Документы WikiLeaks из Убежища 7 показывают, что в шпионаже и преступном хакерстве используются схожие приемы

Убежище 7 — это взгляд на мир кибершпионажа, новое образовательное партнерство с Государственным университетом Дакоты 01 LG
АНБ
Ранее в этом месяце WikiLeaks опубликовал документы Убежища 7, раскрывающие суть инструменты и методы, используемые ЦРУ. Их публикация вызвала переполох среди сообщества безопасности, но если вы не работаете на местах, их актуальность может быть не сразу очевидна.

Прежде всего, Убежище 7 не должно вызывать у вас паники по поводу ЦРУ — во всяком случае, если вы обращали на это внимание. Наиболее привлекающие внимание методы, описанные в статьях, не являются чем-то новым. Более того, они демонстрировались публично несколько раз. Откровением здесь является не тот факт, что ЦРУ и АНБ шпионят как за американскими, так и за иностранными гражданами, а в невероятном они – и, предположительно, другие шпионские организации по всему миру – имеют представление о взломе средств защиты, которые большинство людей считают безопасный.

История наблюдения

«Я бы сказал, что на 100 процентов это уже давно известно сообществу безопасности», — сказал Райан. Калембер, старший вице-президент по стратегии кибербезопасности охранной фирмы ProofPoint, о Убежище 7. документы. «Взлом Samsung Smart TV был продемонстрирован на конференциях по безопасности несколько лет назад, взломы транспортных средств были продемонстрированы на BlackHat довольно многими разными людьми на разных транспортных средствах».

«Большинство обнаруженных вещей представляют собой небольшие вариации известных методов», — соглашается Джеймс Мод, старший инженер по безопасности в Avecto. «У производителей антивирусов есть несколько целевых обходных путей, о которых ранее не было известно, хотя они похожи эксплойты были обнаружены в прошлом — и было несколько новых методов обхода контроля учетных записей пользователей на Окна».

Канчиллерия Эквадора/Flickr
Канчиллерия Эквадора/Flickr

Вам не обязательно быть профессионалом в области безопасности, чтобы слышать о методах, изложенных в документах Убежища 7. Вы можете быть удивлены тем, что ЦРУ использует эти методы, но, возможно, не стоит, учитывая, что организация была создана с целью сбора разведывательной информации.

В предисловии к книге Шпионское дело: Тайная история шпионских технологий ЦРУ от коммунизма до Аль-КаидыБывший директор Управления технического обслуживания агентства Роберт Уоллес описывает группы, входившие в организацию, когда он вступил в ее ряды в 1995 году. Один из них, судя по всему, отвечал за разработку и внедрение «аудио подслушивающих устройств, прослушивания телефонных разговоров и визуального наблюдения». системы». Другой, как сообщается, «изготовил устройства слежения и датчики» и «анализировал иностранное шпионское оборудование».

ЦРУ — организация, созданная с целью наблюдения и шпионажа. Документы Убежища 7 не раскрывают того, что делает ЦРУ — они разоблачают то, как агентство это делает. Способы внедрения технологий в организациях меняются со временем, и Vault 7 позволяет нам отслеживать их прогресс.

Шпионаж развивается

За последние несколько десятилетий компьютеры произвели революцию в большинстве отраслей, а это, в свою очередь, изменило методы сбора данных шпионскими организациями в этих отраслях. Тридцать лет назад конфиденциальная информация обычно принимала форму физических документов или устных разговоров, поэтому шпионское мастерство, направленное на извлечение документов из безопасного места или прослушивание разговоров в комнате, предположительно частный. Сегодня большая часть данных хранится в цифровом виде и может быть получена из любого места, где доступен Интернет. Этим пользуются шпионы.

Границы между киберпреступностью и шпионажем размыты

По словам Калембера, «абсолютно ожидаемо», что ЦРУ будет идти в ногу со временем. «Если информация, которую вы ищете, существует в чьей-то электронной почте, ваша тактика, конечно, будет направлена ​​на целевой фишинг», — объяснил он.

Такая тактика, как фишинг, может показаться закулисной и предназначена для преступников, но шпионы используют ее, потому что она эффективна. «Существует очень много способов заставить что-то работать в системе», — объяснила Мод. Действительно, если бы ЦРУ представило беспрецедентный и высокоэффективный метод слежки, преступные организации почти наверняка смогли бы перепроектировать его для собственного использования.

«Мы находимся в ситуации, когда, особенно после разоблачений атаки Yahoo, границы между киберпреступной деятельностью и шпионажем стираются», — сказал Калембер. «Есть одна экосистема инструментов, которая во многом пересекается».

