Cybersamling

Cyber-indsamling  er brugen af ​​cyberkrigsføringsteknikker til at udføre spionage , et særligt tilfælde af cyberspionage . Cyberhøstaktiviteter er typisk baseret på at injicere malware i et målrettet netværk eller computer for at scanne, indsamle og vise følsomme og/eller følsomme oplysninger.

Cyber-indsamling begyndte så tidligt som i 1996, hvor udbredt adgang til internettet til offentlige og virksomhedssystemer tog fart. Siden da er der blevet registreret mange tilfælde af sådan aktivitet. [1] [2] [3]

Ud over eksempler, der involverer staten, er cyberindsamling også blevet brugt af organiseret kriminalitet til identitetstyveri og elektronisk bankvirksomhed, såvel som virksomhedsspioner. Operation High Roller brugte programmer til at indsamle oplysninger om pc'er og smartphones, der blev brugt til elektroniske razziaer på bankkonti. [4] Rocra-indsamlingssystemet, også kendt som "Red October", er "spionage til leje" fra organiserede kriminelle, der sælger de indsamlede oplysninger til højestbydende. [5]

Platforme og funktioner

Cyber-indsamlingsværktøjer er blevet udviklet af regeringer og enkeltpersoner til stort set alle eksisterende versioner af computer- og smartphone -operativsystemet . Værktøjerne er kendt for at eksistere til computere baseret på Microsoft Windows , Apple MacOs og Linux og til iPhone , Android , Blackberry og Windows Phone -telefoner . [6] De vigtigste producenter af kommercielle off-the-shelf cyberhøstteknologier (COTS) er Gamma Group fra Storbritannien [7] og Hacking Team fra Italien . [8] Virksomheder, der producerer specialiserede cyberhøstværktøjer, tilbyder også ofte COTS zero-day exploit -pakker . Sådanne virksomheder er for eksempel Endgame, Inc. og Netragard fra USA og Vupen fra Frankrig. [9] Statslige efterretningstjenester har ofte deres egne teams til at udvikle cyber-indsamlingsværktøjer såsom Stuxnet , men kræver en konstant kilde til nul-dages udnyttelser for at injicere deres værktøjer i nye systemer under angreb. De specifikke tekniske detaljer om sådanne angrebsmetoder sælges ofte for sekscifret i amerikanske dollars . [ti]

Fælles funktionaliteter i cyberindsamlingssystemer omfatter:

