или компьютерный шпионаж (употребляется также термин «киберразведка») — термин, обозначающий, как правило, несанкционированное получение информации с целью получения личного, экономического, политического или военного превосходства, осуществляемый с использованием обхода (взлома) систем компьютерной безопасности, с применением вредоносного программного обеспечения.
Поскольку кибершпионаж является частью рутинной разведывательной работы спецслужб разных стран мира, по сбору информации в глобальном киберпространстве, такая деятельность не всегда является реакцией на конкретное геополитическое событие, но усиливается когда оно происходит, влияя на его исход.
Благодаря деятельности вражеских спецслужб, противник имеет хорошее представление о нашем мышлении, ситуационных интерпретациях и опасениях, намерениях и уязвимых местах. Это позволяет разведчикам делать конкретные предложения лицам, принимающим решения о том, где и как сосредоточить давление для достижения желаемых внешнеполитических целей.
С целью понимания необходимости постоянного поддержания кибербезопасности и усиления её, опубликована настоящая статья.
Этапы операции кибершпионажа
Сбор справочной информации
Спецслужбы собирают справочную информацию о цели и ее информационных системах и устройствах. Эта информация используется для определения метода атаки.
Взлом информационной системы
Наиболее типичные методы взлома информационной системы цели включают:
– фишинговые письма,
– атаки водопоя,
– использование уязвимостей безопасности,
– с использованием съемные носители, зараженные вредоносным ПО .
Расширение и защита доступа и непосредственный сбор информации
Как только спецслужбы успешно взломали компьютерной сети, они затем пытаются сопоставить другие устройства в сети. Цель состоит в том, чтобы получить самые высокие права доступа ко всей сети. Достигнув этого, отгородить от него спецслужбы практически невозможно.
Работая над расширением своих прав доступа, спецслужбы также стремятся установить «черные ходы» в сети цели на случай потери доступа через первоначальную точку входа. Если спецслужбы также потеряют свои резервные точки входа в постоянную цель, они начнут новую кибероперацию.
В-третьих — и это основная цель операции кибершпионажа — они тайно собирают данные из информационной системы цели.
После того, как спецслужбы взломали систему, зачастую нет другого выхода, кроме как восстановить сеть с нуля.
Важно помнить, что информация, предназначенная для внутреннего пользования, которая не так строго охраняется, как государственная тайна, также часто имеет высокую разведывательную ценность. Обладание достаточным объемом внутренней информации может в конечном счете приравниваться к допуску к государственной тайне.
Операция кибершпионажа в значительной степени представляет собой серию автоматизированных процессов. Участие человека ограничивается, например, установлением того, представляет ли интерес целевое лицо и информация об устройствах цели. В противном случае спецслужбы либо удаляют свое вредоносное ПО из информационной системы, либо используют его для атаки на другие интересующие объекты. В большинстве случаев они используют различные методы для маскировки своей деятельности, например, используют сторонние устройства для атаки и сбора информации или разбивают свое вредоносное ПО на компоненты, загружаемые в целевые информационные системы в разное время с разных серверов.
Памятки, помеченные для внутреннего пользования, часто содержат ценную для врага информацию о том, как действуют государственные органы, сотрудничают, интерпретируют события и принимают решения.
Как происходит взлом
Предположим, некий госслужащий открыл в своем персональном ноутбуке вложение в фишинговом электронном письме, поступившим на электронный служебного почтового ящика. Вложение содержало только начальный компонент вредоносного ПО. Остальные были загружены на компьютер из разных мест в Интернете.
Компоненты вредоносного ПО похожи на кусочки матрешки. Открывая каждую часть, цель запускает файлы внутри нее, которые, в свою очередь, передают новый вредоносный компонент, выполняющий другую задачу. И так далее…
После установки всех вредоносных программ на компьютер жертвы начнется регулярная передача информации на сервер, контролируемый вражескими спецслужбами.
Фишинговое письмо
При нажатии на вложение фишингового письма на компьютер жертвы устанавливается только одна часть вредоносного ПО, а остальные части загружаются из разных мест в Интернете. На этом этапе вредоносная программа проверяет наличие программы кибербезопасности, и если она будет обнаружена, то немедленно остановится, чтобы кибер-подкованные пользователи не сорвали кибероперацию хакеров из спецслужб.
Документ-приманка
Затем цели показывают документ-приманку, чтобы снизить ее бдительность и подтвердить, что все в порядке.
Создает уникальный идентификатор
После получения доступа для компьютера создается уникальный идентификатор, по которому можно отличить и идентифицировать цель. Также вредоносная программа начинает передавать информацию с компьютера злоумышленнику и настраивает параметры таким образом, чтобы при перезагрузке компьютера вредоносная программа также перезапускалась.
Цель хакеров — изолировать зараженные устройства и обеспечить к нему доступ.
Заражение съемных носителей
Вредоносная программа ищет съемные носители и сетевые диски в компьютерной сети, устанавливает свой вредоносный код и пытается похитить с них информацию.
Способ загрузки дополнительных частей вредоносного ПО зависит от каждой конкретной кибератаки.
Кража информации
Как только вредоносная программа полностью установится на устройства жертвы, спецслужбы смогут регулярно перемещать информацию с её компьютера на подконтрольный им сервер и будут иметь защищенный резервный доступ.
Ели точка начального входа потеряна, планируется новая кибератака, с учетом допущенных ошибок.
Комментарии ОД “5 Оборона Севастополя”:
По материалам собственных расследований,
от имени ОД “5 Оборона Севастополя”
Дивергент