Кибершпионаж − настолько широкое понятие, что нет никакой возможности написать о нем в рамках одной главы. Потому я вынужден ограничиться рассмотрением лишь некоторых моментов, и в рамках данной главы будет рассмотрен кибершпионаж при помощи вредоносного программного обеспечения и промышленный кибершпионаж.
Кибершпионаж при помощи вредоносного программного обеспечения
Современный человек носит в своем кармане мобильный телефон, имеющий с высокой вероятностью микрофон, две камеры и датчик GPS/ГЛОНАСС. Эти технологии позволяют прослушивать помещение по периметру, наблюдать через камеры и отслеживать передвижение владельца. Про получение доступа к звонкам, перепискам, электронной почте можно и не говорить.
Вы думаете, это теоретические угрозы? Вы слышали про смартфоны компаний Xiaomi, Huawei или Lenovo? А вы знаете, что некоторое время назад эти компании были пойманы на поставках телефонов со встроенным шпионским ПО. И это не шутка, не домысел и не слух − к сожалению, это чистая правда. Шпионское программное обеспечение могло следить за владельцами, подслушивать звонки и передавать данные недоброжелателям. Не факт, что виноваты производители, весьма вероятно, шпионский софт устанавливался где-то на пути к конечному покупателю.
Может быть, вы думаете, что пользователи iOS в безопасности? Расскажите это известному правозащитнику из ОАЭ Ахмеду Мансуру, в свое время догадавшемуся передать присланную ему на iPhone ссылку специалистам в области компьютерной безопасности. Так было обнаружено вредоносное программное обеспечение Pegasus, эксплуатирующее сразу три 0-day уязвимости в iOS.
Переход по этой ссылке привел бы к заражению устройства и превратил бы его iPhone в идеальный инструмент кибершпионажа. Все владельцы iOS-девайсов должны быть благодарны осторожности Ахмеда Мансура.
Но возможно, вы используете менее распространенную версию мобильной операционной системы или так называемый криптосмартфон вроде BlackBerry или Blackphone? Забудьте про неуязвимую технику: 2018 год начался с Meltdown – обнаружения девятилетней критической уязвимости в процессорах, перед которой уязвимы почти все современные устройства. И эта уязвимость стала одной из самых масштабных и опасных в истории, мир буквально разделился на: до ее обнаружения и после. Потому малораспространенные системы и криптофоны вас не спасут, тем более тот же Blackphone в свое время был взломан на BlackHat за 5 минут...
Кстати, Meltdown коснулась всех операционных систем, включая Windows, macOS, iOS, всех систем на основе Linux. Без обновлений от нее не спасет ни чистый Debian, ни Linux Mint, ни Tails, ни Whonix.
Может быть, вы думаете, что данные возможности доступны только спецслужбам? Действительно, спецслужбы обладают значительно более широким набором ПО и эксплойтов, чем простые пользователи. Разоблачения Эдварда Сноудена и особенно публикации инструментов в Wikileaks весной 2017 года показывают, насколько просто они могут получить доступ к любому компьютеру на планете, но главная проблема заключается в доступности шпионского ПО для простых пользователей. А для заражения неподготовленной жертвы много ума не надо: социальная инженерия, немного времени и денег (по крайней мере, в случае с Android и Windows).
Все, что необходимо простому пользователю, − посетить специализированный форум: в русскоязычной части интернета это exploit, в англоязычной − hackforums, и выбрать подходящее программное обеспечение класса RAT. Из этических соображений мы не будем описывать дальнейшие шаги, единственное, хотим обратить внимание, что попытки заразить кого-либо кроме себя могут привести вас на скамью подсудимых. Например, житель Рима Энтони С. попал под суд в начале 2017 года за установленное бывшей девушке приложение для слежки за ней. Он несколько месяцев следил за ее смартфоном, пока не был арестован итальянской полицией. И таких случаев, как с Энтони, немало.
Условный Энтони отличается от профессиональных хакеров тем, что он не скрывает, куда программа отправляет данные. Профессионалы приобретают абузоустойчивые сервера в офшорных датацентрах, оплачивая их от имени подставных лиц, и тщательно скрывают их местонахождение. Условный Энтони или приобретет управляющий сервер на популярном хостинге, оформит на свои данные и оплатит со своей банковской карты (конечно, хостинг сразу выдаст его), или, того хуже, Энтони воспользуется серверами приложения, предназначенного для контроля за детьми, разработчики которого, чтобы не быть обвиненными в разработке вредоносного ПО, крайне трепетно относятся к запросам правоохранительных органов.
