⚔️ Кібершпигунство

Кібершпигунство – настільки широке поняття, що немає жодної можливості написати про нього в рамках однієї статті. Тому я змушений обмежитися розглядом лише деяких моментів.

Кібершпигунство за допомогою шкідливого програмного забезпечення

Сучасна людина носить у своїй кишені мобільний телефон, що має з високою ймовірністю мікрофон, дві камери і датчик GPS/ГЛОНАСС. Ці технології дають змогу прослуховувати приміщення по периметру, спостерігати через камери та відстежувати пересування власника. Про отримання доступу до дзвінків, листування, електронної пошти можна і не говорити.

Ви думаєте, це теоретичні загрози? Ви чули про смартфони компаній Xiaomi, Huawei або Lenovo? А ви знаєте, що деякий час тому ці компанії були спіймані на постачанні телефонів із вбудованим шпигунським ПЗ. І це не жарт, не домисел і не слух – на жаль, це чиста правда. Шпигунське програмне забезпечення могло стежити за власниками, підслуховувати дзвінки і передавати дані недоброзичливцям. Не факт, що винні виробники, досить імовірно, шпигунський софт встановлювався десь на шляху до кінцевого покупця.

Можливо, ви думаєте, що користувачі iOS у безпеці? Розкажіть це відомому правозахиснику з ОАЕ Ахмеду Мансуру, який свого часу здогадався передати надіслане йому на iPhone посилання фахівцям у галузі комп’ютерної безпеки.

Так було виявлено шкідливе програмне забезпечення Pegasus, що експлуатує одразу три 0-day вразливості в iOS. Перехід за цим посиланням призвів би до зараження пристрою і перетворив би його iPhone на ідеальний інструмент кібершпіонажу. Усі власники iOS-девайсів мають бути вдячні обережності Ахмеда Мансура.

Але можливо, ви використовуєте менш поширену версію мобільної операційної системи або так званий криптосмартфон на кшталт BlackBerry чи Blackphone? Забудьте про невразливу техніку: 2018 рік почався з Meltdown – виявлення дев’ятирічної критичної вразливості в процесорах, перед якою вразливі майже всі сучасні пристрої. І ця вразливість стала однією з наймасштабніших і найнебезпечніших в історії, світ буквально розділився на: до її виявлення і після.

Тому малопоширені системи і криптофони вас не врятують, тим паче той самий Blackphone свого часу був зламаний на BlackHat за 5 хвилин… До речі, Meltdown торкнулася всіх операційних систем, включно з Windows, macOS, iOS, усіх систем на основі Linux. Без оновлень від неї не врятує ні чистий Debian, ні Linux Mint, ні Tails, ні Whonix.

Можливо, ви думаєте, що ці можливості доступні тільки спецслужбам? Дійсно, спецслужби володіють значно ширшим набором ПЗ та експлойтів, ніж прості користувачі. Викриття Едварда Сноудена і особливо публікації інструментів у Wikileaks навесні 2017 року показують, наскільки просто вони можуть отримати доступ до будь-якого комп’ютера на планеті, але головна проблема полягає в доступності шпигунського ПЗ для простих користувачів. А для зараження непідготовленої жертви багато розуму не треба: соціальна інженерія, трохи часу і грошей (принаймні, у випадку з Android і Windows).

Усе, що необхідно простому користувачеві, – відвідати спеціалізований форум: у нашій частині інтернету це exploit, в англомовній – hackforums, і вибрати відповідне програмне забезпечення класу RAT. З етичних міркувань ми не описуватимемо подальших кроків, єдине, хочемо звернути увагу, що спроби заразити будь-кого, крім себе, можуть привести вас на лаву підсудних.

Наприклад, житель Риму Ентоні С. потрапив під суд на початку 2017 року за встановлений колишній дівчині додаток для стеження за нею. Він кілька місяців стежив за її смартфоном, поки не був заарештований італійською поліцією. І таких випадків, як з Ентоні, чимало. Умовний Ентоні відрізняється від професійних хакерів тим, що він не приховує, куди програма відправляє дані. Професіонали купують абузостійкі сервери в офшорних датацентрах, оплачуючи їх від імені підставних осіб, і ретельно приховують їхнє місцезнаходження.

Умовний Ентоні або придбає керуючий сервер на популярному хостингу, оформить на свої дані й оплатить зі своєї банківської картки (звісно, хостинг одразу видасть його), або, ще гірше, Ентоні скористається серверами застосунку, призначеного для контролю за дітьми, розробники якого, щоб не бути звинуваченими в розробці шкідливого ПЗ, вкрай трепетно ставляться до запитів правоохоронних органів. Але це лірика, щоб ви могли зрозуміти: уявна простота і доступність інструментів для кібершпигунства може призвести до цілком реального ув’язнення. Хоч би як вам здавалося протилежне, настійно раджу не лізти в цю тему.

