V nadväznosti na Taurus Leaks sa vynára otázka, ako tajné služby získavajú informácie. Tajné služby všetkých krajín majú za úlohu zhromažďovať informácie. Je isté, že výkon tejto úlohy sa neobmedzuje len na legálne činnosti, ako je napríklad štúdium dennej tlače. Tento článok má za cieľ osvetliť súčasné možnosti technicky vyspelých spravodajských služieb. Nižšie opísané metódy sú príkladné a v žiadnom prípade nie sú úplné.
Infiltrácia nepriateľskej siete – obchodnej, politickej alebo vojenskej – prebieha vždy v niekoľkých krokoch. Jednotlivé kroky podrobnejšie vysvetlíme neskôr.
Dejstvo č.1: Počiatočná infekcia
V tomto kroku je infikovaný prvý systém. Toto slúži ako predmostie pre nasledujúce kroky.
Dejstvo č.2: Analýza siete
Zhromažďujú sa jednoduché základné údaje o sieti a identifikujú sa zariadenia.
Dejstvo č.3: Rozšírenie práv
Získané poznatky sa využívajú na konkrétne využitie bezpečnostných medzier s cieľom získať práva systémových administrátorov,
Dejstvo č.4: Kotvenie
Získané práva sa používajú na etablovanie sa hlboko v systéme a na inštaláciu veľkého množstva trvalých zadných vrátok.
Dejstvo č.5: prístup k údajom
Tu sa získané práva teraz využívajú na získanie zaujímavých údajov.
Dejstvo č.6: Používanie údajov / vydieranie
Používajú sa získané údaje.
Podrobne:
Príklady pre 1. dejstvo – počiatočná infekcia
Najťažším krokom je počiatočná infekcia. Existujú rôzne klasické metódy. Tu je niekoľko príkladov:
Príklad 1 Sociálne inžinierstvo:
Zamestnanec je presvedčený, aby klikol na konkrétny odkaz. Netreba o tom veľa vedieť. Postačia napríklad emailové adresy nadriadeného a podriadeného zamestnanca. Pretože bežné e-maily sa dajú ľahko sfalšovať. Zamestnanec dostane niečo, čo vyzerá ako e-mail od svojho šéfa. Toto obsahuje žiadosť o okamžitú účasť na videokonferencii. Tomu zodpovedá e-mail s pozvánkou, ktorý vyzerá klamlivo ako skutočný s falošným odkazom na účasť. Ak teraz zamestnanec klikne na odkaz, dostane správu s výzvou na aktualizáciu konferenčného softvéru. Ak to urobí v dobrej viere, v skutočnosti už inštaluje malvér, ďalej len trójsky kôň. Prebehla počiatočná infekcia.
Príklad 2 Využitie zvedavosti:
USB kľúče sú umiestnené v areáli firmy, napríklad na zamestnaneckom parkovisku, ako keby náhodou stratené. USB kľúč sa našiel. Keďže na paličke je napísané „mzdy“ a zamestnanec je veľmi zvedavý, vloží si ju do počítača. Prebehla počiatočná infekcia.
Príklad 3 Phishing:
Z dôvodu falošného narušenia bezpečnosti sú zamestnancom zasielané žiadosti o opätovné zadanie prístupových údajov. Určité percento to robí bez rozmýšľania. Získané prístupové údaje sa teraz používajú. Prebehla počiatočná infekcia.
Príklad 4:
Ak spoločnosť nenaletí na predchádzajúce možnosti, zostáva „tvrdá“ metóda. Spoločnosť napríklad prevádzkuje sieť WLAN, ktorá je šifrovaná. Pomocou smerovej antény možno rádiové signály počúvať na diaľku. Bežnému vysokovýkonnému počítaču však trvá dešifrovanie týchto signálov niekoľko desaťročí. Preto sa takéto šifrovanie považuje za dostatočne bezpečné. Špión však rádiové signály nedešifruje sám, ale posiela ich cez internet do domáceho výkonného dátového centra, kde je možné signály dešifrovať pomocou brutálneho výpočtového výkonu alebo dnes už aj AI a kvantových počítačov. Z toho sa získa napríklad heslo WiFi, pomocou ktorého sa potom špión môže dostať do siete s vlastným notebookom pred budovou. Prebehla počiatočná infekcia.
