Кибершпионаж

Кибершпионаж (англ. cyber espionage, англ. cyber spying или англ. cyber-collection) — это деятельность по получению секретной информации и данных без разрешения и ведома их владельца с использованием методов, основанных на применении Интернета, компьютерных сетей или отдельных устройств. Кибершпионаж обычно реализуется через использование прокси-серверов^[1], техник взлома, а также вредоносного программного обеспечения, включая троянские программы и шпионское ПО^[2]^[3]. Кибершпионаж может быть направлен на широкий круг объектов — отдельных лиц, конкурентов, соперничающие организации, группы, правительства и другие — с целью получения персональных, экономических, политических или военных преимуществ. Такие операции могут полностью осуществляться дистанционно специалистами на зарубежных базах либо сопровождаться традиционным внедрением обученных в ИТ-шпионажем агентов, кротов, либо проводиться криминальными хакерами-любителями и программистами^[2].

Практика кибершпионажа зародилась уже в 1996 году, когда началось массовое подключение государственных и корпоративных систем к интернету. С этого времени зафиксировано множество подобных инцидентов^[4]^[5]^[6].

Кибершпионаж обычно подразумевает доступ к секретной и конфиденциальной информации либо контроль над отдельными компьютерами и целыми сетями ради стратегического преимущества, проведения психологических, политических или физических акций саботажа и подрывной деятельности^[7]. С развитием социальных сетей кибершпионаж охватывает также анализ публичной активности в соцсетях^[8].

Операции подобного рода, как и обычный шпионаж, зачастую незаконны в стране-жертве, но поддерживаются на государственном уровне со стороны страны-агрессора. Этическая оценка вопроса также может различаться в зависимости от взглядов и отношения к вовлечённым государствам^[7].

Средства кибершпионажа разрабатываются как государственными структурами, так и частными компаниями практически для всех операционных систем персональных компьютеров и смартфонов: Windows, macOS, Linux, iOS, Android, BlackBerry и других^[9]. Крупнейшими производителями коммерческих (COTS) решений для киберслежки являются Gamma Group (Великобритания)^[10] и Hacking Team (Италия)^[11]. Среди других компаний — Endgame, Inc., Netragard (США), Vupen (Франция), многие из которых предоставляют комплекты эксплойтов типа zero-day^[12]. Государственные спецслужбы часто разрабатывают собственные инструменты, такие как Stuxnet, однако для успешного внедрения постоянно нуждаются в новых zero-day-уязвимостях, стоимость которых может достигать сотен тысяч долларов^[13].

К типичным функциям систем кибершпионажа относятся:

Сканирование данных: анализ локальных и сетевых хранилищ, копирование файлов (документов, электронных таблиц, проектных файлов и системных файлов, например «passwd»).
Определение местоположения: использование GPS, Wi-Fi, сетевой информации и других датчиков для отслеживания положения устройства.
Подслушивание: активация микрофона устройства для записи звука, а также перехват аудиопотоков.
Скрытые частные сети: обход корпоративных средств защиты благодаря подключению устройства к альтернативным открытым сетям.
Использование камер: скрытый запуск камер для фотосъёмки и записи видео.
Логгирование нажатий: регистрация всех нажатий клавиш, движений мыши и кликов, дополненная скриншотами, для кражи паролей и другой конфиденциальной информации.
Скриншоты: периодическая съёмка экрана с целью получения чувствительной информации, которая не сохраняется на устройстве.
Шифрование: сбор и передача зашифрованных данных для предотвращения их перехвата посторонними.
Обход шифрования: поскольку вредоносное ПО работает с теми же правами, что и пользователь, оно способно перехватить данные до их шифрования — например, обе стороны защищённого звонка Skype^[14].
Эксуфильтрация: незаметная передача собранных данных, часто с маскировкой трафика под обычные HTTPS-сессии; для утечек иногда используют USB-накопители^[15].
Самораспространение: заражённые агенты способны копировать себя на другие носители или в сетевые ресурсы для дальнейшего распространения.
Манипуляция файлами: вредоносное ПО может удалять следы присутствия из журналов, загружать обновления или изменять пользовательские данные, а также помещать фальшивые «улики» или вмешиваться в подсчёт голосов при электронном голосовании.
Комбинированные правила: сложные комплексы позволяют сочетать несколько функций для целенаправленного и персонализированного сбора данных (например, активация прослушки только в определённых координатах).
Компрометация мобильных устройств: современные смартфоны столь же уязвимы для кибершпионажа, как и компьютеры, и могут утекать чрезвычайно чувствительную информацию о разговоре и местоположении. Известны случаи, когда злоумышленники, отслеживая GPS-координаты жертвы, связывались с её окружением для дискредитации.

