Cybersamling

Cyber-insamling  är användningen av cyberkrigföringstekniker för att bedriva spionage , ett specialfall av cyberspionage . Cyberskördningsaktiviteter är vanligtvis baserade på att injicera skadlig programvara i ett riktat nätverk eller dator för att skanna, samla in och visa känslig och/eller känslig information.

Cyber-insamling började redan 1996, när utbredd tillgång till Internet till myndigheter och företags system tog fart. Sedan dess har många fall av sådan verksamhet registrerats. [1] [2] [3]

Utöver exempel som involverar staten har cyberinsamling även använts av organiserad brottslighet för identitetsstöld och elektronisk bankverksamhet, samt företagsspioner. Operation High Roller använde program för att samla in information om datorer och smartphones som används för elektroniska räder på bankkonton. [4] Insamlingssystemet Rocra, även känt som "Red October", är "spionage för uthyrning" från organiserade brottslingar som säljer den insamlade informationen till högstbjudande. [5]

Plattformar och funktioner

Cyberinsamlingsverktyg har utvecklats av regeringar och individer för praktiskt taget alla befintliga versioner av operativsystemet för datorer och smartphones . Verktygen är kända för att finnas för datorer baserade på Microsoft Windows , Apple MacOs och Linux , och för iPhone , Android , Blackberry och Windows Phone- telefoner . [6] De främsta tillverkarna av kommersiella cyberskördningstekniker (COTS) är Gamma Group från Storbritannien [7] och Hacking Team från Italien . [8] Företag som producerar specialiserade cyberskördarverktyg erbjuder ofta COTS - exploateringspaket för noll dagar . Sådana företag är till exempel Endgame, Inc. och Netragard från USA och Vupen från Frankrike. [9] Statliga underrättelsetjänster har ofta sina egna team för att utveckla cyberinsamlingsverktyg som Stuxnet , men kräver en konstant källa till nolldagars utnyttjande för att injicera sina verktyg i nya system under attack. De specifika tekniska detaljerna för sådana attackmetoder säljs ofta för sexsiffriga dollar i amerikanska dollar . [tio]

Vanliga funktioner för cyberinsamlingssystem inkluderar:

• Dataskanning  : Lokal- och nätverkslagring skannas för att hitta och kopiera filer av intresse som dokument, kalkylblad, designfiler som Autocad-filer och systemfiler som passwd-filen.
• Platsregistrering : GPS, Wi-Fi, nätverksinformation och andra anslutna sensorer används för att lokalisera och flytta en infekterad enhet .
• Bugg  : Enhetens mikrofon kan aktiveras för att spela in ljud. På liknande sätt kan ljudströmmar som är avsedda förhögtalare och högtalare som finns på det lokala nätverket avlyssnas på enhetsnivå och spelas in.
• Dolda privata nätverk som kringgår företagets nätverkssäkerhet. Den övervakade datorn kan vara ansluten till ett verkligt företagsnätverk som noggrant övervakas för skadlig aktivitet, samtidigt som den också är ansluten till ett privat Wi-Fi-nätverk utanför företagsnätverket, från vilket konfidentiell information läcker från den anställdes dator. En sådan dator konfigureras enkelt av en dubbelagent som arbetar på IT-avdelningen genom att installera ett andra nätverkskort i datorn och speciell programvara för fjärrövervakning av datorn för en anställd som inte är medveten om närvaron av en ytterligare tredjepartsanslutning passerar genom detta kort,
• Fånga kamera  : Enhetens kameror kan aktiveras för att i hemlighet ta bilder eller videor.
• Keylogger och Mouse Movement Reader  : Ett skadligt program som fångar varje tangenttryckning, musrörelse och klick som användaren gör. I kombination med skärmdumpar kan detta användas för att hämta lösenord som skrivs in med det virtuella tangentbordet på skärmen.
• Skärmdump  : En skadlig agent kan ta periodiska skärmdumpar. Detta är nödvändigt för att få tillgång till att visa känslig information som kanske inte lagras på maskinen, såsom elektroniska banksaldon och krypterad webbpost. Sådana program kan också användas i kombination med data från en keylogger och en läsare av musrörelser för att fastställa referenser för åtkomst till andra Internetresurser.
• Kryptering  : Insamlad data krypteras vanligtvis vid tidpunkten för fångst och kan överföras i realtid eller lagras för senare uttag. På samma sätt är det vanligt att en viss operation använder vissa krypteringsfunktioner och polymorfa funktioner i cybergathering-programmet för att säkerställa att upptäckt på ett ställe inte äventyrar andra operativa verktyg.
• Kryptering förbigå  : Eftersom skadlig programvara körs på målsystemet med fullständiga åtkomsträttigheter och användar- eller systemadministratörs användarkontorättigheter , kan kryptering kringgås. Till exempel, genom att fånga ljud med en mikrofon och ljudutgångsenheter kan skadlig programvara fånga båda sidorna av ett krypterat Skype-samtal. [elva]
• Databeslagssystem  : Cyberskördningsprogram extraherar typiskt infångad data på ett inline-sätt, och förväntar sig ofta stora mängder webbtrafik och döljer överföringen som att surfa på säkra webbsidor. USB-minnen har använts för att hämta information från system skyddade av ett luftgap . Utdatasystem involverar ofta användning av omvänd proxysystem som anonymiserar mottagaren av data. [12]
• Replikeringsmekanism  : Program kan kopiera sig själva till andra media eller system, till exempel kan ett program infektera filer på en skrivbar nätverksresurs, eller installera sig själv på USB-enheter för att infektera datorer som är luftgap eller på annat sätt inte finns i samma nätverk.
• Filhantering och filservice  : Skadlig programvara kan användas för att radera sina egna fotspår från loggfiler. Den kan också ladda ner och installera moduler eller uppdateringar, såväl som datafiler. Den här funktionen kan också användas för att placera "bevis" på målsystemet, som att infoga barnpornografi i en politikers dator eller manipulera röster på en elektronisk rösträkningsmaskin.
• Kombinationsregel  : Vissa program är mycket komplexa och kan kombinera ovanstående funktioner för att tillhandahålla målinriktad intelligensinsamlingskapacitet. Till exempel kan användning av målets frekventa platsdata via GPS och mikrofonaktivitet användas för att förvandla en smartphone till en smart bugg som bara fångar upp konversationer på målets kontor.
• Komprometterade mobiltelefoner . Eftersom dagens mobiltelefoner allt mer liknar datorer för allmänt bruk är dessa mobiltelefoner sårbara för samma cyberattacker som datorsystem, med den extra sårbarheten att läcka extremt känslig konversations- och platsinformation till inkräktare. [13] I ett antal nya fall av förföljelse kunde förövaren få platsen (via GPS) för en mobiltelefon och samtalsinformation och använda dem för att ringa närliggande polismyndigheter för att framföra falska anklagelser mot offret beroende på hans plats (varierar från att rapportera information om besöksrestaurangens personal till att reta offret till mened mot dem. Till exempel, om offret parkerades på en stor parkeringsplats kan förövarna ringa och hävda att de sett droger eller våld, med en beskrivning av offret och GPS-anvisningar.