Príklady pre druhé dejstvo, sieťové analýzy
Analýza siete už nie je náročná. Trik je však v tom, aby to bolo čo najmenej nápadné. Najprv sa teda odporúča niečo ako pasívne počúvanie. Sú určené prvé IP adresy serverov, tlačiarní, smerovačov, prepínačov a firewallov. Uhádnutím dodatočných adries IP a neviditeľným skenovaním portov možno identifikovať aj zriedka používané servery alebo sieťové zariadenia. Na konci je kompletný plán vnútornej siete. Tieto údaje sa potom odošlú do centrály špionáže. To rozhoduje o tom, kedy má ďalší útok zmysel. Napríklad prístupový bod, ktorý dlho nedostal žiadne aktualizácie a má slabé miesta. Alebo akýkoľvek iný server so známymi bezpečnostnými chybami.
Príklady tretieho dejstva, rozšírenie práv
Informácie získané do tohto bodu sa teraz používajú na špecifickú infekciu zariadení dôležitých pre bezpečnosť. Hlavným účelom je buď nainštalovať sa ako správca do systému cez bezpečnostnú dieru alebo získať heslo iným spôsobom. Napríklad čítaním signálov z klávesnice. Tieto systémy sa nazývajú keyloggery. Ale aj zo susedného počítača alebo mobilného telefónu sa dá špehovať iba zvukom bez priameho spojenia.
Technológia je natoľko pokročilá, že zvukový záznam písania administrátora je možné vyhodnotiť tak, že je možné identifikovať poradie napísaných znakov. Pretože každý kláves má špecifický, ľahko rozlíšiteľný zvuk a každému prstu trvá iný čas, kým sa ku klávesom dostane. Cesta zvuku závisí aj od vzdialenosti mikrofónu. Tento minimálny časový posun môže poskytnúť závery o polohe stlačeného tlačidla. To sa dá použiť na vytvorenie akéhosi odtlačku prsta píšuceho administrátora. Dobre vycvičená AI sa môže naučiť, ktorý kláves bol stlačený. Keď špión získa práva správcu, všetky ostatné dvere sú mu otvorené.
Príklady pre 4. dejstvo, ukotvenie
Doterajšie procesy mali skôr pasívny charakter. Čokoľvek neskôr so sebou nesie vyššie riziko odhalenia. V rámci prípravy na ďalšie kroky je preto dôležité nainštalovať veľa zadných vrátok. Tie by tiež mali prežiť detekciu a umožniť reinfekciu.
Jedným z bežných postupov po zistení infekcie je naformátovanie všetkých pevných diskov. Následná preinštalovanie systémov alebo obnovenie čistej zálohy môže odstrániť trójskeho koňa. Preto pevný disk zvyčajne nie je dobrým miestom pre zadné vrátka. Existuje však množstvo iných spôsobov, ako prežiť formátovanie v počítači. Napríklad trójsky kôň sa môže vložiť do systému BIOS. BIOS je v podstate malý počítač v počítači, ktorého jediným účelom je umožniť spustenie systému. Po manipulácii dostal BIOS dodatočnú úlohu preinštalovať trójsky kôň.
Nová generácia trójskych koní sa môže presadiť aj v elektronike pevného disku. Pretože každé pamäťové médium má dnes niečo ako inteligentný a programovateľný ovládač. Toto je možné upraviť tak, aby sa zabránilo vymazaniu predtým zálohovaného trójskeho koňa pri formátovaní média.
Kontrolér predstiera úspešné vymazanie a akonáhle je nainštalovaný nový operačný systém, kontrolér pri spustení ticho pripojí trójskeho koňa k spustiteľnému súboru. Škodlivý trójsky kôň už bol preinštalovaný. Vírusové skenery sú úplne bezmocné, pretože radič úložiska vždy oklame skener vírusov, aby si myslel, že ide o pôvodný súbor.