Существуют распространённые способы инфицирования или получения доступа к целевой системе:

Инъекционный прокси (англ. Injection Proxy) — размещается на стороне интернет-провайдера и внедряет вредоносный код в загружаемые на устройство файлы^[16].
Атаки типа spear phishing: жертве отправляется индивидуализированное письмо, содержащее вредоносное приложение или ссылку на сайт с эксплойтом^[17].
Тайное проникновение (англ. Surreptitious Entry): непосредственный взлом офиса или жилища жертвы с физической установкой вредоносного ПО^[18].
Межсетевые анализаторы (англ. Upstream monitor, англ. sniffer): размещённые у провайдера устройства, перехватывающие трафик (например, Carnivore ФБР). Применимость технологий ограничивается массовым переходом к шифрованию трафика.
Беспроводное вторжение: специализированные переносные системы, маскирующиеся под Wi-Fi или 3G базовую станцию для захвата трафика жертвы.
USB-накопитель с предустановленным вредоносным ПО, физически внедряемый на месте.

Программные агенты кибершпионажа обычно устанавливаются с помощью эксплойтов zero-day при открытии заражённых USB-устройств, вложений в электронные письма или вредоносных сайтов^[19]^[20]. Известны случаи, когда правительственные операции использовали официальные сертификаты операционных систем вместо хакерских уязвимостей. Например, в операции Flame сертификат Microsoft, использованный для подписания вредоносного ПО, оказался поддельным^[21]; некоторые эксперты считают, что сертификат мог быть получен с помощью HUMINT-операций^[22].

Stuxnet
Flame
Duqu
Bundestrojaner
Rocra^[23]^[24]
Operation High Roller^[25]
Cozy Bear^[26]^[27]

Кибершпионаж в университетах

Bill Schiller. Chinese ridicule U of T spy report - But government officials choose words carefully, never denying country engages in cyber-espionage (англ.) (1 апреля 2009). Дата обращения: 14 июня 2024.
Cathal Kelly. Cyberspies' code a click away - Simple Google search quickly finds link to software for Ghost Rat program used to target governments (англ.) (31 марта 2009). Дата обращения: 14 июня 2024.
All about Chinese cyber spying (англ.). Times of India (30 марта 2009). Дата обращения: 14 июня 2024. Архивировано 2 апреля 2009 года.
Alex Cooper. We can lead in cyber spy war, sleuth says; Toronto investigator helped expose hacking of embassies, NATO (англ.) (30 марта 2009). Дата обращения: 14 июня 2024.
Chinese-based cyber spy network exposes need for better security (англ.). Дата обращения: 14 июня 2024. Архивировано 9 ноября 2021 года.
Steve Herman. Exiled Tibetan Government Expresses Concern over Cyber-Spying Traced to China (англ.), Voice of America (30 марта 2009). Дата обращения: 14 июня 2024.
Chinese government accused of cyber spying (англ.) (30 марта 2009). Дата обращения: 14 июня 2024.
'World's biggest cyber spy network' snoops on classified documents in 103 countries (англ.) (29 марта 2009). Архивировано 30 марта 2009. Дата обращения: 14 июня 2024.
SciTech Cyber spy network 'smoking gun' for China: expert (англ.), CTV Canada (29 марта 2009). Архивировано 21 октября 2012. Дата обращения: 14 июня 2024.
Kim Covert. Canadian researchers uncover vast Chinese cyber spy network (англ.), Canwest News Service (28 марта 2009). Дата обращения: 14 июня 2024.
Mark Hosenball. Intelligence - Cyber-Spying for Dummies (англ.) (2 июня 2008). Дата обращения: 14 июня 2024.
Walton, Gregory Year of the Gh0st RAT (англ.). World Association of Newspapers (апрель 2008). Дата обращения: 14 июня 2024. Архивировано 11 августа 2009 года.
Rowan Callick, Jane Macartney. Chinese fury at cyber spy claims (англ.) (7 декабря 2007). Архивировано 13 августа 2009. Дата обращения: 14 июня 2024.

Конгресс США расследует обвинения Google в интернет-шпионаже со стороны Китая (AHN)
Архив Information Warfare Monitor — мониторинг киберугроз (Университет Торонто, Канада)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

Кибершпионаж

История

Особенности

Платформы и функционал

Внедрение

Примеры операций

См. также

Примечания

Литература

Ссылки