Penetration

Det finns flera vanliga sätt att infektera eller komma åt ett mål:

• En injektionsproxy  är ett system som är värd uppströms ett mål eller ett företag, vanligtvis en ISP, utformat för att injicera skadlig programvara i målsystemet. Till exempel kan en oskyldig nedladdning gjord av en användare infekteras med ett spionprogram som körs i farten för att få tillgång till information från statliga agenter. [fjorton]
• Spjutfiske  : Ett noggrant utformat e-postmeddelande skickas till ett mål för att locka dem att installera skadlig programvara genom ett trojaninfekterat dokument eller genom en direkt attack på en webbserver som äventyrats eller kontrolleras av ägaren till skadlig programvara. [femton]
• Stealth penetration kan användas för att infektera ett system. Med andra ord, spionprogram smyger sig in i målets hem eller kontor och installerar skadlig programvara på målets system. [16]
• En utgående monitor eller sniffer  är en enhet som kan fånga upp och se data som överförs av målsystemet. Vanligtvis är den här enheten installerad hos internetleverantören. Carnivore - systemet , utvecklat av US FBI , är ett känt exempel på denna typ av system. Baserat på samma logik som telefonavlyssning är denna typ av system av begränsad användning idag på grund av den utbredda användningen av kryptering vid dataöverföring.
• Ett trådlöst intrångssystem kan användas i närheten av ett mål när målet använder någon typ av trådlös överföringsteknik. Detta är vanligtvis ett datorbaserat system som efterliknar en WiFi- eller 3G-basstation för att ta över målsystem och vidarebefordra förfrågningar till Internet. När väl målsystemen är online, fungerar systemet sedan som en proxy för injektion eller som en utgående monitor för att infiltrera eller övervaka målsystemet.
• En USB-nyckel med en förinstallerad skadlig infektör kan skickas runt eller till synes oavsiktligt slängas nära målet.

