סיפורי תוכנת כופר: מתקפת MitM שבאמת הייתה לה איש באמצע

לקח יותר מחמש שנים עד שהצדק יצא לאור בתיק הזה, אבל השוטרים ובתי המשפט הגעתי לשם בסוף.

משרד אכיפת החוק בבריטניה SEROCU, קיצור של יחידת פשע מאורגן אזורי בדרום מזרח, השבוע דיווח ה סיפור מוזר של אחת אשלי לילס, האיש המילולי של האמצע שאליו התייחסנו בכותרת.

כיום, אנו בדרך כלל מרחיבים את מונח הז'רגון MitM להתכוון מניפולטור באמצע, לא רק כדי להימנע מהמונח המגדרי "גבר", אלא גם בגלל שרבים, אם לא רוב, התקפות MitM בימינו מבוצעות על ידי מכונות.

כמה אנשי טכנולוגיה אפילו אימצו את השם מכונה באמצע, אבל אנחנו מעדיפים "מניפולטור" כי אנחנו חושבים שהוא מתאר בצורה שימושית איך סוג זה של התקפה עובדת, וכי (כפי שהסיפור הזה מראה) לפעמים זה באמת אדם, ולא מכונה, באמצע.

MitM הסביר

התקפת MitM תלויה במישהו או משהו שיכול ליירט הודעות שנשלחו אליך, ולשנות אותן בדרך כדי להונות אותך.

התוקף בדרך כלל גם משנה את התשובות שלך לשולח המקורי, כך שהוא לא יזהה את ההונאה, וייישאב אל התחבולות יחד איתך.

כפי שאתה יכול לדמיין, קריפטוגרפיה היא אחת הדרכים להימנע מהתקפות MitM, הרעיון הוא שאם הנתונים מוצפנים לפני שליחתם, אז מי או מה שנמצא באמצע לא יכול להבין את זה בכלל.

התוקף יצטרך לא רק לפענח את ההודעות מכל קצה כדי להבין למה הן מתכוונות, אלא גם להצפין מחדש את ההודעות ששונו בצורה נכונה לפני העברתן, על מנת להימנע מגילוי ולתחזק את הבגידה.

סיפור MitM קלאסי וקטלני אחד מתוארך לסוף שנות ה-1580 של המאה ה-XNUMX, כאשר מנהלי הריגול של מלכת אנגליה אליזבת הראשונה הצליחו ליירט ולתמרן התכתבויות סודיות של מרי, מלכת הסקוטים.

מרי, שהייתה בת דודתה של אליזבת ויריבתה הפוליטית, הייתה באותה תקופה במעצר בית קפדני; המסרים הסודיים שלה הוברחו כנראה פנימה והחוצה בחביות בירה שנמסרו לטירה שבה היא נעצרה.

באופן קטלני עבור מרי, מנהלי הריגול של המלכה בס הצליחו לא רק ליירט ולקרוא את ההודעות של מרי, אלא גם לשלוח תשובות מזויפות שפיתו את מרי לכתוב מספיק פרטים בכתב כדי לבשל את האווז שלה, כביכול, וחשפו שהיא מודעת לכך, ותמך באופן פעיל, מזימה לרצוח את אליזבת.

מרי נידונה למוות, והוצאה להורג ב-1587.

מהיר קדימה לשנת 2018

הפעם, למרבה המזל, לא היו תוכניות התנקשות, ואנגליה ביטלה את עונש המוות ב-1998.

אבל פשע יירוט ההודעות הזה של המאה ה-21 היה נועז וערמומי כמו שהוא פשוט.

עסק באוקספורד, אנגליה, ממש צפונית לסופוס (אנחנו נמצאים 15 ק"מ במורד הנהר באבינגדון און-תמז, למקרה שתהיתם) נפגע מתוכנת כופר ב-2018.

ב-2018 כבר נכנסנו לעידן תוכנות הכופר העכשווי, שבו פושעים פורצים וסוחטים חברות שלמות בכל פעם, ומבקשים סכומי כסף אדירים, במקום ללכת אחרי עשרות אלפי בעלי מחשבים בודדים תמורת 300 דולר כל אחד.

אז העבריין המורשע כעת הפך מ-Sysadmin-בעסק-מושפע לפושעת סייבר.

תוך כדי עבודה עם החברה והמשטרה כדי להתמודד עם הפיגוע, העבריין, אשלי לילס, בן 28, פנה לעמיתיו על ידי:

• שינוי הודעות אימייל מהנוכלים המקוריים לבוסים שלו, ועריכת כתובות הביטקוין הרשומות לתשלום הסחיטה. לילס קיווה בכך ליירט כל תשלומים שעלולים להתבצע.
• זיוף הודעות מהנוכלים המקוריים כדי להגביר את הלחץ לשלם. אנו מנחשים שלילס השתמש בידע הפנימי שלו כדי ליצור תרחישים מהמקרה הגרוע ביותר שיהיו אמינים יותר מכל איומים שתוקפים מקוריים יכלו להמציא.

