Как хакеры атакуют сервисы крупных корпораций, и какие спецслужбы в открытую используют кибервойска.
Власти Германии и Южной Кореи опубликовали совместный доклад-рекомендацию по кибербезопасности, в которой утверждается, что северокорейские хакеры крадут электронные письма Gmail с помощью вредоносного расширения браузера Chrome.
KCNA/via Reuters
По данным Федерального ведомства по охране конституции Германии (Bundesamt für Verfassungsschutz) и Национальной разведывательной службы Республики Корея (NIS), атака начинается с фишинговой кампании, убеждающей установить вредоносное расширение, доступное по ссылке.
Расширение извлекает электронные письма жертв, когда они заходят в свою учетную запись через зараженный браузер.
Затем письма отправляются на сервер злоумышленников. Утверждается, что кампания нацелена на южнокорейских пользователей, однако отмечается, что злоумышленники могут использовать эту же тактику для атаки на пользователей в США, Европе и других частях мира.
Также высказываются предположения, что злоумышленники использовали функцию синхронизации Google Play для установки вредоносного ПО для Android. Зарегистрировав вирусное приложение, они используют смартфон жертвы в качестве тестового устройства и инициируют процесс установки приложения. После установки троян позволяет хакерам управлять файлами и контактами, отслеживать SMS, совершать звонки, получать доступ к камере, просматривать рабочий стол и регистрировать нажатия клавиш.
Авторы доклада советуют защищать свои учетные записи с помощью двухфакторной аутентификации и тщательно проверять поступающие электронные письма. Отмечается, что за атаками могла стоять хакерская группировка Kimsuki, также известная как Velvet Chollima и Black Banshee. Американские профильные ведомства связывают ее с северокорейскими властями и определяют среди ее целей – южнокорейские аналитические центры, промышленность, операторов атомной энергетики и органы государственной власти.
А вот в Великобритании кибервойска существуют вполне официально аж с 2020 года. The National Cyber Force (NCF) контролируется Центром правительственной связи (Government Communications Headquarters, GCHQ) и Министерством обороны страны.
Подразделение позиционируется как группа хакеров, которые могут атаковать враждебные государства, среди которых Китай и Россия, а также террористические группировки.
Кроме официальных докладов, о деятельности подразделения особо не сообщается, впрочем, в британских СМИ встречаются аккуратные намеки со ссылкой на источники, о причастности группы к взлому сетей крупной террористической группировки. Отмечалось, что хакеры получили подробную информацию о том, как террористы получали беспилотники и боеприпасы, а также о том, где готовили боевиков, что позволило силам коалиции нанести удар.
Китайские хакеры, если верить отчету Mandiant (дочерняя компания Google, специализирующаяся на информационной безопасности), выбирают новые цели в качестве точки входа для кибератак и места, где можно оставаться годами, избегая обнаружения. Речь идет даже об антивирусном программном обеспечении и брандмауэрах (своеобразный защитный экран между глобальным интернетом и локальной компьютерной сетью организации).
Предполагается, что атаки, спланированные подобным образом, будут направлены на крупные объекты, содержащие данные, которые представляют наибольший интерес для правительственных разведывательных операций, в некоторых случаях внедряя новое вредоносное ПО или используя способы обхода ряда основных средств безопасности и сетевых инструментов.
Mandiant приписывает подобные вторжения китайским хакерам, поддерживаемым государством, на основании ряда технических факторов и направленности атак. Китай, разумеется, официально отрицает, что правительство спонсирует кибератаки такого рода.
К вирусным ПО прибегает и администрация американского президента, при этом она не знает об этом. Именно так можно описать официальную позицию Белого дома по громкому скандалу, произошедшему в начале апреля.
Издание The New York Times опубликовало материал, из которого следует, что в конце 2021 года американское правительство через сеть аффилированных компаний заключило контракт на поставку уже ставшего одиозным шпионского ПО Pegasus.
Контракт был подписан с израильской компанией NSO Group, а что самое интересное, на момент его подписания на компанию уже пять дней как были наложены санкции.
Контракт, судя по всему, до сих пор действует, а официальные лица не могут внятно объяснить, кто же ответственен за его подписание.
ПО Pegasus изначально разрабатывалось как инструмент слежки за террористами, но применялось с самыми разными целями, в том числе и для слежки за оппозиционерами.
Подобная активность разных стран на киберполе может свидетельствовать о повышении ставок в сфере глобальной кибербезопасности, ведь взлом объектов критической инфраструктуры, или, например, информационных систем, при определенном целеполагании может служить ключом к конфиденциальной информации из области как внешней, так и внутренней политики целого ряда стран.
Большую роль в грядущем противостоянии может сыграть искусственный интеллект и технологии дипфейков, которые пока в нелегальных целях в основном применяют только мошенники, связанные с криптовалютой. Однако шпионское ПО на базе искусственного интеллекта и применение технологии дипфейков для обхода биометрии вполне могут стать реальностью, а не фантазией футуролога.