Ιστορίες Ransomware: Η επίθεση MitM που είχε πραγματικά έναν άνθρωπο στη μέση

Ιστορίες Ransomware: Η επίθεση MitM που είχε πραγματικά έναν άνθρωπο στη μέση

Χρονική σήμανση: 24 Μαΐου 2023 1:59 μ.μ.
Κόμβος πηγής: 2674840
by

Χρειάστηκαν περισσότερα από πέντε χρόνια για να αποδοθεί δικαιοσύνη σε αυτή την υπόθεση, αλλά οι μπάτσοι και τα δικαστήρια έφτασα εκεί στο τέλος.

Το γραφείο επιβολής του νόμου του Ηνωμένου Βασιλείου SEROCU, συντομογραφία Νοτιοανατολική Περιφερειακή Μονάδα Οργανωμένου Εγκλήματος, αυτή την εβδομάδα ανέφερε το ιδιόρρυθμη ιστορία μιας Ashley Liles, του κυριολεκτικού Man in the Middle στον οποίο αναφερθήκαμε στον τίτλο.

Αυτές τις μέρες, συνήθως επεκτείνουμε τον όρο της ορολογίας Μιτ να σημαίνει Χειριστής στη μέση, όχι απλώς για να αποφευχθεί ο έμφυλος όρος «άνθρωπος», αλλά και επειδή πολλές, αν όχι οι περισσότερες, επιθέσεις MitM αυτές τις μέρες εκτελούνται από μηχανές.

Ορισμένοι τεχνικοί έχουν υιοθετήσει ακόμη και το όνομα Μηχανή στη μέση, αλλά προτιμάμε το "manipulator" επειδή πιστεύουμε ότι περιγράφει χρήσιμα πώς λειτουργεί αυτού του είδους η επίθεση και επειδή (όπως δείχνει αυτή η ιστορία) μερικές φορές είναι πραγματικά ο άνθρωπος, και όχι μια μηχανή, στη μέση.

εξήγησε ο MitM

Μια επίθεση MitM εξαρτάται από κάποιον ή κάτι που μπορεί να υποκλέψει μηνύματα που σας αποστέλλονται και να τα τροποποιήσει καθ' οδόν για να σας εξαπατήσει.

Ο εισβολέας συνήθως τροποποιεί επίσης τις απαντήσεις σας στον αρχικό αποστολέα, έτσι ώστε να μην αντιληφθεί την εξαπάτηση και να παρασυρθεί μαζί σας στην απάτη.

Όπως μπορείτε να φανταστείτε, η κρυπτογραφία είναι ένας τρόπος για να αποφευχθούν οι επιθέσεις MitM, η ιδέα είναι ότι εάν τα δεδομένα είναι κρυπτογραφημένα πριν σταλούν, τότε όποιος ή οτιδήποτε βρίσκεται στη μέση δεν μπορεί να το έχει καθόλου νόημα.

Ο εισβολέας δεν θα χρειαζόταν μόνο να αποκρυπτογραφήσει τα μηνύματα από κάθε άκρο για να καταλάβει τι εννοούσαν, αλλά και να κρυπτογραφήσει ξανά σωστά τα τροποποιημένα μηνύματα πριν τα μεταδώσει, προκειμένου να αποφευχθεί ο εντοπισμός και να διατηρηθεί η προδοσία.

Μια κλασική και μοιραία ιστορία του MitM χρονολογείται από τα τέλη της δεκαετίας του 1580, όταν οι κατάσκοποι της βασίλισσας Ελισάβετ Α της Αγγλίας μπόρεσαν να υποκλέψουν και να χειραγωγήσουν μυστική αλληλογραφία από τη Μαίρη, τη Βασίλισσα της Σκωτίας.

Η Μαίρη, η οποία ήταν ξαδέρφη της Ελισάβετ και πολιτικός αντίπαλος, βρισκόταν εκείνη την εποχή σε αυστηρό κατ' οίκον περιορισμό. τα μυστικά της μηνύματα προφανώς μεταφέρονταν λαθραία μέσα και έξω σε βαρέλια μπύρας που παραδόθηκαν στο κάστρο όπου κρατήθηκε.

Μοιραία για τη Μαίρη, οι κατάσκοποι της Βασίλισσας Μπες όχι μόνο μπόρεσαν να υποκλέψουν και να διαβάσουν τα μηνύματα της Μαίρης, αλλά και να στείλουν ψευδείς απαντήσεις που παρέσυραν τη Μαρία να γράψει επαρκείς λεπτομέρειες για να μαγειρέψει τη χήνα της, όπως λες, αποκαλύπτοντας ότι γνώριζε και υποστήριξε ενεργά, μια συνωμοσία για τη δολοφονία της Ελισάβετ.