Но это лирика, чтобы вы могли понять: мнимая простота и доступность инструментов для кибершпионажа может привести к вполне реальному сроку. Как бы вам не казалось обратное, настоятельно советую не лезть в эту тему.
Кстати, программы для кибершпионажа часто разрабатываются правоохранительными органами как приманка для ловли нарушителей или хакерами как приманка для жертв. Так, в свое время в Cobian RAT, активно распространявшемся на андеграунд-форумах и представлявшемся едва ли не как идеальная программа, был обнаружен бэкдор. Пользователь скачивал себе программу, чтобы заражать жертв, и в этот момент сам становился жертвой программы. По-своему, это даже немного справедливо.
Но вернемся к кибершпионажу. Многие верят в антивирусы, попадаясь на рекламные лозунги компаний из серии «надежная защита ваших устройств» или «принципиально новый уровень безопасности»... Если бы антивирусы могли защитить от шпионского ПО, его просто не было бы, а эта глава состояла из одного предложения: «Просто установите себе антивирус и более вам нечего забивать себе голову угрозой кибершпионажа».
Увы, вредоносное программное обеспечение для кибершпионажа тестируется на предмет обнаружения антивирусами. Если антивирусы знают о существовании вредоносного ПО, то создатели этого ПО его криптуют, делая неузнаваемым. Мы подробнее расскажем об этом в рамках главы о вредоносном программном обеспечении.
А иногда и сами антивирусы становятся инструментом для кибершпионажа. Предполагаю, что историю Касперского и АНБ вы все знаете, я вам расскажу другой случай. DU Antivirus Security − популярный антивирус для Android, который по некоторым данным установили до 50 миллионов человек, шпионил за пользователями, на чем и был пойман исследователями из Check Point.
DU Antivirus Security разработан DU Group, входящей в конгломерат Baidu. Приложение собирало уникальные индентификаторы устройства, список контактов, журнал вызовов и другую информацию, а затем отправляло ее на сервера, зарегистрированные на сотрудника Baidu. Видите, шпионить могут даже те, кто должен защищать от этого.
Но я опять увлекся, в рамках курса я немало расскажу вам о методах кибершпионажа и инструментах защиты. Обнаружить и удалить шпионское программное обеспечение гораздо сложнее, и некоторые наивно верят, что им поможет смена компьютера или переустановка системы...
Миф
Смена компьютера, переустановка системы, установка антивируса или вызов специалиста по обнаружению вредоносного программного обеспечения поможет избавиться от профессионального ПО для кибершпионажа.Реальность
Профессиональные программы для кибершпионажа прекрасно адаптированы к ситуации смены физического компьютера или переустановки системы − разумеется, ни у антивируса, ни у специалиста почти нет шансов обнаружить их.Давайте разберем вопрос предметно. Смена компьютера или переустановка операционной системы − радикальный и часто эффективный ход, но если мы говорим о профессиональном кибершпионаже с использованием профессионального ПО, это работает далеко не всегда.
Представьте себя на месте злоумышленника, который должен следить за вами, держит ли он в голове сценарий смены устройства или переустановки ОС? Скорее всего, да, если мы, конечно, говорим об адресном кибершпионаже, где первая фаза − внедрение, а вторая − закрепление. Какие варианты закрепиться есть? Их как минимум три: записать вредоносное программное обеспечение на внешние носители, внедриться в прошивку устройства и «склеиться» с важными данными.
Самый интересный путь − внедрение в прошивку жесткого диска, например, таким образом часто действует вредоносное программное обеспечение АНБ США или связанных с ним групп. Согласно расследованию Лаборатории Касперского именно так функционирует софт группировки хакеров Equation. Уязвимыми оказались модели жестких дисков таких известных компаний, как Seagate, Western Digital, Toshiba, Maxtor, IBM и других.
При внедрении вредоносного ПО в прошивку переустановка системы с форматированием диска становится абсолютно бесполезной, антивирусы тоже не способны достать его там. Единственным эффективным методом является замена инфицированного компонента: вытащить жесткий диск, вынести в поле, облить бензином и сжечь. Но и это может не помочь...
