Кибершпионаж − настолько широкое понятие, что нет никакой возможности написать о нем в рамках одной статьи. Потому я вынужден ограничиться рассмотрением лишь некоторых моментов, и в рамках данной статьи будет рассмотрен кибершпионаж при помощи вредоносного программного обеспечения и промышленный кибершпионаж.
Кибершпионаж при помощи вредоносного программного обеспечения
Современный человек носит в своем кармане мобильный телефон, имеющий с высокой вероятностью микрофон, две камеры и датчик GPS/ГЛОНАСС. Эти технологии позволяют прослушивать помещение по периметру, наблюдать через камеры и отслеживать передвижение владельца. Про получение доступа к звонкам, перепискам, электронной почте можно и не говорить.
Вы думаете, это теоретические угрозы? Вы слышали про смартфоны компаний Xiaomi, Huawei или Lenovo? А вы знаете, что некоторое время назад эти компании были пойманы на поставках телефонов со встроенным шпионским ПО. И это не утка, не домысел и не слух − к сожалению, это чистая правда. Шпионское программное обеспечение могло следить за владельцами, подслушивать звонки и передавать данные недоброжелателям. Не факт, что виноваты производители, весьма вероятно, шпионский софт устанавливался где-то на пути к конечному покупателю.
Может быть, вы думаете, что пользователи iOS в безопасности? Расскажите это известному правозащитнику из ОАЭ Ахмеду Мансуру, в свое время догадавшемуся передать присланную ему на iPhone ссылку специалистам в области компьютерной безопасности. Так было обнаружено вредоносное программное обеспечение Pegasus, эксплуатирующее сразу три 0-day уязвимости в iOS.
Переход по этой ссылке привел бы к заражению устройства и превратил бы его iPhone в идеальный инструмент кибершпионажа. Все владельцы iOS-девайсов должны быть благодарны осторожности Ахмеда Мансура.
Но возможно, вы используете менее распространенную версию мобильной операционной системы или так называемый криптосмартфон вроде BlackBerry или Blackphone? Забудьте про неуязвимую технику: 2018 год начался с Meltdown – обнаружения девятилетней критической уязвимости в процессорах, перед которой уязвимы почти все современные устройства. И эта уязвимость стала одной из самых масштабных и опасных в истории, мир буквально разделился на до ее обнаружения и после. Потому малораспространенные системы и криптофоны вас не спасут, тем более тот же Blackphone в свое время был взломан на BlackHat за 5 минут...
Кстати, Meltdown коснулась всех операционных систем, включая Windows, macOS, iOS, всех систем на основе Linux. Без обновлений от нее не спасет ни чистый Debian, ни Linux Mint, ни Tails, ни Whonix.
Может быть, вы думаете, что данные возможности доступны только спецслужбам? Действительно, спецслужбы обладают значительно более широким набором ПО и эксплойтов, чем простые пользователи. Разоблачения Эдварда Сноудена и особенно публикации инструментов в Wikileaks весной 2017 года показывают, насколько просто они могут получить доступ к любому компьютеру на планете, но главная проблема заключается в доступности шпионского ПО для простых пользователей. А для заражения неподготовленной жертвы много ума не надо: социальная инженерия, немного времени и денег (по крайней мере, в случае с Android и Windows).
Все, что необходимо простому пользователю, − посетить специализированный форум: в русскоязычной части интернета это exploit, в англоязычной − hackforums, и выбрать подходящее программное обеспечение класса RAT. Из этических соображений я не буду описывать дальнейшие шаги, единственное, хочу обратить внимание, что попытки заразить кого-либо кроме себя могут привести вас на скамью подсудимых. Например, житель Рима Энтони С. попал под суд в начале 2017 года за установленное бывшей девушке приложение для слежки за ней. Он несколько месяцев следил за ее смартфоном, пока не был арестован итальянской полицией. И таких случаев, как с Энтони, немало.
Условный Энтони отличается от профессиональных хакеров тем, что он не скрывает, куда программа отправляет данные. Профессионалы приобретают абузоустойчивые сервера в офшорных датацентрах, оплачивая их от имени подставных лиц, и тщательно скрывают их местонахождение. Условный Энтони или приобретет управляющий сервер на популярном хостинге, оформит на свои данные и оплатит со своей банковской карты (конечно, хостинг сразу выдаст его), или, того хуже, Энтони воспользуется серверами приложения, предназначенного для контроля за детьми, разработчики которого, чтобы не быть обвиненными в разработке вредоносного ПО, крайне трепетно относятся к запросам правоохранительных органов.
Но это лирика, чтобы вы могли понять: мнимая простота и доступность инструментов для кибершпионажа может привести к вполне реальному сроку. Как бы вам не казалось обратное, настоятельно советую не лезть в эту тему.