Η Μαρία καταδικάστηκε σε θάνατο και εκτελέστηκε το 1587.

Γρήγορη προώθηση έως το 2018

Αυτή τη φορά, ευτυχώς, δεν υπήρχαν σχέδια δολοφονίας και η Αγγλία κατάργησε τη θανατική ποινή το 1998.

Αλλά αυτό το έγκλημα υποκλοπής μηνυμάτων του 21ου αιώνα ήταν τόσο τολμηρό και τόσο δόλιο όσο και απλό.

Μια επιχείρηση στην Οξφόρδη της Αγγλίας, ακριβώς βόρεια του Sophos (είμαστε 15 χιλιόμετρα κάτω από το ποτάμι στο Abingdon-on-Thames, σε περίπτωση που αναρωτιέστε) χτυπήθηκε από ransomware το 2018.

Μέχρι το 2018, είχαμε ήδη εισέλθει στη σύγχρονη εποχή ransomware, όπου οι εγκληματίες εισβάλλουν και εκβιάζουν ολόκληρες εταιρείες κάθε φορά, ζητώντας τεράστια χρηματικά ποσά, αντί να κυνηγούν δεκάδες χιλιάδες μεμονωμένους ιδιοκτήτες υπολογιστών για 300 $ ο καθένας.

Τότε ήταν που ο καταδικασμένος πλέον δράστης έγινε από Sysadmin-in-the-Affected-Business σε Man-in-the-Middle κυβερνοεγκληματίας.

Ενώ εργαζόταν τόσο με την εταιρεία όσο και με την αστυνομία για την αντιμετώπιση της επίθεσης, ο δράστης, ο Ashely Liles, 28 ετών, στράφηκε εναντίον των συναδέλφων του:

  • Τροποποίηση μηνυμάτων email από τους αρχικούς απατεώνες προς τα αφεντικά του και επεξεργασία των διευθύνσεων Bitcoin που αναφέρονται για την πληρωμή εκβιασμού. Η Liles ήλπιζε έτσι να παρεμποδίσει τυχόν πληρωμές που θα μπορούσαν να γίνουν.
  • Παραπλάνηση μηνυμάτων από τους αρχικούς απατεώνες για να αυξηθεί η πίεση για πληρωμή. Υποθέτουμε ότι ο Liles χρησιμοποίησε τις εμπιστευτικές του γνώσεις για να δημιουργήσει σενάρια χειρότερων περιπτώσεων που θα ήταν πιο πιστευτά από οποιεσδήποτε απειλές που θα μπορούσαν να είχαν βρει οι αρχικοί επιτιθέμενοι.

Δεν είναι σαφές από την αναφορά της αστυνομίας πώς ακριβώς σκόπευε να εξαργυρώσει η Liles.

Ίσως σκόπευε απλώς να τρέξει με όλα τα χρήματα και στη συνέχεια να ενεργήσει σαν να είχε κόψει και να τρέξει ο απατεώνας της κρυπτογράφησης και να είχε διαφύγει με τα ίδια τα κρυπτονομίσματα;

Ίσως πρόσθεσε τη δική του προσαύξηση στην αμοιβή και προσπάθησε να διαπραγματευτεί τη ζήτηση των επιτιθέμενων προς τα κάτω, με την ελπίδα να εκκαθαρίσει μια τεράστια ημέρα πληρωμής για τον εαυτό του, ενώ παρόλα αυτά θα αποκτούσε το κλειδί αποκρυπτογράφησης, θα γινόταν ήρωας στη διαδικασία «ανάκτησης» και ως εκ τούτου εκτρέποντας τις υποψίες ?

Το ελάττωμα του σχεδίου

Όπως συνέβη, το άθλιο σχέδιο του Liles καταστράφηκε από δύο πράγματα: η εταιρεία δεν πλήρωσε, επομένως δεν υπήρχαν Bitcoin για να υποκλέψει και η μη εξουσιοδοτημένη ενασχόλησή του με το σύστημα email της εταιρείας εμφανίστηκε στα αρχεία καταγραφής του συστήματος.

Η αστυνομία συνέλαβε τον Liles και έψαξε τον εξοπλισμό του υπολογιστή του για αποδεικτικά στοιχεία, μόνο για να ανακαλύψει ότι είχε σκουπίσει τους υπολογιστές του, το τηλέφωνό του και ένα σωρό μονάδες USB λίγες μέρες νωρίτερα.

