SATORI, «пробуждение» бот-сетей и другие проблемы 2018 для кибербезопасности

(Ди Ciro Metuarata)
08/01/18

Понимание того, что будет самыми важными тенденциями года, только что вступившего в силу информационная безопасность, это, конечно, не просто. Консалтинг i сообщать на самом деле, самые известные компании, занимающиеся компьютерной безопасностью, рискуют потеряться среди множества угроз, обозначенных как «возникающие» для 2018. Короче говоря, нет сектора измерения кибер- в котором не сообщается об угрозе, которая может поставить под угрозу безопасность систем и информации компаний, учреждений и простых пользователей. Некоторые из них, однако, привлекли мое внимание, потому что, не имея презумпции делать прогнозы на оставшуюся часть года, я думаю, что они будут говорить о себе в ближайшие месяцы. Например, Ботнет крещеные Сатори («пробуждение», согласно дзэн-буддизму), новый и даже более опасный вариант кибер-угрозы, уже «взорван» в 2016 (Мирай), который внезапно «разбудил» и распространился Web почему это наблюдалось раньше.

В частности, в рамках вышеупомянутой мрачной картины я имею в виду четыре типа кибер- угрозы: i вымогателей используется для «деструктивных» целей, le Ботнет ориентированный наИнтернет вещей (IoT), как и вышеупомянутые Сатори, нападения на цепочками поставок и те, которые связаны с распространением так называемых крипто валюты, Каждое из них представляет, по моему скромному мнению, некоторые аспекты, которые делают его уникальным и предсказуемым распространением в курсе 2018. Конечно, они не будут единственными, кто пожнет «жертв», но я считаю, что они заслуживают особого внимания.

I вымогателей они использовались в течение нескольких лет группами кибер- преступников, чтобы вымогать деньги у несчастных пользователей, компаний или учреждений. Механизм атаки прост и известен в течение некоторого времени, но в последние месяцы изменения наблюдались как в используемой тактике, так и в целях, которые, к сожалению, предвещают новые тенденции для 2018. В целом, преступные группы используют несколько методов, направленных на имплантацию i-й техники вредоносных программ, специально разработанный, чтобы сделать их непригодными для использования. Единственный способ вернуть владение компьютер и содержащейся в нем информации, заключается в оплате выкупа, как правило, в криптовых валютах, следуя определенным инструкциям. То, что было обнаружено в 2017 об этой угрозе, - это две основные новинки: растущая сложность вредоносных программ сотрудников и, в некоторых случаях, цель, не связанная строго с деньгами. В частности, текущие вымогателей они могут использовать самые серьезные уязвимости в операционных системах, приложениях и протоколах связи, чтобы иметь возможность автономно распространяться как в домашних, так и в бизнес-сетях. Таким образом, только один компьютер, зараженный такими вредоносных программ, может поставить под угрозу безопасность всей сети, в которой он находится. Кроме того, варианты этих программного обеспечения. вредоносные люди генерируются так быстро, что продукты безопасности часто испытывают трудности с их идентификацией. Но самые важные новости, уже прослеживаемые в ранее опубликованной статье (против статья), это другое: видимо, некоторые атаки вымогателей они не были предназначены для получения денег от «жертв», а скорее для того, чтобы вызвать серьезные негативные последствия для деятельности, которую они выполняют, и в большинстве случаев кажется, что цель была полностью достигнута. Вероятно, это также связано с недобросовестностью авторов вышеупомянутых атак, прямым следствием известных юридических лакун, которые характеризуют мир кибер-, при всем уважении к Белому дому, который недавно обвинил Северную Корею в том, что он является архитектором тяжелых убытков, вызванных вымогателей WannaCryptor (против статья). Так будет ли это и для 2018? Все заставляет нас думать в этом смысле, так как в большинстве случаев атаки вымогателей «классика» потеряла свою эффективность: все компании безопасности, на самом деле, если вы стали жертвой таких атак, советуем не платить выкуп и ждать, пока метод дешифрования и «разблокировки» систем не будет (обычно это происходит в течение нескольких недель или нескольких месяцев). Таким образом, постоянно уменьшающееся количество пользователей попадает в ловушку, а преступники получают меньше и меньше денег. В конечном счете, как в случае, когда целью является зарабатывание денег, без серьезных претензий, намеревается ли оно нанести ущерб, i вымогателей они по-прежнему будут делать дело с плохими парнями, даже в этом году.