До речі, програми для кібершпигунства часто розробляються правоохоронними органами як приманка для лову порушників або хакерами як приманка для жертв. Так, свого часу в Cobian RAT, який активно поширювали на андеграунд-форумах і представляли ледь не як ідеальну програму, було виявлено бекдор. Користувач завантажував собі програму, щоб заражати жертв, і в цей момент сам ставав жертвою програми.

По-своєму, це навіть трохи справедливо. Але повернемося до кібершпіонажу. Багато хто вірить в антивіруси, потрапляючи на рекламні гасла компаній із серії “надійний захист ваших пристроїв” або “принципово новий рівень безпеки”… Якби антивіруси могли захистити від шпигунського ПЗ, його просто не було б, а цей розділ складався б з одного речення: “Просто встановіть собі антивірус, і більше вам нічого забивати собі голову загрозою кібершпигунства”.

На жаль, шкідливе програмне забезпечення для кібершпіонажу тестується на предмет виявлення антивірусами. Якщо антивіруси знають про існування шкідливого ПЗ, то творці цього ПЗ його криптують, роблячи невпізнанним. Ми докладніше розповімо про це в рамках глави про шкідливе програмне забезпечення.

А іноді й самі антивіруси стають інструментом для кібершпіонажу. Припускаю, що історію Касперського і АНБ ви всі знаєте, я вам розповім інший випадок. DU Antivirus Security – популярний антивірус для Android, який, за деякими даними, встановили до 50 мільйонів осіб, шпигував за користувачами, на чому і був спійманий дослідниками з Check Point. DU Antivirus Security розроблено DU Group, що входить до конгломерату Baidu.

Застосунок збирав унікальні індентифікатори пристрою, список контактів, журнал викликів та іншу інформацію, а потім надсилав її на сервери, зареєстровані на співробітника Baidu. Бачите, шпигувати можуть навіть ті, хто повинен захищати від цього.

Виявити та видалити

Виявити і видалити шпигунське програмне забезпечення набагато складніше, і дехто наївно вірить, що їм допоможе зміна комп’ютера або перевстановлення системи…

Міф. Зміна комп’ютера, перевстановлення системи, встановлення антивірусу або виклик фахівця з виявлення шкідливого програмного забезпечення допоможе позбутися професійного ПЗ для кібершпигунства.

Реальність Професійні програми для кібершпигунства чудово адаптовані до ситуації зміни фізичного комп’ютера або перевстановлення системи – зрозуміло, ні в антивірусу, ні у фахівця майже немає шансів виявити їх.

Давайте розберемо питання предметно. Зміна комп’ютера або перевстановлення операційної системи – радикальний і часто ефективний хід, але якщо ми говоримо про професійне кібершпигунство з використанням професійного ПЗ, це працює далеко не завжди. Уявіть себе на місці зловмисника, який повинен стежити за вами, чи тримає він у голові сценарій зміни пристрою або перевстановлення ОС? Найімовірніше, так, якщо ми, звісно, говоримо про адресний кібершпіонаж, де перша фаза – впровадження, а друга – закріплення.

Які варіанти закріпитися є?

Їх щонайменше три: записати шкідливе програмне забезпечення на зовнішні носії, впровадитися в прошивку пристрою і “склеїтися” з важливими даними. Найцікавіший шлях – впровадження в прошивку жорсткого диска, наприклад, таким чином часто діє шкідливе програмне забезпечення АНБ США або пов’язаних із ним груп.

Згідно з розслідуванням Лабораторії Касперського саме так функціонує софт угруповання хакерів Equation. Уразливими виявилися моделі жорстких дисків таких відомих компаній, як Seagate, Western Digital, Toshiba, Maxtor, IBM та інших. У разі впровадження шкідливого ПЗ у прошивку перевстановлення системи з форматуванням диска стає абсолютно марним, антивіруси теж не здатні дістати його там. Єдиним ефективним методом є заміна інфікованого компонента: витягнути жорсткий диск, винести в поле, облити бензином і спалити. Але й це може не допомогти…

Для запобігання втрати контролю над жертвою під час заміни зараженого компонента зазвичай використовується запис шкідливого програмного забезпечення на зовнішні носії, якими можуть виступати не тільки флешки, а й телефон, здатний, окрім простого носія, стати і самостійним інструментом для кібершпигунства. І для зараження вам абсолютно не треба підключати телефон до комп’ютера.

Як правило, аражається Wi-Fi роутер жертви для контролю інтернет-трафіку. Маючи повний віддалений доступ до комп’ютера, це не таке складне завдання, а заразивши Wi-Fi роутер, можна заражати всі пристрої, які до нього підключаються, зокрема інші комп’ютери та телефони.