Ωστόσο, οι αστυνομικοί ανακάλυψαν δεδομένα από τις συσκευές του Liles όχι τόσο κενά όσο νόμιζε, συνδέοντάς τον απευθείας με αυτό που μπορείτε να σκεφτείτε ως διπλό εκβιασμό: προσπαθεί να εξαπατήσει τον εργοδότη του, ενώ ταυτόχρονα εξαπατούσε τους απατεώνες που εξαπατούσε ήδη τον εργοδότη του.

Παραδόξως, αυτή η υπόθεση κράτησε για πέντε χρόνια, με τον Liles να διατηρεί την αθωότητά του μέχρι που ξαφνικά αποφάσισε να παραδεχτεί την ενοχή του σε μια δικαστική ακρόαση στις 2023-05-17.

(Η παραδοχή ενοχής κερδίζει μειωμένη ποινή, αν και σύμφωνα με τους ισχύοντες κανονισμούς, το ποσό της «έκπτωσης», όπως είναι μάλλον περίεργα αλλά επίσημα γνωστό στην Αγγλία, μειώνεται όσο περισσότερο ο κατηγορούμενος αντέχει προτού παραδεχτεί ότι το έκανε.)

Τι να κάνω;

Αυτή είναι η δεύτερη εμπιστευτική απειλή Έχουμε γράψει για αυτόν τον μήνα, οπότε θα επαναλάβουμε τις συμβουλές που δώσαμε πριν:

  • Διαίρει και βασίλευε. Προσπαθήστε να αποφύγετε καταστάσεις όπου μεμονωμένοι sysadmin έχουν απεριόριστη πρόσβαση σε όλα. Αυτό καθιστά πιο δύσκολο για τους αδίστακτους υπαλλήλους να επινοούν και να εκτελούν «εσωτερικά» εγκλήματα στον κυβερνοχώρο χωρίς να συμμετέχουν στα σχέδιά τους και άλλα άτομα, με αποτέλεσμα να διακινδυνεύσουν την έγκαιρη έκθεση.
  • Κρατήστε αμετάβλητα αρχεία καταγραφής. Σε αυτή την περίπτωση, ο Liles προφανώς δεν μπόρεσε να αφαιρέσει τα στοιχεία που έδειχναν ότι κάποιος είχε παραβιάσει το email άλλων ανθρώπων, γεγονός που οδήγησε στη σύλληψή του. Κάνε όσο πιο δύσκολο μπορείς για οποιονδήποτε, είτε είναι εσωτερικός είτε ξένος, να παραβιάσει την επίσημη διαδικτυακή σου ιστορία στον κυβερνοχώρο.
  • Πάντα να μετράτε, ποτέ να μην υποθέτετε. Λάβετε ανεξάρτητη, αντικειμενική επιβεβαίωση των αξιώσεων ασφαλείας. Η συντριπτική πλειοψηφία των sysadmin είναι ειλικρινείς, σε αντίθεση με την Ashley Liles, αλλά λίγοι από αυτούς έχουν 100% δίκιο όλη την ώρα.

    ΜΕΤΡΑ ΠΑΝΤΑ, ΠΟΤΕ ΜΗΝ ΥΠΟΘΕΤΕΙΤΕ

    Λίγος χρόνος ή τεχνογνωσία για την αντιμετώπιση των απειλών στον κυβερνοχώρο;
    Ανησυχείτε ότι η κυβερνοασφάλεια θα καταλήξει να σας αποσπά την προσοχή από όλα τα άλλα πράγματα που πρέπει να κάνετε;

    Ρίξτε μια ματιά στο Sophos Managed Detection and Response:
    Κυνήγι, ανίχνευση και απόκριση απειλών 24/7  ▶

    ΜΑΘΕΤΕ ΠΕΡΙΣΣΟΤΕΡΑ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΑΠΑΝΤΗΣΗ ΣΕ ΕΠΙΘΕΣΕΙΣ

    Για άλλη μια φορά στην παραβίαση, αγαπητοί φίλοι, για άλλη μια φορά!

    Ο Peter Mackenzie, Διευθυντής Αντιμετώπισης Συμβάντων στη Sophos, μιλά για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο στην πραγματική ζωή σε μια συνεδρία που θα σας ανησυχήσει, θα σας διασκεδάσει και θα σας εκπαιδεύσει, όλα εξίσου. (Πλήρης μεταγραφή διαθέσιμος.)

    Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

Σφραγίδα ώρας:

Περισσότερα από Γυμνή ασφάλεια