Ziemeļkorejas uzbrukums lielajiem ASV tehnoloģiju uzņēmumiem ir attīstījies no kriptovalūtu zādzībām līdz invazīvākai un grūtāk atklājamai stratēģijai, kas balstās uz aģentu ievietošanu to darbinieku vidū.
Saturs
Uzņēmums Amazon nesen apstiprināja gadījumu, kas atklāja tā tālstrādes modeļa ievainojamību. Uzņēmums atklāja un neitralizēja Ziemeļkorejas “darbinieku”, kuram izdevās tikt pie darba kā sistēmas administratoram, apietot visas personāla atlases procedūras.
Šis atklājums netika veikts, izmantojot tradicionālās digitālās pretizlūkošanas metodes, piemēram, ļaunprātīgas programmatūras izsekošanu vai neatļautas piekļuves konfidenciālām datu bāzēm atklāšanu.
Stīvens Šmits, Amazon drošības direktors, paskaidroja, ka galvenais pavedienu deva tīkla anomālija: iespējamais darbinieks pievienoja pastāvīgu milisekundes kavēšanos, rakstot tekstu, kas neatbilda viņa faktiskajai atrašanās vietai .
Šis incidents liecina, ka attālinātās darbā pieņemšanas protokoli tiek sistemātiski izmantoti kibernoziedzniekiem, kuri, izmantojot viltotas identitātes apliecības, iekļūst lielās ASV kompānijās.
Ziemeļkorejas aģents tika atklāts 110 milisekunžu laikā.
Jāatzīmē, ka parastos apstākļos IT speciālists, kurš dzīvo ASV un ir pieslēdzies mājas optiskās šķiedras tīklam, datus uzņēmuma serverim pārsūta ar ārkārtīgi mazu kavēšanos, parasti desmitiem milisekunžu diapazonā. Tas ir praktiski momentāls savienojums.
Tomēr Amazon drošības uzraudzības sistēmas atklāja aizdomīgu likumsakarību šī administratora darbībās. Katru reizi, kad viņš nospieda taustiņu vai pārvietoja peli, signāla apstrāde aizņēma vairāk nekā 110 milisekundes.
Šī kavēšanās liecināja, ka signāls nenāca no mājas Amerikas Savienotajās Valstīs, bet gan šķērsoja vairākus maršrutēšanas un proxy serveru līmeņus, kas bija paredzēti, lai slēptu tā izcelsmi. Tas apstiprināja, ka faktiskais ierīces operators atradās nevis Amerikas Savienotajās Valstīs, bet gan Ziemeļkorejā .
Svarīgi atzīmēt, ka, pēc ekspertu domām, ļaundaris darbojās nevis viens pats, bet izmantoja fizisko infrastruktūru, kas atradās ASV teritorijā, lai apietu IP adrešu ģeolokācijas kontroli.
Amazon korporatīvais klēpjdators faktiski atradās mājā Arizonā un bija pieslēgts likumīgam lokālajam tīklam. Līdzgaitnieks vadīja to, kas kiberdrošības jomā ir pazīstams kā “klēpjdatoru ferma”.
Viņa uzdevums bija iegūt uzņēmuma aprīkojumu, nodrošināt tā darbību un pieslēgties internetam. Tomēr viņš neveica nekādu reālu darbu. Izmantojot programmatūru attālinātai piekļuvei darbvirsmai, viņš nodeva pilnīgu kontroli pār datoru Ziemeļkorejas hakerim, kas atradās Āzijā.
Tieši šī triangulācija bija iemesls kavēšanās, jo komanda teksta ievadīšanai tika nosūtīta no Ziemeļkorejas, un no turienes — uz Amazon serveri. Šo signāla apļveida ceļu bija neiespējami noslēpt, un tas kļuva par tehniskā ziņā nevainojamas operācijas Ahileja papēdi.
Augoša kriminālā industrija: atklāti 1800 gadījumi.
Šmits iepazīstināja ar datiem, kas ilustrē draudu apmēru, parādot, ka Amazon līdz 2024. gada aprīlim ir novērsuši vairāk nekā 1800 līdzīgus mēģinājumus iekļūt sistēmā. Aktivitāte ne tikai nemazinās, bet arī demonstrē stabilu pieaugumu par 27 % katru ceturksni, kas liecina par krāpšanas industrializāciju.
Phenjanas režīms ar šo manevru palīdzību sasniedz divus stratēģiskos mērķus, no kuriem pirmais ir tīri ekonomiskais, proti, cietās valūtas iegūšana.
Programmētājs, kurš iekļuvis lielā tehnoloģiju uzņēmumā, var nopelnīt simtiem tūkstošu dolāru gadā, un šie līdzekļi tiek sistemātiski novirzīti valsts kodolprogrammas un ieroču programmas finansēšanai, apietot starptautiskās sankcijas.
Otrais uzdevums ir izlūkošana, kas ietver slēptu aktīvu izvietošanu kritiski svarīgās infrastruktūrās (publiski pieejami mākoņpakalpojumi, loģistikas serveri, datu bāzes), kas spēj veikt rūpniecisko spiegošanu vai sabotāžu kara gadījumā.
Lai gan izšķirošais faktors bija kavēšanās, Amazon arī uzlaboja savus atklāšanas protokolus . Neskatoties uz Ziemeļkorejas aģentu izstrādes sarežģītību, tiem ir trūkumi. Intervju vai virtuālo tikšanos laikā drošības grupas aktīvi meklē lingvistiskas neatbilstības.
Pārmērīga amerikāņu idiomu lietošana, kļūdas vietējo kultūras atsauču izpratnē vai aizdomīga nevēlēšanās ieslēgt kameru — visi šie pazīmes tagad tiek salīdzinātas ar tehniskajiem datiem.
Uzņēmums atzina, ka ir svarīgi pieņemt „proaktīvas draudu meklēšanas” pozīciju; gaidīt, kad sistēma reaģēs uz piekļuves kļūdu, vairs nav pietiekami, ja ļaundarim ir mājas atslēgas.
Kiberkarā milisekundes, kas nepieciešamas, lai burts parādītos ekrānā, ir kļuvušas par pretizlūkošanas instrumentu, kas ir tikpat vērtīgs kā jebkura antivīrusu programmatūra. Drošība tagad ir atkarīga no sistēmas pulksteņa precizitātes.