Для предотвращения потери контроля над жертвой при замене зараженного компонента обычно используется запись вредоносного программного обеспечения на внешние носители, коими могут выступать не только флешки, но и телефон, способный помимо простого носителя стать и самостоятельным инструментом для кибершпионажа. И для заражения вам абсолютно не надо подключать телефон к компьютеру.
Как правило, обязательно заражается Wi-Fi роутер жертвы для контроля интернет-трафика. Имея полный удаленный доступ к компьютеру, это не такая сложная задача, а заразив Wi-Fi роутер, можно заражать все устройства, которые к нему подключаются, в том числе другие компьютеры и телефоны.
Благодаря публикации архива секретных документов ЦРУ под кодовым названием Vault 7 миру стало известно о CherryBlossom − фреймворке для взлома домашних роутеров, созданного при поддержке Стэнфордского научно-исследовательского института. Список роутеров, которые были уязвимы, впечатлял, в нем были модели таких компаний, как Apple, D-Link, Linksys, Cisco, Belkin и других.
Но вернемся к устройству жертвы, за которой ведется слежка. Разумеется, пользователь может уничтожить компьютер, уничтожить внешние носители, уничтожить телефон и роутер, но вряд ли он захочет расстаться со своими ценными файлами. Их-то и постарается заразить злоумышленник. Вы покупаете новое устройство, в новой стране подключаетесь к новому Wi-Fi, открываете свой документ Word − и вы снова жертва слежки.
Есть ли выход? Безусловно, есть, и мы о нем будем говорить в рамках данной книги. Эдвард Сноуден, например, оставлял телефон выключенным... говорят, даже в сейфе. Мне не известно, чтобы немодифицированные выключенные телефоны могли использовать как жучок. Однако отслеживать координаты выключенного смартфона при наличии в нем аккумулятора спецслужбы умеют.
С другой стороны, если у вас, например, iPhone с жучком DROPOUTJEEP от АНБ, вас с высокой долей вероятности смогут слушать и при выключенном устройстве (название жучка устарело, наверняка его уже изменили). Тем не менее, вы никак не узнаете о наличии в вашем мобильном устройстве жучка, потому тут только один совет: если вы персона, которая может быть интересна спецслужбам, не заказывайте устройства с доставкой на свои данные или на данные членов вашей семьи, сходите в магазин и купите случайное устройство.
Основные методы кибершпионажа
- Вредоносное ПО: Правительства и злоумышленники разрабатывают и распространяют вредоносное программное обеспечение, такое как троянские кони, шпионские программы и руткиты, для незаметного вторжения в компьютеры и сети.
Исследователи безопасности из G Data обнаружили предустановленное вредоносное ПО на более чем двух десятках моделей Android-смартфонов, поставляемых из Азии. В число телефонов, зараженных вредоносным ПО «из коробки», входят такие известные бренды, как Lenovo, Huawei и Xiaomi.
- Zero-Day Exploits: Злоумышленники используют уязвимости в программном обеспечении или операционных системах, которые ещё не были обнаружены и устранены разработчиками.
В 2022 году израильский производитель шпионского ПО NSO Group применил как минимум три новых эксплойта «Zero-Day» против iPhone, чтобы проникнуть в защиту, возведенную Apple, и развернуть Pegasus.
Pegasus, сложное кибероружие, способное извлекать конфиденциальную информацию, хранящуюся на устройстве, например, сообщения, местоположения, фотографии и журналы вызовов, в режиме реального времени.
- Фишинг: Злоумышленники маскируются под доверенные источники, отправляя электронные письма или сообщения с целью обмана пользователей и получения их личной информации.
В 2020 году Google сообщил, что каждый день обнаруживалось 25 миллиардов спам-страниц, от фишинговых веб-сайтов. Кроме того, «Wandera» рассказали, что новый фишинговый сайт запускается каждые 20 секунд. Это означает, что каждую минуту в поисковых системах появляются три новых фишинговых сайта!
- Атаки на цепочки поставок: При таком нападении злоумышленник попытается скомпрометировать надежных партнеров, поставщиков или продавцов целевой организации. Это часто выполняется путем вставки бэкдор-кода в товар или услугу, которую уже использует цель. Это очень успешный способ обойти даже самую сложную киберзащиту, и идентифицировать атаку может быть очень сложно.