Завдяки публікації архіву секретних документів ЦРУ під кодовою назвою Vault 7 світу стало відомо про CherryBlossom – фреймворк для злому домашніх роутерів, створений за підтримки Стенфордського науково-дослідного інституту. Список роутерів, які були вразливі, вражав, у ньому були моделі таких компаній, як Apple, D-Link, Linksys, Cisco, Belkin та інших.

Але повернемося до пристрою жертви, за якою ведеться стеження. Зрозуміло, користувач може знищити комп’ютер, знищити зовнішні носії, знищити телефон і роутер, але навряд чи він захоче розлучитися зі своїми цінними файлами. Їх-то і постарається заразити зловмисник. Ви купуєте новий пристрій, у новій країні підключаєтеся до нового Wi-Fi, запускаєте свій документ Word – і ви знову жертва стеження.

Чи є вихід?

Безумовно, є, і ми про нього обов’язково говоритимемо в майбутніх публікаціях. Едвард Сноуден, наприклад, залишав телефон вимкненим… кажуть, навіть у сейфі. Мені не відомо, щоб немодифіковані вимкнені телефони могли використовувати як жучок. Однак відстежувати координати вимкненого смартфона за наявності в ньому акумулятора спецслужби вміють.

З іншого боку, якщо у вас, наприклад, iPhone із жучком DROPOUTJEEP від АНБ, вас із високою часткою ймовірності зможуть слухати і за вимкненого пристрою (назва жучка застаріла, напевно, її вже змінили). Проте ви ніяк не дізнаєтеся про наявність у вашому мобільному пристрої жучка, тому тут тільки одна порада: якщо ви персона, яка може бути цікава спецслужбам, не замовляйте пристрої з доставкою на свої дані або на дані членів вашої сім’ї, сходіть у магазин і купіть випадковий пристрій.

Чому я весь час говорю тільки про професійне кібершпигунство?

Іноді буває кібершпигунство заради задоволення. Не дивуйтеся, але за вами можуть шпигувати від нудьги або для продажу відеозаписів з вашої веб-камери, особливо це небезпечно для молодих симпатичних дівчат. Раніше подібні ролики можна було без проблем знайти на YouTube, сьогодні їх намагаються видаляти.

Звичайна забава зловмисників: вивести що-небудь на екран, наприклад син показує щось матері, – і в цей момент на екран виводиться порно збоченого характеру. Рідше зібрані дані, переважно інтимного плану, використовують для шантажу. Самі судіть: зловмисник записує або краде ваше інтимне відео, маючи доступ до комп’ютера, збирає список ваших друзів, родичів і колег у соціальних мережах, а потім робить пропозицію – або ви платите йому гроші, наприклад $2000, або ваше інтимне відео буде надіслано кожному зі списку друзів, родичів і колег.

Промислове кібершпигунство

Я можу написати багато всього цікавого на цю тему, але вступний розділ передбачає тільки знайомство із загрозою і призначений для широкого кола читачів. Тому пропоную познайомитися з промисловим кібершпіонажем на прикладі злому Hacking Team.

Промислове кібершпигунство – кібершпигунство щодо компаній, як правило, з метою видобутку будь-якої цінної інформації.

Hacking Team – італійська компанія, яка розробляла (і, на жаль, розробляє донині) інструменти для кібершпигунства і продавала їх урядам і правоохоронним органам, іншими словами, розробляла інструменти для шпигунства за вами.

Тому для мене злом Hacking Team – справа справедлива. Результатом злому стала публікація 400 ГБ корпоративних даних компанії, які містили інформацію про замовлення і замовників, листи корпоративної пошти, вихідний код розробок, інформацію про дослідження.

Хоча, як правило, під час промислового кібершпигунства зловмисники або використовують інформацію у своїх потребах, або комусь її продають. У результаті публікацій спливла співпраця Hacking Team з урядами таких, м’яко кажучи, недемократичних країн, як Лівія та Судан.

Дуже часто кібершпигунство ведеться з метою знайти компрометуючу інформацію і потім у потрібний момент використати її проти жертви. Наведу приклад не зовсім зі світу бізнесу, але напевно відомий кожному з вас.

Гіларі Клінтон була беззаперечним фаворитом майбутніх президентських виборів, доки в один із днів на порталі WikiLeaks не опублікували десятки тисяч листів, надісланих з її електронної поштової скриньки. Саму поштову скриньку, найімовірніше, зламали ще задовго до цього, але виклали ці дані рівно в той момент, коли Гіларі так не потрібні були скандали, звинувачення і розслідування ФБР.

Таке нехтування безпекою коштувало Клінтон президентського крісла, яке дісталося Дональду Трампу.

Якщо не хочете опинитися на місці Гіларі Клінтон, чистіть свою поштову скриньку, ну і звичайно налаштуйте її комплексну безпеку.

Додати коментар