Точно так же даже явление Ботнет представляет собой абсолютную новизну (v.articolo). Виртуальные сети, состоящие из компьютер в котором то же самое было имплантировано вредоносных программчтобы получить контроль без знаний пользователей, они появились в измерении кибер- давно. Однако даже в этом случае мы наблюдаем эволюцию явления, которое еще не полностью консолидировано. В частности, с «взрывом» Мирай (v.articolo) хрупкость безопасности так называемого IoT показалась ясной, то есть все эти устройства, более или менее сложные, подключенные к Интернету. В случае Ботнет в частности, с Mirai были «незаконно завербованы» десятки тысяч устройств, чтобы добиться целенаправленных атак на некоторые узлы системы Система имен доменов (DNS). Короче говоря, эти устройства были перепрограммированы для одновременного взаимодействия с вышеупомянутыми узлами DNS таким образом, чтобы перегрузить сервер и сделать десятки сайтов "недостижимыми" Web, Как и ожидалось, Мираи позже дал различные варианты такого типа атаки, в том числе «Сатори» (также известный как Окиру), который можно считать действительным индикатором текущего тренда. Похоже, что этот вариант Mirai, обнаруженный несколько недель назад, в основном использует определенные уязвимости безопасности конкретных моделей маршрутизатор, включая особенно серьезные и неизвестные до сегодняшнего дня. После имплантации вредоносных программ благодаря этим недостаткам безопасности, я маршрутизатор отвечать на команды, заданные сервер Команда и управление, используемые злоумышленником (общая информация которого еще неизвестна), чтобы направить операцию. Не только это, хотя и не все детали функционирования Satori еще не обнаружены, кажется очевидным, что каждое «зараженное» устройство сканирует Интернет, ища его «аналогичные», которые должны быть включены в Ботнет, К счастью, эта секретная сеть была обнаружена до того, как она начала функционировать, хотя она все еще расширялась, поэтому теперь мы работаем для покрытия, обновляя модели маршрутизатор участие. В противном случае это была бы серьезная проблема, так как кажется, что даже Сатори, как и в случае с Mirai, был разработан для запуска таких атак, как Распределенный отказ в обслуживании (DDoS), направленный на нарушение нормального функционирования какой-либо службы на линии или сайт веб. Учитывая, что Ботнет, прежде чем быть обнаруженным, он был экспоненциально расширяющимся, по оценкам, очень немногие системы безопасности могли столкнуться с атакой, запущенной Satori. Таким образом, интересными аспектами этой угрозы являются как минимум два: вышеупомянутое скорейшее расширение подпольной сети и относительная простота, с которой была начата и проведена вся операция. Этот последний аспект, пожалуй, самый неприятный. Фактически, из первых исследований выяснилось, что Ботнет это может быть задумано отдельным лицом или не особо технически экспертной преступной группой, поскольку было установлено, что он узнал бы много информации, посетив некоторые Форум используемый хакер, Однако пока не ясно, как и кем наиболее серьезная уязвимость безопасности маршрутизатор участие. Обнаружив недостаток и нашел лекарство, он должен быть приведен к присяге в любом случае, что в эти дни кто-то ищет другие слабые стороны IoT. Поэтому даже с этой точки зрения все говорит о том, что нас ждет трудный год.

Как будто этого было недостаточно, некоторые компании по компьютерной безопасности предупреждают нас об этих атаках цепочками поставок, особенно коварный, потому что трудно обнаружить и суждено стать все более распространенным явлением. Короче говоря, для обслуживания в функциях любой компьютерной системы или общей системы, которая владеет IT-подсистемами, она почти всегда прибегает к услугам, предоставляемым третьими лицами (так называемые цепочками поставок), которые потенциально подвержены угрозам информационная безопасность, Безопасность цепочками поставокпоэтому это аспект, который включает практически все электронные устройства, которые мы используем каждый день. Простой пример: один смартфон поставляемый определенным производителем, с компонентами, начиная с микропроцессора, поставляемого другими компаниями. Он также использует операционную систему, иногда предоставляемую другой компанией, которая контролирует работу и безопасность как телефона, так и Андройд Приложение разработанный другими компаниями / организациями. Ну, каждый компонент аппаратные средства e программного обеспечения. устройства могут быть скомпрометированы в любое время в его жизненном цикле (сборка, отгрузка, техническое обслуживание, скачать обновления и т. д.), путем нападения на цепочками поставок, Этот тип угрозы, но не новый, но часто недооцененный из-за затрат и организации, которые необходимы для его осуществления, на данный момент остается исключительной прерогативой услуг интеллект и до недавнего времени это было очень редко. Однако во время 2017 было записано по крайней мере три эпизода атаки цепочками поставок, включая эмблематическую Программное обеспечение CCleaner, связанный сантивирус компании Avast. Несколько месяцев назад исходный код этого продукта был изменен без каких-либо знаний производителя, после чего он был доступен на официальном канале распространения почти месяц и был загружен тысячами пользователей. В частности, версия Ccleaner скомпрометированный, содержащий код вредоносных программ направленных на кражу личной информации и учетных данных от ничего не подозревающих пользователей. С другой стороны, тот же метод использовался также для распространения NotPetya в определенном географическом районе (Украина - против статья): вымогателейв этом случае он был скрыт в обновлении программного обеспечения. особенно широко распространены среди компаний этого региона и специально выпущены для блокирования их деятельности, нанося тем самым ущерб, особенно экономический. Мало того, этот тип атак также может представлять реальную опасность для Вооруженных сил. Фактически, если на какой-то момент мы остановимся на том, сколько систем, от самых сложных до информационно-управляющих, используемых для повседневной деятельности, зависит от услуг, предоставляемых сторонними компаниями (для ремонта, обслуживания, обновлений, установок и т. Д. .), вы можете легко понять, насколько они подвергаются только что упомянутой угрозе. Неудивительно, что этот вопрос все более серьезно воспринимается Вооруженными Силами многих стран, такими как США, которые теперь рассматривают вопрос о контроле и цепочки поставок, также с точки зрения кибер-, существенный элемент.

