hovoru Skype. [jedenáct]
• Data Seizure System  : Programy pro kybernetické shromažďování obvykle extrahují zachycená data inline způsobem, často očekávají vysoké množství webového provozu a maskují přenos jako procházení zabezpečených webových stránek. USB klíčenky byly použity k získávání informací ze systémů chráněných vzduchovou mezerou . Výstupní systémy často zahrnují použití reverzních proxy systémů, které anonymizují příjemce dat. [12]
• Mechanismus replikace  : Programy se mohou zkopírovat na jiná média nebo systémy, například program může infikovat soubory na sdílené síťové složce, do které lze zapisovat, nebo se sám instalovat na jednotky USB, aby infikoval počítače, které mají vzduchovou mezeru nebo se jinak nenacházejí ve stejné síti.
• Správa souborů a servis souborů  : Malware lze použít k vymazání vlastních stop ze souborů protokolu. Může také stahovat a instalovat moduly nebo aktualizace a také datové soubory. Tuto funkci lze také použít k umístění „důkazů“ do cílového systému, jako je vkládání dětské pornografie do počítače politika nebo manipulace s hlasy na elektronickém zařízení na počítání hlasů.
• Kombinační pravidlo  : Některé programy jsou velmi složité a mohou kombinovat výše uvedené funkce, aby poskytovaly cílené možnosti shromažďování zpravodajských informací. Například pomocí častých údajů o poloze cíle prostřednictvím GPS a aktivity mikrofonu lze ze smartphonu udělat chytrou štěnici, která pouze zachytí konverzace v kanceláři cíle.
• Kompromitované mobilní telefony . Vzhledem k tomu, že dnešní mobilní telefony se stále více podobají počítačům pro všeobecné použití, jsou tyto mobilní telefony zranitelné vůči stejným kybernetickým útokům jako počítačové systémy, přičemž navíc existuje zranitelnost v podobě úniku extrémně citlivých informací o konverzaci a poloze vetřelcům. [13] V řadě nedávných případů stalkingu se pachateli podařilo získat polohu (pomocí GPS) mobilního telefonu a konverzační informace a použít je k zavolání blízkých policejních orgánů, aby oběť křivě obvinila v závislosti na jeho umístění (liší se od nahlášení informací o návštěvníkovi restaurace, aby se oběť škádlila, aby proti nim křivě svědčila. Pokud například oběť parkovala na velkém parkovišti, mohou pachatelé zavolat a tvrdit, že viděli drogy nebo násilí, s popisem oběť a pokyny GPS.

Penetrace

Existuje několik běžných způsobů, jak infikovat nebo získat přístup k cíli:

• Injekční proxy  je systém, který je hostován před cílem nebo společností, obvykle poskytovatelem internetových služeb, určený k vstřikování malwaru do cílového systému. Například nevinné stažení provedené uživatelem může být infikováno spywarem spustitelným za běhu, aby vládní agenti získali přístup k informacím. [čtrnáct]
• Spear phishing  : Pečlivě vytvořený e-mail je odeslán cíli, aby jej nalákal k instalaci malwaru prostřednictvím dokumentu infikovaného trojským koněm nebo prostřednictvím přímého útoku hostovaného na webovém serveru kompromitovaném nebo kontrolovaném vlastníkem malwaru. [patnáct]
• Stealth penetraci lze použít k infikování systému. Jinými slovy, spyware se vplíží do cílového domova nebo kanceláře a nainstaluje malware do systému cíle. [16]
• Odchozí monitor nebo sniffer  je zařízení, které dokáže zachytit a zobrazit data přenášená cílovým systémem. Toto zařízení je obvykle instalováno u poskytovatele internetu. Systém Carnivore , vyvinutý americkou FBI , je slavným příkladem tohoto typu systému. Tento typ systému, založený na stejné logice jako odposlech telefonu, má dnes omezené použití kvůli rozšířenému používání šifrování při přenosu dat.
• Bezdrátový systém narušení může být použit v blízkosti cíle, když cíl používá nějaký typ bezdrátové přenosové technologie. Obvykle se jedná o systém založený na notebooku, který napodobuje základnovou stanici WiFi nebo 3G, aby převzal cílové systémy a předával požadavky na internet. Jakmile jsou cílové systémy online, systém pak funguje jako proxy pro injekci nebo jako odchozí monitor pro infiltraci nebo sledování cílového systému.
• USB klíč s předinstalovaným malwarovým infektorem může být předán nebo zdánlivě náhodně odhozen poblíž cíle.