Кстати, программы для кибершпионажа часто разрабатываются правоохранительными органами как приманка для ловли нарушителей или хакерами как приманка для жертв. Так, в свое время в Cobian RAT, активно распространявшемся на андеграунд-форумах и представлявшемся едва ли не как идеальная программа, был обнаружен бэкдор. Пользователь скачивал себе программу, чтобы заражать жертв, и в этот момент сам становился жертвой программы. По-своему, это даже немного справедливо.
Но вернемся к кибершпионажу. Многие верят в антивирусы, попадаясь на рекламные лозунги компаний из серии «надежная защита ваших устройств» или «принципиально новый уровень безопасности»... Если бы антивирусы могли защитить от шпионского ПО, его просто не было бы, а эта глава состояла из одного предложения: «Просто установите себе антивирус и более вам нечего забивать себе голову угрозой кибершпионажа».
Увы, вредоносное программное обеспечение для кибершпионажа тестируется на предмет обнаружения антивирусами. Если антивирусы знают о существовании вредоносного ПО, то создатели этого ПО его криптуют, делая неузнаваемым.
А иногда и сами антивирусы становятся инструментом для кибершпионажа. Предполагаю, что историю Касперского и АНБ вы все знаете, я вм расскажу другой случай. DU Antivirus Security − популярный антивирус для Android, который по некоторым данным установили до 50 миллионов человек, шпионил за пользователями, на чем и был пойман исследователями из Check Point.
DU Antivirus Security разработан DU Group, входящей в конгломерат Baidu. Приложение собирало уникальные индентификаторы устройства, список контактов, журнал вызовов и другую информацию, а затем отправляло ее на сервера, зарегистрированные на сотрудника Baidu. Видите, шпионить могут даже те, кто должен защищать от этого.
Но я опять увлекся, в рамках курса я немало расскажу вам о методах кибершпионажа и инструментах защиты. Обнаружить и удалить шпионское программное обеспечение гораздо сложнее, и некоторые наивно верят, что им поможет смена компьютера или переустановка системы...
-Миф
Смена компьютера, переустановка системы, установка антивируса или вызов специалиста по обнаружению вредоносного программного обепспечения поможет избавиться от профессионального ПО для кибершпионажа.
-Реальность
Профессиональные программы для кибершпионажа прекрасно адаптированы к ситуации смены физического компьютера или переустановки системы − разумеется, ни у антивируса, ни у специалиста почти нет шансов обнаружить их.
Давайте разберем вопрос предметно. Смена компьютера или переустановка операционной системы − радикальный и часто эффективный ход, но если мы говорим о профессиональном кибершпионаже с использованием профессионального ПО, это работает далеко не всегда.
Представьте себя на месте злоумышленника, который должен следить за вами, держит ли он в голове сценарий смены устройства или переустановки ОС? Скорее всего, да, если мы, конечно, говорим об адресном кибершпионаже, где первая фаза − внедрение, а вторая − закрепление. Какие варианты закрепиться есть? Их как минимум три: записать вредоносное программное обеспечение на внешние носители, внедриться в прошивку устройства и «склеиться» с важными данными.
Самый интересный путь − внедрение в прошивку жесткого диска, например, таким образом часто действует вредоносное программное обеспечение АНБ США или связанных с ним групп. Согласно расследованию Лаборатории Касперского именно так функционирует софт группировки хакеров Equation. Уязвимыми оказались модели жестких дисков таких известных компаний, как Seagate, Western Digital, Toshiba, Maxtor, IBM и других.
При внедрении вредоносного ПО в прошивку переустановка системы с форматированием диска становится абсолютно бесполезной, антивирусы тоже не способны достать его там. Единственным эффективным методом является замена инфицированного компонента: вытащить жесткий диск, вынести в поле, облить бензином и сжечь. Но и это может не помочь...
Для предотвращения потери контроля над жертвой при замене зараженного компонента обычно используется запись вредоносного программного обеспечения на внешние носители, коими могут выступать не только флешки, но и телефон, способный помимо простого носителя стать и самостоятельным инструментом для кибершпионажа. И для заражения вам абсолютно не надо подключать телефон к компьютеру.
Как правило, обязательно заражается Wi-Fi роутер жертвы для контроля интернет-трафика. Имея полный удаленный доступ к компьютеру, это не такая сложная задача, а заразив Wi-Fi роутер, можно заражать все устройства, которые к нему подключаются, в том числе другие компьютеры и телефоны.
Благодаря публикации архива секретных документов ЦРУ под кодовым названием Vault 7 миру стало известно о CherryBlossom − фреймворке для взлома домашних роутеров, созданного при поддержке Стэнфордского научно-исследовательского института. Список роутеров, которые были уязвимы, впечатлял, в нем были модели таких компаний, как Apple, D-Link, Linksys, Cisco, Belkin и других.