Наконец, в течение нескольких месяцев мы наблюдаем широкое распространение так называемых крипто валюты или криптовалюты или даже виртуальные валюты. Прямыми последствиями этого явления являются резкое увеличение кражи таких валют (v.articolo) и взрыв «золотой лихорадки двадцать первого века», для которой все больше и больше людей готовятся к «извлечению» самих криптовых монет.

Упрощение крайности и отсутствие аспектов функционирования блокчейн, виртуальные монеты, по сути, состоят из файл шифров, полученных благодаря очень сложным вычислениям и для i компьютер, Получите эти файлпоэтому, это совсем не так просто, так много нужно аппаратные средства специально предназначенные для этого требования, оснащенные предельной вычислительной мощностью, но также очень дорогими, также с энергетической точки зрения. Поэтому альтернативный путь распространяется на «извлечение» криптовых монет, даже не говоря уже о незаконном: использовать мошеннический способ умения вычислять компьютер пользователей Интернета. Новая тенденция, наблюдаемая некоторыми компаниями информационная безопасность, это как раз то, что называется так называемым крипторемонт незаконным, то есть вредоносных программ которые заражают ПК пользователей, чтобы перепрограммировать их, чтобы «извлечь» криптовые монеты, сотрудничая друг с другом в сети. Было также отмечено, что угроза также распространяется на сайты Web незаконно измененный. В этом случае i шахтер они попадают без установки вредоносных программ, просто через браузер, Последствия для пользователей, которые сталкиваются с такими незаконными методами, легко понятны: в дополнение к более высокоуровневому счету энергии, чем обычно (было рассчитано, что ПК, в то время как криптодобыча, потребляет до пяти раз больше, чем обычно) i компьютер, если они не особенно эффективны, они становятся практически бесполезными до тех пор, пока во многих случаях они не будут повреждены. Он должен быть приведен к присяге, что кибернетическая золотая лихорадка не даст никаких скидок, поэтому даже эта угроза обречена на неприятности киберпространства в ближайшем будущем.

С новым годом!

Основные источники:

https://www.globalsecuritymag.com/McAfee-Labs-Previews-Five,20171204,75496.html

http://www.silicon.co.uk/security/cyberwar/satori-enlists-263000-bots-225757?inf_by=5a4cf252671db8124c8b4878

https://blog.fortinet.com/2017/12/12/rise-of-one-more-mirai-worm-variant

https://securelist.com/ksb-threat-predictions-for-2018/83169/

https://irishinfosecnews.wordpress.com/2017/12/22/huawei-router-vulnerability-used-to-spread-mirai-variant/

http://blog.trendmicro.com/trendlabs-security-intelligence/digmine-cryptocurrency-miner-spreading-via-facebook-messenger/

https://www.kaspersky.com/blog/mining-easy-explanation/17768/

https://www.kaspersky.it/blog/web-miners-protection/14859/

http://cyberdefensereview.army.mil/The-Journal/Article-Display/Article/1136092/safeguarding-the-united-states-militarys-cyber-supply-chain/

http://formiche.net/2017/12/19/corea-del-nord-dietro-il-malware-wannacry/

https://www.enisa.europa.eu/publications/info-notes/supply-chain-attacks

https://www.cips.org/supply-management/news/2017/april/largest-ever-cyber-espionage-campaign-targeted-it-contractors/

https://www.afcea.org/committees/cyber/documents/Supplychain_000.pdf

http://www.lastampa.it/2017/09/19/tecnologia/news/violato-ccleaner-milioni-di-pc-a-rischio-tH5lRAo2dsgzNVJtBvZA5L/pagina.html

оборона рейнметалла