Cyberskördningsprogram installeras vanligtvis tillsammans med användbar programvara infekterad med nolldagssårbarheter och levereras via infekterade USB-enheter, e-postbilagor eller skadliga webbplatser. [17] [18] Regeringssponsrade cyberskördningsoperationer använde officiella operativsystemcertifikat istället för att förlita sig på vanliga säkerhetsbrister. I Operation Flame hävdade Microsoft att Microsoft-certifikatet som användes för att identifiera Windows Update var förfalskat; [19] Vissa experter tror dock att det kan ha erhållits genom personlig kontaktunderrättelseverksamhet (HUMINT). [tjugo]

Exempel på operationer

• Stuxnet
• Flame (datorvirus)
• duqu
• Rocra[21] [22]
• Operation High Roller[23]

Se även

• cyberkrig
• datorövervakning
• Datorsäkerhet
• Kinesisk underrättelseverksamhet i USA
• Cybersäkerhetsreglering
• Industrispionage
• spöknät
• Proaktivt cyberförsvar
• Observation
• Chaos Computer Club [1]
• Global Surveillance Disclosure (2013 till idag)
• Individuell åtkomstverksamhet

Anteckningar

1. ↑ 1 2 Pete Warren, statligt sponsrade cyberspionageprojekt som nu är vanliga, säger experter Arkiverad 8 april 2022 på Wayback Machine , The Guardian, 30 augusti 2012
2. ↑ Nicole Perlroth, Elusive FinSpy Spyware dyker upp i 10 länder Arkiverad 18 augusti 2012 på Wayback Machine , New York Times, 13 augusti 2012
3. ↑ Kevin G. Coleman, Har Stuxnet, Duqu och Flame antänt ett cybervapenkapplöpning? Arkiverad från originalet den 8 juli 2012. , AOL Government, 2 juli 2012
4. ↑ Rachael King, Operation High Roller Targets Corporate Bank Accounts Arkiverad 11 december 2017 på Wayback Machine 26 juni 2012
5. ↑ Frederic Lardinois, Eugene Kaspersky och Mikko Hypponen pratar röd oktober och framtiden för cyberkrigföring på DLD Arkiverad 8 april 2022 på Wayback Machine , TechCrunch, 21 januari 2013
6. ↑ Vernon Silver, Spyware Matching FinFisher kan ta över IPhones Arkiverade 8 mars 2021 på Wayback Machine , Bloomberg, 29 augusti 2012
7. ↑ FinFisher IT-intrång . Datum för åtkomst: 31 juli 2012. Arkiverad från originalet den 31 juli 2012. (obestämd)
8. ↑ Hacking Team, fjärrkontrollsystem . Datum för åtkomst: 21 januari 2013. Arkiverad från originalet den 15 december 2016. (obestämd)
9. ↑ Mathew J. Schwartz, Weaponized Bugs: Time For Digital Arms Control Arkiverad 31 oktober 2013 på Wayback Machine , Information Week, 9 oktober 2012
10. ↑ Ryan Gallagher, Cyberwar's Grey Market Arkiverad 2 oktober 2018 på Wayback Machine , Slate, 16 januari 2013
11. ↑ Daniele Milan, Data Encryption Problem Arkiverad 8 april 2022 på Wayback Machine , Hacking Team
12. ↑ Robert Lemos, Flame gömmer hemligheter i USB-enheter Arkiverad 15 mars 2014. , InfoWorld, 13 juni 2012
13. ↑ hur man spionerar på en mobiltelefon utan att ha tillgång . Hämtad 11 maj 2022. Arkiverad från originalet 8 april 2022. (obestämd)
14. ↑ Pascal Gloor, (o)lawful interception Arkiverad 5 februari 2016. , SwiNOG #25, 7 november 2012
15. ↑ Mathew J. Schwartz, Operation Red October Attackers Wielded Spear Phishing Arkiverad 7 november 2013 på Wayback Machine , Information Week, 16 januari 2013
16. ↑ FBI Records: The Vault, smygposter arkiverade 8 april 2022 på Wayback Machine , Federal Bureau of Investigation
17. ↑ Kim Zetter, "Flame" spionprogram som infiltrerar iranska datorer Arkiverad 16 april 2016 på Wayback Machine , CNN - Wired, 30 maj 2012
18. ↑ Anne Belle de Bruijn, Cyberkriminella försök till spionage vid DSM Arkiverad 4 mars 2016 på Wayback Machine , Elsevier, 9 juli 2012
19. ↑ Mike Lennon, Microsoft-certifikat användes för att signera "Flame"-malware [{{{1}}} Arkiverad] {{{2}}}. 4 juni 2012
20. ↑ Paul Wagenseil, Flame Malware Uses Stolen Microsoft Digital Signature , NBC News, 4 juni 2012
21. ↑ "Red October" Diplomatic Cyber ​​​​Attacks Investigation Arkiverad 28 juni 2014 på Wayback Machine , Securelist, 14 januari 2013
22. ↑ Kaspersky Lab identifierar Operation Red October Arkiverad 4 mars 2016. , pressmeddelande från Kaspersky Lab, 14 januari 2013
23. ↑ Dave Marcus & Ryan Cherstobitoff, Dissecting Operation High Roller Arkiverad 8 mars 2013. , McAfee Labs