Сотрудники разведки и киберпреступники используют одни и те же инструменты для очень похожих целей, даже если их цели и конечные цели могут сильно различаться. Практические аспекты слежки не меняются в зависимости от моральных или этических взглядов человека, поэтому существует не должно сильно шокировать, когда выяснится, что ЦРУ заинтересовано в способности телевизора Samsung слушать разговоры. На самом деле, подобные эксплойты, обнаруженные в телевизорах Samsung, представляют больший интерес для шпионов, чем для преступников. Это не эксплойт, который приносит немедленную финансовую выгоду, но он предоставляет отличный способ подслушивать частные разговоры.

Вид с воздуха на штаб-квартиру ЦРУ

«Когда мы смотрим на утечки ЦРУ, когда мы смотрим на форумы киберпреступников и на вредоносное ПО, которое я просматривал, Разница между киберпреступником и аналитиком разведки буквально в том, кто платит им зарплату», — сказал Мод. «У них у всех очень похожее мышление, они все пытаются делать одно и то же».

Этот плавильный котел позволяет оперативникам маскировать свои действия, позволяя их работе сочетаться с аналогичной тактикой, используемой преступниками и другими спецслужбами. Атрибуция или ее отсутствие означает, что повторное использование инструментов, разработанных другими, не только экономит время — это более безопасный вариант во всех отношениях.

Автор неизвестен

«В кругах безопасности хорошо известно, что атрибуция угроз выглядит великолепно в отчетах и ​​на пресс-конференциях, но на самом деле в атрибуции угроз очень мало смысла», — сказала Мод. «Ценность заключается в защите от них».

АНБ обладает широкими возможностями по сбору множества различных типов сообщений, которые, по большому счету, не зашифрованы.

Большая часть наблюдения задумана как тайная, но даже когда попытка обнаруживается, может быть очень сложно точно отследить ее источник. ЦРУ пользуется этим фактом, используя инструменты и методы, разработанные другими. Реализуя чужую работу – или, еще лучше, лоскутную работу других – агентство может вызвать вопросы о том, кто несет ответственность за его шпионаж.

«Атрибуция — это спорный вопрос в частном секторе», — сказал Калембер. Когда исследователи безопасности изучают атаки, они могут посмотреть на используемые инструменты и, зачастую, на то, куда была отправлена ​​информация, чтобы понять, кто несет ответственность.

Углубляясь в вредоносное ПО, можно получить еще более полное представление о его авторах. Язык, используемый для текстовых строк, может дать подсказку. Время суток, когда был скомпилирован код, может указывать на их географическое положение. Исследователи могут даже просмотреть пути отладки, чтобы выяснить, какой языковой пакет использовала операционная система разработчика.

К сожалению, эти улики легко подделать. «Все эти вещи — хорошо известные методы, которые исследователи могут использовать, чтобы попытаться установить атрибуцию», — объяснил Калембер. «Недавно мы стали свидетелями того, как как киберпреступные группировки, так и национальные государственные группы намеренно портили эти методы атрибуции, чтобы создать классический сценарий с ложным флагом».

Он привел пример практики, связанной с вредоносным ПО, известным как Lazarus, которое, как полагают, возникло в Северной Корее. В коде были обнаружены русскоязычные строки, но они не имели никакого смысла для русскоязычных. Вполне возможно, что это была нерешительная попытка ввести в заблуждение или, возможно, даже двойной блеф. Документы Убежища 7 продемонстрировали, что ЦРУ активно использует эту методологию, чтобы обмануть тех, кто пытается отследить вредоносное ПО.

«Большая часть утечек из Убежища 7 была сосредоточена на программе под названием UMBRAGE, где ЦРУ указывало на широкую экосистему инструментов, доступных для использования», — сказал Калембер. «Похоже, что они в основном пытались сэкономить время, как это делают многие люди, занимающиеся этой работой, повторно используя вещи, которые уже были там».

UMBRAGE демонстрирует, как ЦРУ отслеживает тенденции, чтобы поддерживать свою эффективность с точки зрения шпионажа и наблюдения. Программа позволяет агентству работать быстрее и с меньшими шансами быть обнаруженными, что является огромным благом для его начинаний. Однако документы Убежища 7 также демонстрируют, как организация была вынуждена изменить свою тактику, чтобы успокоить тех, кто критикует ее отношение к конфиденциальности.

От рыболовной сети к удочке

В 2013 году Эдвард Сноуден обнародовал ряд документов, раскрывающих различные инициативы по глобальной слежке, проводимые АНБ и другими спецслужбами. Документы Убежища 7 демонстрируют, как утечки информации Сноудена изменили лучшие методы шпионажа.

«Если вы посмотрите на утечки Сноудена, то увидите, что АНБ обладает широкими возможностями по сбору множества различных типов сообщений, которые, по большому счету, были незашифрованными», — сказал Калембер. «Это означало, что, хотя они на самом деле никому не были известны, существовало огромное количество интересной информации, которую они могли бы получить. доступ, и им не пришлось бы идти на какой-либо риск, чтобы получить доступ к информации любого человека, которая случайно попала в что."

