Ransomware-tarinoita: MitM-hyökkäys, jonka keskellä todella oli mies

Ransomware-tarinoita: MitM-hyökkäys, jonka keskellä todella oli mies

Aikaleima: 24. toukokuuta 2023 1
Lähdesolmu: 2674840
by

Kesti yli viisi vuotta ennen kuin oikeus toteutuu tässä tapauksessa, mutta poliisit ja tuomioistuimet pääsin sinne lopussa.

Yhdistyneen kuningaskunnan lainvalvontavirasto SEROCU, lyhenne sanoista Kaakkois-alueellinen järjestäytyneen rikollisuuden yksikkö, raportoi tällä viikolla erikoinen tarina yhdestä Ashley Lilesistä, kirjaimellisesta Miehestä keskellä, johon viittasimme otsikossa.

Nykyään laajennamme yleensä ammattikieltä MITM tarkoittaa Manipulaattori keskellä, ei vain välttääkseen sukupuolitermiä "mies", vaan myös siksi, että monet, elleivät useimmat, MitM-hyökkäykset nykyään suoritetaan koneilla.

Jotkut teknikot ovat jopa omaksuneet nimen Kone keskellä, mutta pidämme parempana "manipulaattoria", koska uskomme sen kuvaavan hyödyllisesti, kuinka tällainen hyökkäys toimii, ja koska (kuten tämä tarina osoittaa) joskus todellakin on ihminen eikä kone keskellä.

MitM selitti

MitM-hyökkäys riippuu henkilöstä tai jostakin, joka voi siepata sinulle lähetetyt viestit ja muokata niitä matkan aikana pettääkseen sinut.

Hyökkääjä yleensä myös muokkaa vastauksiasi alkuperäiselle lähettäjälle, jotta hän ei huomaa petosta ja joutuisi huijaukseen kanssasi.

Kuten voitte kuvitella, salaus on yksi tapa välttää MitM-hyökkäykset, sillä ajatuksena on, että jos tiedot salataan ennen lähettämistä, niin kuka tahansa tai mikä tahansa on keskellä, ei voi ymmärtää sitä ollenkaan.

Hyökkääjän ei tarvitse vain purkaa viestien salaus molemmista päistä saadakseen selville, mitä ne tarkoittavat, vaan myös salata muokatut viestit uudelleen oikein ennen niiden välittämistä, jotta ne eivät havaitse ja petos säilyy.

Yksi klassinen ja kohtalokas MitM-tarina juontaa juurensa 1580-luvun lopulle, jolloin Englannin kuningatar Elisabet I:n vakoilijat pystyivät sieppaamaan ja manipuloimaan Skotlannin kuningattaren Marian salaista kirjeenvaihtoa.

Mary, joka oli Elisabetin serkku ja poliittinen kilpailija, oli tuolloin tiukassa kotiarestissa; hänen salaiset viestinsä ilmeisesti salakuljetettiin sisään ja ulos oluttynnyreissä, jotka toimitettiin linnaan, jossa hänet pidätettiin.

Marylle kohtalokkaasti kuningatar Bessin vakoojat eivät vain pystyneet sieppaamaan ja lukemaan Maryn viestejä, vaan myös lähettämään väärennettyjä vastauksia, jotka houkuttelivat Maryn antamaan riittävät tiedot kirjallisesti kypsentämään oman hanhensa, paljastaen, että hän oli tietoinen ja tukenut aktiivisesti juoni Elizabethin murhaamiseksi.

Maria tuomittiin kuolemaan ja teloitettiin vuonna 1587.

Nopeasti eteenpäin vuoteen 2018

Tällä kertaa onneksi ei ollut salamurhasuunnitelmia, ja Englanti poisti kuolemanrangaistuksen vuonna 1998.

Mutta tämä 21-luvun viestisieppausrikos oli yhtä röyhkeä ja kiero kuin se olikin yksinkertainen.

Oxfordissa, Englannissa, aivan Sophoksen pohjoispuolella (olemme 15 kilometriä alajuoksussa Abingdon-on-Thamesissa, jos mietit) yritys joutui kiristysohjelmien uhriksi vuonna 2018.

Vuoteen 2018 mennessä olimme jo siirtyneet nykyaikaiseen kiristysohjelmien aikakauteen, jossa rikolliset murtautuvat ja kiristävät kokonaisia ​​yrityksiä kerralla pyytäen valtavia summia sen sijaan, että olisimme etsineet kymmeniä tuhansia yksittäisiä tietokoneen omistajia 300 dollarilla.

Tuolloin nyt tuomittu tekijä muuttui järjestelmänvalvojasta vaikutuspiirissä olevasta liiketoiminnasta mieheksi kyberrikolliseksi.