В декабре 2020 года стало известно о кибератаке, в результате которой вредоносное программное обеспечение SUNBURST было внедрено в системы мониторинга и управления компании SolarWinds. Затем вредоносный код автоматически распространился на тысячи клиентов SolarWinds. Компрометированные обновления были распространены среди организаций и государственных учреждений, включая многие важные агентства США и других стран, а также частные компании.
Совет
Если вы персона, которая может быть интересна спецслужбам, не заказывайте устройства с доставкой на свои данные или на данные членов вашей семьи, сходите в магазин и купите случайное устройствоПочему я все время говорю только о профессиональном кибершпионаже? Иногда бывает кибершпионаж ради удовольствия. Не удивляйтесь, но за вами могут шпионить от скуки либо для продажи видеозаписей с вашей веб-камеры, особенно это опасно для молодых симпатичных девушек. Ранее подобные ролики можно было без проблем найти на YouTube, сегодня их стараются удалять.
Обычная забава злоумышленников: вывести что-нибудь на экран, например сын показывает что-то матери, − и в этот момент на экран выводится порно извращенного характера. Реже собранные данные, в основном интимного плана, используются для шантажа. Сами судите: злоумышленник записывает или крадет ваше интимное видео, имея доступ к компьютеру, собирает список ваших друзей, родственников и коллег в социальных сетях, а затем делает предложение − либо вы платите ему деньги, например $2000, либо ваше интимное видео будет отправлено каждому из списка друзей, родственников и коллег.
Использование кибершпионажа для борьбы с преступностью
- Операция Троянский Щит
Троянский Щит был совместным проектом между ФБР (США) и австралийским Федеральным полицейским ведомством (AFP), при участии других партнеров в области правопорядка по всему миру. Целью было создание секретного мессенджера, который использовали преступники, включая криминальные сети, для планирования и координации противоправной деятельности.
Официально называемый Anom, мессенджер был предоставлен как безопасная и шифрованная платформа для общения. Однако, на самом деле, каждое сообщение, отправленное через этот мессенджер, было доступно правоохранительным органам.
Операция была предельно успешной, приведя к арестам тысяч преступников и крупных наркокартелей. Информация, собранная через Anom, была использована для предотвращения множества преступлений, включая контрабанду наркотиков, оружия и организованное преступление.
- LAPD и искусственный интеллект
Как стало известно из внутренних документов полиции Лос-Анджелеса, полученных по запросам публичных записей некоммерческой организации «Центр юстиции Бреннана» и переданных Guardian, полиция Лос-Анджелеса в 2019 году опробовала программное обеспечение для наблюдения за социальными сетями от аналитической компании Voyager Labs.
Программное обеспечение Voyager Labs позволяло правоохранительным органам собирать и анализировать большие массивы данных из социальных сетей для расследования преступлений или отслеживания потенциальных угроз.
Промышленный кибершпионаж
Промышленный шпионаж — это тайная, а иногда и незаконная практика расследования действий конкурентов с целью получения бизнес-преимущества. Объектом расследования может быть коммерческая тайна, например, запатентованная спецификация продукта или формула, или информация о бизнес-планах. Во многих случаях промышленные шпионы просто ищут данные, которые их организация может использовать в своих целях.
Hacking Team предоставляла правительствам и правоохранительным органам по всему миру программное обеспечение, которое позволяло проводить мониторинг и взлом электронных устройств и коммуникаций.
В 2015 году Hacking Team столкнулась с масштабной утечкой данных. Хакерская группа "The Impact Team" взломала системы Hacking Team и раскрыла в Интернете более 400 гигабайт данных, включая исходники программ, электронные письма, контракты с клиентами и другие конфиденциальные материалы.
Утечка выявила, что компания работала с рядом стран с нестабильными правительствами, что привело к обвинениям в том, что их технологии могли использоваться для нарушения прав человека и политического преследования.
После утечки данных и открытых обсуждений, Hacking Team столкнулась с серьезными финансовыми и репутационными потерями. Они были вынуждены пересматривать свою деятельность и бизнес-модель.
Деятельность Hacking Team подчеркивает сложные вопросы, связанные с использованием кибершпионажа и тем, какие этические и юридические стандарты должны регулировать подобные компании, чтобы предотвратить злоупотребление и нарушения прав человека.