Programy pro kybernetické sklízení se obvykle instalují spolu s užitečným softwarem infikovaným zranitelností zero-day a doručují se prostřednictvím infikovaných jednotek USB, příloh e-mailů nebo škodlivých webových stránek. [17] [18] Vládou podporované operace kybernetického získávání využívaly oficiální certifikáty operačního systému, místo aby se spoléhaly na běžné bezpečnostní chyby. V Operation Flame Microsoft tvrdil, že Microsoft certifikát používaný k identifikaci Windows Update byl padělaný; [19] Někteří experti se však domnívají, že mohl být získán prostřednictvím osobního kontaktního zpravodajství (HUMINT). [dvacet]

Příklady operací

• Stuxnet
• Flame (počítačový virus)
• duqu
• Rocra[21] [22]
• Operace High Roller[23]

Viz také

• kybernetická válka
• počítačový dohled
• Počítačová bezpečnost
• Čínské zpravodajské operace v USA
• Regulace kybernetické bezpečnosti
• Průmyslová špionáž
• síť duchů
• Proaktivní kybernetická obrana
• Pozorování
• Chaos Computer Club [1]
• Global Surveillance Disclosure (2013 až do současnosti)
• Jednotlivé přístupové operace

Poznámky

1. ↑ 1 2 Pete Warren, státem podporované projekty kybernetické špionáže nyní převládají, říkají odborníci Archivováno 8. dubna 2022 na Wayback Machine , The Guardian, 30. srpna 2012
2. ↑ Nicole Perlroth, Elusive FinSpy Spyware se objevuje v 10 zemích Archivováno 18. srpna 2012 na Wayback Machine , New York Times, 13. srpna 2012
3. ↑ Kevin G. Coleman, Podnítil Stuxnet, Duqu a Flame kybernetický závod ve zbrojení? Archivováno z originálu 8. července 2012. , Vláda AOL, 2. července 2012
4. ↑ Rachael King, Operation High Roller Targets Firemní bankovní účty Archivováno 11. prosince 2017 na Wayback Machine , 26. června 2012
5. ↑ Frederic Lardinois, Eugene Kaspersky a Mikko Hypponen hovoří o Rudém říjnu a budoucnosti kybernetické války v DLD Archivováno 8. dubna 2022 na Wayback Machine , TechCrunch, 21. ledna 2013
6. ↑ Vernon Silver, Spyware Matching FinFisher může převzít IPhony Archivováno 8. března 2021 na Wayback Machine , Bloomberg, 29. srpna 2012
7. ↑ FinFisher IT Intrusion . Datum přístupu: 31. července 2012. Archivováno z originálu 31. července 2012. (neurčitý)
8. ↑ Hacking Team, Remote Control System . Datum přístupu: 21. ledna 2013. Archivováno z originálu 15. prosince 2016. (neurčitý)
9. ↑ Mathew J. Schwartz, Weaponized Bugs: Time For Digital Arms Control Archived 31. října 2013 na Wayback Machine , Information Week, 9. října 2012
10. ↑ Ryan Gallagher, Cyberwar's Grey Market Archivováno 2. října 2018 na Wayback Machine , Slate, 16. ledna 2013
11. ↑ Daniele Milan, Problém šifrování dat archivován 8. dubna 2022 na Wayback Machine , Hacking Team
12. ↑ Robert Lemos, Flame ukrývá tajemství v jednotkách USB Archivováno 15. března 2014. , InfoWorld, 13. června 2012
13. ↑ jak špehovat mobilní telefon bez přístupu . Získáno 11. května 2022. Archivováno z originálu dne 8. dubna 2022. (neurčitý)
14. ↑ Pascal Gloor, (Ne)zákonné odposlechy , archivováno 5. února 2016. , SwiNOG #25, 7. listopadu 2012
15. ↑ Mathew J. Schwartz, Operation Red October Attackers Wielded Spear Phishing Archived 7. listopadu 2013 na Wayback Machine , Information Week, 16. ledna 2013
16. ↑ Záznamy FBI: Vault, tajné záznamy archivované 8. dubna 2022 ve Wayback Machine , Federal Bureau of Investigation
17. ↑ Kim Zetter, "Flame" spyware pronikající do íránských počítačů Archivováno 16. dubna 2016 na Wayback Machine , CNN - Wired, 30. května 2012
18. ↑ Anne Belle de Bruijn, kyberzločinci páchají špionáž v DSM Archivováno 4. března 2016 ve Wayback Machine , Elsevier, 9. července 2012
19. ↑ Mike Lennon, certifikát společnosti Microsoft byl použit k podepsání malwaru "Flame" [{{{1}}} Archivováno] {{{2}}}. 4. června 2012
20. ↑ Paul Wagenseil, Flame Malware používá ukradený digitální podpis společnosti Microsoft , NBC News, 4. června 2012
21. ↑ Vyšetřování diplomatických kybernetických útoků „Red October“ Archivováno 28. června 2014 na Wayback Machine , Securelist, 14. ledna 2013
22. ↑ Kaspersky Lab identifikuje operaci Red October Archivováno 4. března 2016. , Tisková zpráva Kaspersky Lab, 14. ledna 2013
23. ↑ Dave Marcus & Ryan Cherstobitoff, Dissecting Operation High Roller Archivováno 8. března 2013. , McAfee Labs