לא ברור מהדוח המשטרתי בדיוק איך לילס התכוון לפדות.

אולי הוא התכוון פשוט לברוח עם כל הכסף ואז להתנהג כאילו נוכל ההצפנה חתך וברח ונמלט עם מטבעות ההצפנה עצמם?

אולי הוא הוסיף סימון משלו לעמלה וניסה לשאת ולתת על דרישת התוקפים, בתקווה לפנות לעצמו יום תשלום אדיר ולמרות זאת לרכוש את מפתח הפענוח, להפוך לגיבור בתהליך "ההתאוששות", ובכך להסיט חשד ?

הפגם בתוכנית

כפי שזה קרה, התוכנית הנוראית של לילס נהרסה משני דברים: החברה לא שילמה, אז לא היו לו ביטקוין ליירט, והתעסקות בלתי מורשית שלו במערכת המייל של החברה הופיעה ביומני המערכת.

המשטרה עצרה את לילס וחיפשה בציוד המחשב שלו ראיות, רק כדי לגלות שהוא מחק את המחשבים שלו, את הטלפון שלו וחבורה של כונני USB כמה ימים קודם לכן.

אף על פי כן, השוטרים שחזרו נתונים מהמכשירים הלא ריקים כפי שהוא חשב, וקישרו אותו ישירות למה שאתה יכול לחשוב עליו כסחיטה כפולה: ניסיון להונות את המעסיק שלו, ובו בזמן להונות את הרמאים ש כבר רימו את המעסיק שלו.

באופן מסקרן, התיק הזה נמשך חמש שנים, כאשר לילס שומר על חפותו עד שהחליט לפתע להודות באשמה בדיון בבית המשפט ב-2023-05-17.

(הודאה באשמה זוכה לעונש מופחת, אם כי על פי התקנות הנוכחיות, סכום ה"הנחה", כפי שהיא מוכרת באופן מוזר אך רשמית באנגליה, פוחת ככל שהנאשמים מחזיקים מעמד זמן רב יותר לפני שהוא מודה שעשה זאת.)

מה לעשות?

זה איום פנימי שני כתבנו על החודש הזה, אז נחזור על העצות שנתנו קודם:

• הפרד ומשול. נסה להימנע ממצבים שבהם למנהלי מערכת בודדים יש גישה בלתי מוגבלת לכל דבר. זה מקשה על עובדים נוכלים להמציא ולבצע פשעי סייבר "פנימיים" מבלי לצרף אנשים אחרים לתוכניות שלהם, ובכך להסתכן בחשיפה מוקדמת.
• שמור יומנים בלתי ניתנים לשינוי. במקרה הזה, לילס כנראה לא הצליח להסיר את הראיות המראות שמישהו התעסק באימייל של אנשים אחרים, מה שהוביל למעצרו. הקשה ככל האפשר על כל אחד, בין אם מבפנים ובין אם מבחוץ, להתעסק עם היסטוריית הסייבר הרשמית שלך.
• תמיד למדוד, לעולם לא להניח. קבל אישור עצמאי ואובייקטיבי לתביעות אבטחה. הרוב המכריע של מנהלי המערכת ישרים, בניגוד לאשלי לילס, אבל מעטים מהם צודקים ב-100% כל הזמן.
  

  ---

  תמיד למדוד, לעולם לא להניח

  חסר לך זמן או מומחיות לטפל בתגובה לאיומי אבטחת סייבר?
  חוששים שאבטחת סייבר תסיח את דעתך מכל שאר הדברים שאתה צריך לעשות?

  תסתכל על Sophos Managed Detection and Response:
  ציד, איתור ותגובה של איומים 24/7  ▶

  ---

  למידע נוסף על תגובה להתקפות

  שוב אל הפרצה, חברים יקרים, פעם נוספת!

  פיטר מקנזי, מנהל תגובת התקריות ב-Sophos, מדבר על מאבק בפשעי סייבר בחיים האמיתיים בפגישה שתבהיל, ישעשע ותחנך אותך, הכל באותה מידה. (תמליל מלא זמין.)

  לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.

  ---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
• הטבעת העתיד עם אדריאן אשלי. גישה כאן.
• קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/05/24/ransomware-tales-the-mitm-attack-that-really-had-a-man-in-the-middle/