piątek, 22 maja 2015

Cyberszpiegostwo jako zagrożenie cybernetyczne - Chiny

Każdy z nas już nie raz słyszał historie o tym jak organizacje rządowe włamują się do korporacji, wykorzystują jurysdykcje i kradną poufne informacje. Pytanie czy są to pojedyncze przypadki, czy jest to już część ekonomicznej wojny pomiędzy narodowościami? Media głównie skupiają się wokół informacji na temat „Afery Snowdena”, która ujawniła że amerykańscy szpiedzy używają technologii. W jakim celu rząd USA gromadzi dane? Zapewne w celu zabezpieczenia narodu i swoich obywateli…

Póki co najbardziej niebezpiecznymi podmiotami działającymi w cybernetyce pozostają państwa narodowe. Przyjrzyjmy się motywom jakimi państwa mogą się kierować. Ideologia? Ekonomiczny wzrost? Ego/Siła? Praktycznie te same motywacje można zauważyć w grupach cyberprzestępczych. Zbadajmy motyw ekonomicznego wzrostu w cyberszpiegostwie.


Brytyjska służba specjalna GCHQ (Government Communications Headquarters) opublikowała przypadek, w którym członek zarządu firmy telekomunikacyjnej został ukierunkowany w celu podjęcia odpowiedniej decyzji. Inny przypadek pokazuje firmę farmaceutyczną która traci bilion funtów poprzez ukierunkowany atak, który pozwala na kradzież wyników badań nad lekiem nowej generacji w celu stworzenia tańszego leku przez firmę farmaceutyczną innego kraju. To nie są fikcyjne czy pojedyncze przykłady.
 
Z biegiem lat widać, że wiele organizacji stało się ofiarami tego co początkowo było uważane za cyberprzestępczość. W niektórych przypadkach można zauważyć wyraźne przypadki „hybrydowych-motywacji”, czyli wiele grup działających razem w celu wykonania ukierunkowanego ataku w dany podmiot, a mówiąc wprost, rządy państwowe pomagają cyberprzestępcom atakować cele które wpisują się w ich własny program polityczny. Zamazana linia pomiędzy cyberprzestępczością, cyberszpiegostwem i cyberwojną jest prawie nie do rozdzielenia.

piątek, 3 kwietnia 2015

W jaki sposób nowoczesny malware jest nieuchwytny


Cyberprzestępcy używają najnowocześniejszych technik do przeprowadzania ataków, które są zazwyczaj nie do wykrycia. W tym celu używają algorytmów szyfrowania, technik obfuskacyjnych (wymijających), oraz stosują wzorce wypracowanych przez organizacje przestępcze do działań w cyberprzestrzeni. Do stworzenia malware używane są algorytmy szyfrujące takie jakRC5, RC6, RC4, ASE itd.. w powiązaniu z innymi kryptograficznymi funkcjami i haszami.

Jedną z najbardziej wyrafinowanych technik jaką można spotkać jest loader, który używa unikalnego identyfikatora obiektu ID (NTSF) folderu Windows zainfekowanej ofiary zaszyfrowanego tysiąc razy przez SHA-256, w celu odszyfrowania następnego ciągu z rejestru systemu! Ale po co takie kombinacje? Wszystko jest perfekcyjne obmyślone żeby jednoznacznie powiązać infekcję do konkretnego urządzenia, oraz oznacza że payload nie może zostać odszyfrowany bez znajomości identyfikatora obiektu NTFS.

Cyberprzestępcy korzystają z różnych platform, które są ciągle ulepszane. Platforma składa się z głównego modułu oraz implantów, które mogą być dynamicznie wgrywane, bądź też usuwane przez atakujących. Jednym z implantów jest tzw walidator, zaprojektowany aby potwierdzić zamierzony cel. Jeśli cel jest potwierdzony wtedy wgrywany jest inny moduł, który jest bardziej wyrafinowany i stworzony do konkretnego celu. Cykl zdobywania interesującej ofiary wygląda następująco:
  1. Pierwszy etap to zainfekowanie ofiary poprzez web-based exploit który może znajdować się na zainfekowanych forach oraz stronach.
  2. Walidator sprawdza czy ofiara jest interesującym celem.
  3. Wgranie pełnej wersji szpiegowskiego złośliwego oprogramowania.
Exploit wykorzystuje daną podatność do wstrzyknięcia paylodu, natomiast payload może służyć do nawiązania komunikacji z serwerem C&C.