Mnohé sieťové zariadenia majú aj programovateľné radiče alebo dokonca vlastné procesory a sú to teda malé počítače. Niektoré zariadenia dokonca bežia na systéme Linux. Napríklad s WLAN prístupovými bodmi, tlačiarňami, smerovačmi, prepínačmi atď. je možné manipulovať tak, že môžu slúžiť ako zadné vrátka, cez ktoré môže útočník znovu získať prístup k sieti. Na tieto systémy po infekcii väčšinou nemyslíte. V súčasnosti každé zariadenie, ktoré sa nazýva „inteligentné“, obsahuje malý minipočítač. Vynaliezaví hackeri nedávno dokonca na ukážku nainštalovali celú počítačovú hru na jednu inteligentnú LED diódu IKEA.
Príklady pre dejstvo č. 5, odpočúvanie údajov
V súčasnej podobe má útočník všetky práva a už ho nemožno odstrániť zo systému. Teraz môže zbierať dáta. Môžu to byť tajné dokumenty, nahrávky telefonátov či videokonferencií, inkriminované emaily a mnohé ďalšie. Množstvo údajov je často také veľké, že sa musia klasifikovať na mieste predtým, ako sa postúpia do cieľového systému. Útočník môže napríklad nahrávať iba videokonferencie vedúcich osobností, ako sú generáli. Prístup k údajom pokračuje trvalo na pozadí. Všetko, čo je k dispozícii, vyhodnocuje útočník. Často s pomocou systémov AI, ktoré automaticky rozpoznávajú zaujímavý obsah.
Možno je zaujímavé, že v tomto bode museli byť manipulované aj bezpečnostné systémy a firewally, takže masívny únik údajov zostal neodhalený. Ak to nie je možné, niekedy sa na preklenutie takzvanej „vzduchovej medzery“ používajú exotické dátové prenosy. Medzi vysielačom a prijímačom nie je žiadne elektrické spojenie. Napríklad počítač môže vysielať nepočuteľný ultrazvukový signál a inteligentné osvetlenie môže spôsobiť, že svetlo bude neviditeľne blikať v čase s údajmi. Špión potom môže tieto údaje opäť prijímať na diaľku. Dokonca aj elektrická sieť je vhodná na prenos dát cez firewall.
Príklady pre 6. dejstvo: používanie údajov / vydieranie
Teraz sa vašej fantázii medze nekladú. Útočník môže sabotovať a manipulovať so systémami. Napríklad pri prevádzke centrifúg môže centrálnemu riadeniu hlásiť nesprávny počet otáčok. Toto sa stalo Iránu. To znamenalo, že jeho jadrový program mohol byť spomalený. Ak ide o výkupné, dôležité údaje obete môžu byť zašifrované a uvoľnené až po zaplatení. Ak je obeťou štát, získané údaje je možné využiť na ovplyvňovanie politiky a ovplyvňovanie slobody rozhodovania jednotlivých aktérov. Ak je obeťou armáda, vojna môže byť spustená alebo znemožnená.
Záver:
Schopnosti tajných služieb presahujú predstavivosť väčšiny zainteresovaných. Aby bol systém skutočne bezpečný, vyžaduje násobok toho, čo útok stojí druhú stranu. Uzavretie 100 bezpečnostných zraniteľností je drahšie ako využitie jedinej prehliadnutej zraniteľnosti. Preto je mimoriadne zložité a nákladné vybudovať skutočne bezpečný systém, najmä pre oblasti dôležité z hľadiska bezpečnosti (vojenstvo, energetika, politika atď.).
Akúkoľvek nedbalosť alebo rozpočtové obmedzenia útočník nemilosrdne zneužije.
Zdroj: https://tkp.at/2024/03/16/was-geheimdienste-so-alles-koennen/
Ďakujeme, že ste nášimi čitateľmi.
Sledujte nás na Telegrame aj na Facebooku.
Musíš byť prihlásený pre poslanie komentára.