Но вернемся к устройству жертвы, за которой ведется слежка. Разумеется, пользователь может уничтожить компьютер, уничтожить внешние носители, уничтожить телефон и роутер, но вряд ли он захочет расстаться со своими ценными файлами. Их-то и постарается заразить злоумышленник. Вы покупаете новое устройство, в новой стране подключаетесь к новому Wi-Fi, запускаете свой документ Word − и вы снова жертва слежки.
Есть ли выход? Безусловно, есть, и мы о нем будем говорить в рамках данной статье. Эдвард Сноуден, например, оставлял телефон выключенным... говорят, даже в сейфе. Мне не известно, чтобы немодифицированные выключенные телефоны могли использовать как жучок. Однако отслеживать координаты выключенного смартфона при наличии в нем аккумулятора спецслужбы умеют.
С другой стороны, если у вас, например, iPhone с жучком DROPOUTJEEP от АНБ, вас с высокой долей вероятности смогут слушать и при выключенном устройcтве (название жучка устарело, наверняка его уже изменили). Тем не менее, вы никак не узнаете о наличии в вашем мобильном устройстве жучка, потому тут только один совет: если вы персона, которая может быть интересна спецслужбам, не заказывайте устройства с доставкой на свои данные или на данные членов вашей семьи, сходите в магазин и купите случайное устройство.
-Совет
Если вы персона, которая может быть интересна спецслужбам, не заказывайте устройства с доставкой на свои данные или на данные членов вашей семьи, сходите в магазин и купите случайное устройство
Почему я все время говорю только о профессиональном кибершпионаже? Иногда бывает кибершпионаж ради удовольствия. Не удивляйтесь, но за вами могут шпионить от скуки либо для продажи видеозаписей с вашей веб-камеры, особенно это опасно для молодых симпатичных девушек. Ранее подобные ролики можно было без проблем найти на YouTube, сегодня их стараются удалять.
Обычная забава злоумышленников: вывести что-нибудь на экран, например сын показывает что-то матери, − и в этот момент на экран выводится порно извращенного характера. Реже собранные данные, в основном интимного плана, используются для шантажа. Сами судите: злоумышленник записывает или крадет ваше интимное видео, имея доступ к компьютеру, собирает список ваших друзей, родственников и коллег в социальных сетях, а затем делает предложение − либо вы платите ему деньги, например $2000, либо ваше интимное видео будет отправлено каждому из списка друзей, родственников и коллег.
А как в такой ситуации поступили бы вы?
Промышленный кибершпионаж
Я могу написать много всего интересного на эту тему, но вступительная статья предполагает только знакомство с угрозой и предназначена для широкого круга читателей. Потому предлагаю познакомиться с промышленным кибершпионажем на примере взлома Hacking Team.
Промышленный кибершпионаж − кибершпионаж в отношении компаний, как правило, с целью добычи какой-либо ценной информации. Hacking Team − итальянская компания, которая разрабатывала (и, к сожалению, разрабатывает по сей день) инструменты для кибершпионажа и продавала их правительствам и правоохранительным органам, иными словами, разрабатывала инструменты для шпионажа за вами. Потому для меня взлом Hacking Team − дело справедливое.
Результатом взлома стала публикация 400 ГБ корпоративных данных компании, которые включали информацию о заказах и заказчиках, письма корпоративной почты, исходный код разработок, информацию об исследованиях. Хотя, как правило, при промышленном кибершпионаже злоумышленники или используют информацию в своих нуждах, или кому-то ее продают.
В результате публикаций всплыло сотрудничество Hacking Team с правительствами таких, мягко говоря, недемократических стран, как Ливия и Судан. Очень часто кибершпионаж ведется с целью найти компрометирующую информацию и затем в нужный момент использовать ее против жертвы.
Приведу пример не совсем из мира бизнеса, но наверняка известный каждому из вас. Хилари Клинтон была безоговорочным фаворитом предстоящих президентских выборов, пока в один из дней на портале WikiLeaks не были опубликованы десятки тысяч писем, отправленных с ее электронного почтового ящика.
Сам почтовый ящик, вероятнее всего, был взломан еще задолго до этого, но выложили эти данные ровно в тот момент, когда Хилари так не нужны были скандалы, обвинения и расследование ФБР. Подобное пренебрежение безопасностью стоило Клинтон президентского кресла, которое досталось Дональду Трампу.
-Совет
Если не хотите оказаться на месте Хилари Клинтон, чистите свой почтовый ящик, ну и конечно настройте его комплексную безопасность.
Всем спасибо за просмотр, если вам понравилась статья, подпишитесь, комментируйте, ставьте лайки. Делитесь информацией со всеми!