• Datascanning  : Lokal- og netværkslagring scannes for at finde og kopiere filer af interesse såsom dokumenter, regneark, designfiler såsom Autocad-filer og systemfiler såsom passwd-filen.
• Placeringsregistrering : GPS, Wi-Fi, netværksoplysninger og andre tilsluttede sensorer bruges til at lokalisere og flytte en inficeret enhed .
• Bug  : Enhedens mikrofon kan aktiveres til at optage lyd. Tilsvarende kan lydstreams bestemt tilhøjttalere og højttalere placeret på det lokale netværk opsnappes på enhedsniveau og optages.
• Skjulte private netværk , der omgår virksomhedens netværkssikkerhed. Den overvågede computer kan være forbundet til et rigtigt virksomhedsnetværk, der er nøje overvåget for malware-aktivitet, mens den også er forbundet til et privat Wi-Fi-netværk uden for virksomhedens netværk, hvorfra fortrolige oplysninger lækkes fra medarbejderens computer. En sådan computer konfigureres let af en dobbeltagent, der arbejder i IT-afdelingen ved at installere et andet netværkskort i computeren og speciel software til fjernovervågning af computeren til en medarbejder, der ikke er opmærksom på tilstedeværelsen af ​​en ekstra tredjepartsforbindelse passerer gennem dette kort,
• Capture Camera  : Enhedens kameraer kan aktiveres til skjult optagelse af billeder eller videoer.
• Keylogger og Mouse Movement Reader  : Et ondsindet program, der fanger hvert tastetryk, musebevægelse og klik, som brugeren foretager. Kombineret med skærmbilleder kan dette bruges til at hente adgangskoder, der indtastes ved hjælp af det virtuelle skærmtastatur.
• Screen Capture  : En ondsindet agent kan tage periodiske skærmbilleder. Dette er nødvendigt for at få adgang til at vise følsomme oplysninger, som måske ikke er gemt på maskinen, såsom elektroniske banksaldi og krypteret webmail. Sådanne programmer kan også bruges i kombination med data fra en keylogger og en læser af musebevægelser til at bestemme legitimationsoplysninger for at få adgang til andre internetressourcer.
• Kryptering  : Indsamlede data krypteres sædvanligvis på fangetidspunktet og kan transmitteres i realtid eller gemmes til senere tilbagetrækning. Ligeledes er det almindelig praksis for en bestemt operation at bruge visse krypteringsfunktioner og polymorfe kapaciteter i cybergathering-programmet for at sikre, at opdagelse ét sted ikke kompromitterer andre betjeningsværktøjer.
• Omgåelse af kryptering  : Fordi malware-agenten kører på målsystemet med fulde adgangsrettigheder og bruger- eller systemadministrator -brugerkontorettigheder , kan kryptering omgås. For eksempel giver optagelse af lyd ved hjælp af en mikrofon og lydoutputenheder malware mulighed for at fange begge sider af et krypteret Skype-opkald. [elleve]
• Databeslaglæggelsessystem  : Cyberhøstningsprogrammer ekstraherer typisk indfangede data på en inline måde, og forventer ofte høje mængder webtrafik og skjuler transmissionen som at gennemse sikre websider. USB-sticks er blevet brugt til at hente information fra systemer, der er beskyttet af et luftgab . Outputsystemer involverer ofte brug af reverse proxy-systemer, der anonymiserer modtageren af ​​dataene. [12]
• Replikeringsmekanisme  : Programmer kan kopiere sig selv til andre medier eller systemer, for eksempel kan et program inficere filer på en skrivbar netværksshare, eller installere sig selv på USB-drev for at inficere computere, der er luftgappede eller på anden måde ikke er på det samme netværk.
• Filhåndtering og filservice  : Malware kan bruges til at slette sine egne fodspor fra logfiler. Det kan også downloade og installere moduler eller opdateringer samt datafiler. Denne funktion kan også bruges til at placere "beviser" på målsystemet, såsom at indsætte børnepornografi i en politikers computer eller manipulere stemmer på en elektronisk stemmetæller.
• Kombinationsregel  : Nogle programmer er meget komplekse og kan kombinere ovenstående funktioner for at give målrettede intelligensindsamlingsmuligheder. For eksempel kan brug af målets hyppige lokaliseringsdata via GPS og mikrofonaktivitet bruges til at gøre en smartphone til en smart fejl, der kun opsnapper samtaler på målets kontor.
• Kompromitterede mobiltelefoner . Fordi nutidens mobiltelefoner i stigende grad ligner almindelige computere, er disse mobiltelefoner sårbare over for de samme cyberangreb som computersystemer, med den ekstra sårbarhed at lække ekstremt følsomme samtale- og placeringsoplysninger til ubudne gæster. [13] I en række nylige sager om stalking var gerningsmanden i stand til at finde placeringen (ved hjælp af GPS) af en mobiltelefon og samtaleoplysninger og bruge dem til at ringe til nærliggende politimyndigheder for at fremsætte falske anklager mod offeret afhængigt af hans placering (varierer fra at rapportere oplysninger om de besøgende restaurantpersonale til at drille offeret til mened mod dem. Hvis offeret f.eks. var parkeret på en stor parkeringsplads, kan gerningsmændene ringe og hævde, at de så stoffer eller vold med en beskrivelse af offeret og GPS-anvisninger.

Penetration

Der er flere almindelige måder at inficere eller få adgang til et mål på:

• En injektionsproxy  er et system, der hostes opstrøms for et mål eller en virksomhed, normalt en internetudbyder, designet til at injicere malware i målsystemet. For eksempel kan en uskyldig download foretaget af en bruger blive inficeret med en spyware, der kan eksekveres i farten for at få adgang til information fra regeringsagenter. [fjorten]
• Spyd-phishing  : En omhyggeligt udformet e-mail sendes til et mål for at lokke dem til at installere malware gennem et trojan -inficeret dokument eller gennem et direkte angreb hostet på en webserver, der er kompromitteret eller kontrolleret af ejeren af ​​malwaren. [femten]
• Stealth penetration kan bruges til at inficere et system. Med andre ord sniger spyware sig ind i målets hjem eller kontor og installerer malware på målets system. [16]
• En udgående monitor eller sniffer  er en enhed, der kan opsnappe og se data transmitteret af målsystemet. Normalt er denne enhed installeret hos internetudbyderen. Carnivore - systemet , udviklet af US FBI , er et berømt eksempel på denne type system. Baseret på samme logik som telefonaflytning er denne type systemer af begrænset brug i dag på grund af den udbredte brug af kryptering i datatransmission.
• Et trådløst indbrudssystem kan bruges i nærheden af ​​et mål, når målet bruger en eller anden form for trådløs transmissionsteknologi. Dette er typisk et bærbart system, der efterligner en WiFi- eller 3G-basestation for at overtage målsystemer og videresende anmodninger til internettet. Når først målsystemerne er online, fungerer systemet som en proxy for injektion eller som en udgående monitor for at infiltrere eller overvåge målsystemet.
• En USB-nøgle med en forudindlæst malware-infektor kan sendes rundt eller tilsyneladende ved et uheld kasseres i nærheden af ​​målet.