Проще говоря, АНБ использовало повсеместное отсутствие шифрования для создания широкой сети и сбора данных. Эта стратегия с низким уровнем риска окупится, если и когда сообщения интересующего человека будут перехвачены вместе с массой бесполезной болтовни.

«После утечки информации о Сноудене мы серьезно заговорили о необходимости сквозного шифрования, и это было реализовано. в массовом масштабе, от приложений для чатов до веб-сайтов, SSL и всех этих разных вещей, которые существуют», — сказал Мод. Это делает широкомасштабный сбор данных гораздо менее актуальным.

«Мы видим, что спецслужбы работают над сквозным шифрованием, переходя прямо к конечной точке», — добавил он. «Потому что, очевидно, что именно здесь пользователь вводит, шифрует и расшифровывает сообщения, поэтому именно здесь он может получить к ним доступ в незашифрованном виде».

Утечки Сноудена положили начало общеотраслевой инициативе по стандартизации сквозного шифрования. Теперь наблюдение требует более точного подхода, при котором основное внимание уделяется конкретным целям. Это означает доступ к конечной точке — устройству, на котором пользователь вводит или сохраняет свои сообщения.

Ничто цифровое не может быть на 100 процентов безопасным

«Утечки ЦРУ из Убежища 7, в отличие от утечек Сноудена, описывают почти полностью целевые атаки, которые должны быть направлены против конкретных лиц или их устройств», — сказал Калембер. «В большинстве случаев они, вероятно, предполагают несколько больший риск быть пойманными и идентифицированными, и их гораздо труднее осуществлять чисто тайно. В других терминах, поскольку это не делается выше по течению от того места, где происходят все коммуникации, это делается на уровне индивидуума и устройство."

Это можно проследить непосредственно до утечек Сноудена по статусу публичного объявления о незашифрованных коммуникациях. «Главное изменение, которое ускорило весь этот сдвиг, — это появление сквозного шифрования», — добавил Калембер.

Что это значит для обычного человека? Вероятность того, что ваши сообщения будут перехвачены сейчас, меньше, чем несколько лет назад.

ЦРУ и я

В конце концов, беспокоиться о том, что ЦРУ будет шпионить за вами как за личностью, — это пустая трата энергии. Если у агентства есть причина следить за вами, у него есть для этого инструменты. Избежать этого факта очень сложно, если только вы не планируете полностью отключиться от сети. Что для большинства людей непрактично.

ЦРУ
ЦРУ

В некотором смысле, если вы беспокоитесь о безопасности своих данных, информация, содержащаяся в утечке, должна вас обнадежить. Поскольку международные шпионские агентства и ведущие киберпреступники используют одну и ту же экосистему инструментов, существует меньше форм атак, о которых следует беспокоиться. Хорошие привычки в области безопасности должны защитить вас от самых серьезных угроз, а некоторые меры предосторожности, которые вы можете принять, проще, чем вы могли ожидать.

Недавний отчет об уязвимостях Windows, опубликованный компанией Avecto, показал, что 94 процента уязвимостей могут быть можно смягчить за счет удаления прав администратора - статистики, которая может помочь корпоративным пользователям сохранить свой парк систем. безопасный. Между тем, частные пользователи могут снизить вероятность взлома, просто обращая внимание на методы фишинга.

«С безопасностью дело в том, что ничто в цифровом формате не может быть на 100 процентов безопасным, но вы знаете, что есть меры, которые вы можете принять, чтобы значительно улучшить вашу безопасность», — сказал Мод. «Утечка ЦРУ показывает нам, что меры, которые вы можете принять, чтобы защитить себя от киберпреступников, используя обычные Инструменты-вымогатели — это, по сути, те же меры, которые вы можете предпринять для защиты от того, что ЦРУ внедрит что-либо в ваш компьютер. система."

Документы Убежища 7 не являются призывом к панике, если только вы не человек, в расследовании которого, возможно, уже заинтересовано ЦРУ. Если вас пугает знание того, что ЦРУ может прослушивать ваши разговоры через телевизор, то, вероятно, это не так. помогите услышать, что профессиональные преступники, зарабатывающие на жизнь вымогательством и шантажом, имеют доступ к тем же инструменты.

К счастью, одни и те же средства защиты одинаково хорошо работают против обеих сторон. Когда вопросы онлайн-безопасности попадают в заголовки газет, вывод обычно один и тот же; будьте бдительны и будьте готовы, и, скорее всего, с вами все будет в порядке.

Рекомендации редакции

  • Хакеры используют новый хитрый трюк для заражения ваших устройств