Työskennellessään sekä yrityksen että poliisin kanssa hyökkäyksen selvittämiseksi tekijä, 28-vuotias Ashely Liles, kielsi kollegoitaan seuraavilla tavoilla:

  • Alkuperäisten roistojen sähköpostiviestien muokkaaminen pomoilleen ja kiristysmaksun Bitcoin-osoitteiden muokkaaminen. Liles toivoi näin voivansa siepata mahdolliset maksut.
  • Huijausviestit alkuperäisiltä roistoilta lisäämään maksupainetta. Oletamme, että Liles käytti sisäpiiritietoaan luodakseen pahimpia skenaarioita, jotka olisivat uskottavampia kuin mikään uhka, jonka alkuperäiset hyökkääjät olisivat voineet keksiä.

Poliisin raportista ei käy selvästi ilmi, kuinka Liles aikoi lunastaa.

Ehkä hän aikoi yksinkertaisesti paeta kaikella rahalla ja sitten toimia ikään kuin salaushuijari olisi paennut itse kryptokoilien mukana?

Ehkä hän lisäsi omat korotuksensa maksuun ja yritti neuvotella hyökkääjien vaatimuksen alaspäin toivoen, että saisi itselleen massiivisen palkkapäivän, mutta kuitenkin hankkisi salauksen purkuavaimen, tuli sankariksi "toipumisprosessissa" ja siten torjuisi epäilyt. ?

Suunnitelman virhe

Tapahtui, että Lilesin ällöttävä suunnitelma tuhoutui kahdella asialla: yritys ei maksanut, joten hänellä ei ollut Bitcoineja siepattavaksi, ja hänen luvaton näpertelynsä yrityksen sähköpostijärjestelmässä näkyi järjestelmän lokeissa.

Poliisi pidätti Lilesin ja etsi todisteita hänen tietokonelaitteistostaan, mutta huomasi, että hän oli pyyhkinyt tietokoneensa, puhelimensa ja joukon USB-asemia muutamaa päivää aiemmin.

Poliisit saivat kuitenkin talteen tietoja Lilesin laitteista, jotka eivät olleet niin tyhjiä kuin hän luuli, ja liitti hänet suoraan siihen, mitä voit ajatella kaksinkertaisena kiristyksenä: yrityksen huijata työnantajaansa ja samalla huijata huijareita, jotka oli jo huijannut työnantajaansa.

Mielenkiintoista on, että tämä tapaus kesti viisi vuotta, ja Liles pysyi syyttömänä, kunnes yhtäkkiä päätti tunnustaa syyllisyytensä oikeuden istunnossa 2023.

(Syyllisyyden tunnustaminen ansaitsee lievemmän tuomion, vaikka nykyisten säännösten mukaan "alennuksen" määrä, kuten se on melko outoa, mutta virallisesti Englannissa tunnettu, vähenee mitä pidempään syytetty kestää ennen kuin myöntää tehneensä sen.)

Mitä tehdä?

Tämä on toinen sisäpiiriuhka olemme kirjoittaneet tästä kuusta, joten toistamme aiemmin antamamme neuvon:

  • Jaa ja valloita. Yritä välttää tilanteita, joissa yksittäisillä järjestelmänvalvojilla on esteetön pääsy kaikkeen. Tämä tekee roistotyöntekijöiden vaikeampaa keksiä ja toteuttaa "sisäpiirin" tietoverkkorikoksia ilman, että ottavat muita ihmisiä mukaan suunnitelmiinsa, mikä vaarantaa varhaisen paljastumisen.
  • Pidä muuttumattomia lokeja. Tässä tapauksessa Liles ei ilmeisesti pystynyt poistamaan todisteita siitä, että joku oli peukaloinut muiden sähköpostiviestejä, mikä johti hänen pidätykseensä. Tee kaikkien, sisäpiiriläisten tai ulkopuolisten, peukaloida virallista kyberhistoriaasi mahdollisimman vaikeaksi.
  • Mittaa aina, älä koskaan oleta. Hanki riippumaton, objektiivinen vahvistus turvavaatimuksille. Suurin osa järjestelmänvalvojista on rehellisiä, toisin kuin Ashley Liles, mutta harvat heistä ovat 100% oikeassa koko ajan.

    MITTAA AINA, ÄLÄ KOSKAAN OLE

    Puuttuuko aika tai asiantuntemus kyberturvallisuusuhkien torjuntaan?
    Oletko huolissasi siitä, että kyberturvallisuus häiritsee sinua kaikista muista asioista, joita sinun on tehtävä?

    Katso Sophos Managed Detection and Response:
    24/7 uhkien metsästys, havaitseminen ja reagointi  ▶

    LUE LISÄTIETOJA HYÖKKEISIIN VASTAAMISESTA

    Jälleen kerran rikokseen, rakkaat ystävät, vielä kerran!

    Peter Mackenzie, Sophosin välikohtausten torjuntajohtaja, puhuu tosielämän kyberrikollisuuden torjunnasta istunnossa, joka hälyttää, huvittaa ja kouluttaa sinua, kaikki yhtä paljon. (Täysi transkriptio saatavilla.)

    Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.

Aikaleima:

Lisää aiheesta Naked Security