Kibernoziedzniekiem, kas vērsti pret Eiropas korporācijām un valdībām, izdevās palikt neatklātiem kopš 2002. gada, līdz viena drošības kompānija tos atrada.
Beidzot ir pienācis gals, iespējams, visilgāk pastāvošajai tiešsaistes ļaunprogrammatūras darbībai vēsturē — krāpniecībai kas kopš 2002. gada ir mērķēts uz bankām, korporācijām un valdībām Vācijā, Šveicē un Austrija.
“Harkonnen operācija”, kā tas ir kļuvis zināms, iesaistīja vairāk nekā 800 Apvienotajā Karalistē bāzētu viltus fiktīvu uzņēmumu, kuri visi izmantoja vienu IP adresi, kas palīdzēja upuru serveros un tīklos instalēt ļaunprātīgu programmatūru. Kopumā labi organizētā un izpildītā uzbrukuma upuri bija aptuveni 300 korporācijas un organizācijas.
Tech Pro izpēte
- IT vadītāja rokasgrāmata par bezfailu ļaunprātīgas programmatūras draudiem
- Tīkla drošības politika
- Droša aprīkojuma remonta politika
- Vadlīnijas drošības politikas veidošanai
- Pusdienas un mācīties: BYOD noteikumi un pienākumi
- Drošības izpratnes un apmācības politika
"Harkonnen operācija" ne vienmēr bija visu laiku sarežģītākais hakeru uzbrukums, uzskata Kobi Ben-Naims, CyberTinel izpilddirektors, Izraēlas drošības uzņēmuma vadītājs, kurš apturēja uzbrukums — taču šķietami likumīgas pasta adreses ļāva organizācijām reģistrēties DNS serveros un krāpniekiem bija vieglāk iegūt digitālo drošību. sertifikāti.
"Pateicoties sertifikātiem, hakeru frontes tika uzskatītas par likumīgām, tāpēc neviens neuztraucās tos pārbaudīt," sacīja Ben-Naims, ļaujot operācijai turpināties gandrīz 13 gadus.
CyberTinel iesaistījās šajā lietā, kad kāds vācu klients — "liels uzņēmums, par kuru jūs noteikti esat dzirdējis," sacīja Ben-Naims — pamanīja trafika neatbilstības savos serveros. Izpētot neatbilstības, CyberTinel spēja izsekot darbībai, kas, šķiet, bija komandu un kontroles serveris Vācijā.
Ļaunprātīgā programmatūra, sacīja Ben-Naims, bija vairāk vai mazāk izplatīta vai dārza šķirne, taču hakeri pārliecinājās, ka katru reizi izmantojiet citu programmatūras iesaiņojumu, nodrošinot, ka nav īpaša paraksta ļaunprogrammatūra.
Turklāt fakts, ka tas tika instalēts, izmantojot pikšķerēšanas uzbrukumus no uzņēmumiem, kas šķiet likumīgi — galu galā tiem bija atbilstoša digitālās drošības sertifikāti — sniedza hakeriem vēl lielāku anonimitāti, ļaujot tiem trāpīt ļoti drošos serveros un nozagt visa veida īpaši slepenus dokumentus.
"Mēs runājam par tādām lietām kā pētījumi par bioloģisko karu un kodolfiziku, infrastruktūras drošības plāniem, uzņēmuma finanšu dokumenti," sacīja Ben-Naims, kā arī "parastie" bankas konta un kredītkartes dati atkarībā no upuris.
Kā hakeri varēja tik ilgi atbrīvoties no tā? Viens no viņu noslēpumiem — un tas, kas galu galā tos atdeva — bija tas, ka viņi nesazinājās ar serveri, kamēr viņi precīzi nezināja, ko vēlas.
"Viņi meklēja ļoti specifiskus priekšmetus, tāpēc viņu darbības metode bija ļoti ātri iesist un izkļūt, cerot, ka neviens to nepamanīs," sacīja Ben-Naims.
Un tas darbojās vairāk nekā desmit gadus — līdz brīdim, kad hakeri pieļāva liktenīgu kļūdu, pārkāpjot savus noteikumus, un "palika mūsu klienta serverī mazliet pārāk ilgi — pietiekami ilgi, lai viņu darbība tiktu pamanīta," viņš teica.
Šīs "papildu pūles", mērķējot uz CyberTinel klientu, bija viss, kas uzņēmumam bija vajadzīgs. Vairāku mēnešu laikā uzņēmuma darbinieki novēroja C&C servera darbību un galu galā varēja izsekot tā atrašanās vietai.
Pārbaudot informāciju par īpašumtiesībām, uzņēmums bija šokēts, atklājot, ka IP adrese ir reģistrēta ne mazāk kā 800 uzņēmumiem, no kuriem lielākā daļa ir zaudējuši savu darbību. Saliekot divus un divus kopā, CyberTinel darbinieki spēja ātri piesaistīt serveri citiem hakeru uzbrukumiem, galu galā noskaidrojot, ka tie visi ir daļa no vienas operācijas: Harkonnen.
Ben-Naims nespekulēs, kas vai kas slēpjas aiz uzlaušanas, lai gan viņš teica, ka "tā vairāk šķiet organizētās noziedzības operācija nekā kaut ko darītu valdība," piebilstot, ka krāpnieki operācijas uzturēšanā ieguldīja vairāk nekā 150 000 USD — hakeriem lielu summu. iet.
Taču CyberTinel zina, kas bija upuri, un, vēl svarīgāk, kurš ir atbildīgs.
Džonatans Gads no Elite Cyber Solutions, CyberTinel Apvienotās Karalistes partneris, sacīja, ka "tīkls izmantoja Apvienotās Karalistes relatīvi toleranto. prasības SSL drošības sertifikātu iegādei, un nodibināja Lielbritānijas aizseguzņēmumus, lai tie varētu līdzināties likumīgam tīmeklim pakalpojumus. Vācu uzbrucēji, kas atradās aiz tīkla, pēc tam pilnībā kontrolēja mērķa datorus un varēja netraucēti veikt savu spiegošanu daudzus gadus.
"Bija daudz norādes, ka notiek kaut kas neparasts, kas varēja novirzīt regulatorus," sacīja Ben-Naims. "Es domāju, ka būtu likumīgi uzdot dažus jautājumus par šeit iesaistīto procesu."
Lasiet vairāk par drošību
- IT drošība: ir pienācis laiks mainīt spēli — un lūk, kā to izdarīt
- Cik bieži jāveic iespiešanās pārbaude?
- Cisco atklāj mērķtiecīgu slepeno pikšķerēšanas draudu