Cyberhøstprogrammer installeres normalt sammen med nyttig software, der er inficeret med zero-day sårbarheder og leveres via inficerede USB-drev, vedhæftede filer i e-mails eller ondsindede websteder. [17] [18] Regeringssponsorerede cyberhøstoperationer brugte officielle operativsystemcertifikater i stedet for at stole på almindelige sikkerhedssårbarheder. I Operation Flame hævdede Microsoft , at Microsoft-certifikatet, der blev brugt til at identificere Windows Update , var forfalsket; [19] Nogle eksperter mener dog, at det kan være opnået gennem personlig kontakt efterretningsindsats (HUMINT). [tyve]

Eksempler på operationer

• Stuxnet
• Flame (computervirus)
• duqu
• Rocra[21] [22]
• Operation High Roller[23]

Se også

• cyberkrig
• computer overvågning
• Computer sikkerhed
• Kinesiske efterretningsoperationer i USA
• Cybersikkerhedsregulering
• Industrispionage
• spøgelsesnet
• Proaktivt cyberforsvar
• Observation
• Chaos Computer Club [1]
• Global Surveillance Disclosure (2013 til nu)
• Individuelle adgangsoperationer

Noter

1. ↑ 1 2 Pete Warren, statssponsorerede cyberspionageprojekter, der nu er fremherskende, siger eksperter Arkiveret 8. april 2022 på Wayback Machine , The Guardian, 30. august 2012
2. ↑ Nicole Perlroth, undvigende FinSpy-spyware dukker op i 10 lande Arkiveret 18. august 2012 på Wayback Machine , New York Times, 13. august 2012
3. ↑ Kevin G. Coleman, Har Stuxnet, Duqu og Flame antændt et cybervåbenkapløb? Arkiveret fra originalen den 8. juli 2012. , AOL Government, 2. juli 2012
4. ↑ Rachael King, Operation High Roller Targets Corporate Bank Accounts Arkiveret 11. december 2017 på Wayback Machine 26. juni 2012
5. ↑ Frederic Lardinois, Eugene Kaspersky og Mikko Hypponen taler om rød oktober og fremtiden for cyberkrig på DLD Arkiveret 8. april 2022 på Wayback Machine , TechCrunch, 21. januar 2013
6. ↑ Vernon Silver, Spyware Matching FinFisher kan overtage IPhones Arkiveret 8. marts 2021 på Wayback Machine , Bloomberg, 29. august 2012
7. ↑ FinFisher IT Intrusion . Dato for adgang: 31. juli 2012. Arkiveret fra originalen 31. juli 2012. (ubestemt)
8. ↑ Hacking-team, fjernkontrolsystem . Dato for adgang: 21. januar 2013. Arkiveret fra originalen 15. december 2016. (ubestemt)
9. ↑ Mathew J. Schwartz, Weaponized Bugs: Time For Digital Arms Control Arkiveret 31. oktober 2013 på Wayback Machine , Information Week, 9. oktober 2012
10. ↑ Ryan Gallagher, Cyberwar's Grey Market Arkiveret 2. oktober 2018 på Wayback Machine , Slate, 16. januar 2013
11. ↑ Daniele Milan, The Data Encryption Problem Arkiveret 8. april 2022 på Wayback Machine , Hacking Team
12. ↑ Robert Lemos, Flame gemmer hemmeligheder i USB-drev Arkiveret 15. marts 2014. , InfoWorld, 13. juni 2012
13. ↑ hvordan man spionerer på en mobiltelefon uden at have adgang . Hentet 11. maj 2022. Arkiveret fra originalen 8. april 2022. (ubestemt)
14. ↑ Pascal Gloor, (u)lovlig aflytning arkiveret 5. februar 2016. , SwiNOG #25, 7. november 2012
15. ↑ Mathew J. Schwartz, Operation Red October Attackers Wielded Spear Phishing Arkiveret 7. november 2013 på Wayback Machine , Information Week, 16. januar 2013
16. ↑ FBI Records: The Vault, skjulte poster arkiveret 8. april 2022 på Wayback Machine , Federal Bureau of Investigation
17. ↑ Kim Zetter, "Flame"-spyware, der infiltrerer iranske computere Arkiveret 16. april 2016 på Wayback Machine , CNN - Wired, 30. maj 2012
18. ↑ Anne Belle de Bruijn, Cyberkriminel forsøger at spionage ved DSM Arkiveret 4. marts 2016 på Wayback Machine , Elsevier, 9. juli 2012
19. ↑ Mike Lennon, Microsoft-certifikat blev brugt til at signere "Flame"-malware [{{{1}}} Arkiveret] {{{2}}}. 4. juni 2012
20. ↑ Paul Wagenseil, Flame Malware Uses Stolen Microsoft Digital Signature , NBC News, 4. juni 2012
21. ↑ "Red October" diplomatiske cyberangrebsundersøgelse Arkiveret 28. juni 2014 på Wayback Machine , Securelist, 14. januar 2013
22. ↑ Kaspersky Lab identificerer Operation Red October Arkiveret 4. marts 2016. , Kaspersky Labs pressemeddelelse, 14. januar 2013
23. ↑ Dave Marcus & Ryan Cherstobitoff, Dissecting Operation High Roller Arkiveret 8. marts 2013. , McAfee Labs