Opowieści o ransomware: Atak MitM, który naprawdę miał człowieka pośrodku

Opowieści o ransomware: Atak MitM, który naprawdę miał człowieka pośrodku

Znacznik czasu: 24 maja 2023 1:59
Węzeł źródłowy: 2674840
by

Minęło ponad pięć lat, zanim sprawiedliwości stało się zadość w tej sprawie, ale policja i sądy dostałem się tam na końcu.

Brytyjskie biuro ścigania SEROCU, skrót od Jednostka ds. Przestępczości Zorganizowanej Regionu Południowo-Wschodniego, w tym tygodniu poinformował osobliwa opowieść niejakiego Ashleya Lilesa, dosłownego Man in the Middle, o którym wspominaliśmy w nagłówku.

W dzisiejszych czasach zwykle rozszerzamy termin żargonowy Dzięki M. znaczyć Manipulator w środku, nie tylko po to, aby uniknąć płciowego terminu „mężczyzna”, ale także dlatego, że wiele, jeśli nie większość, ataków MitM jest obecnie przeprowadzanych przez maszyny.

Niektórzy technicy przyjęli nawet tę nazwę Maszyna w środku, ale wolimy „manipulator”, ponieważ uważamy, że w użyteczny sposób opisuje, jak działa ten rodzaj ataku, i ponieważ (jak pokazuje ta historia) czasami naprawdę jest człowiekiem, a nie maszyną, pośrodku.

MitM wyjaśnił

Atak MitM polega na tym, że ktoś lub coś może przechwytywać wysyłane do Ciebie wiadomości i modyfikować je po drodze, aby Cię oszukać.

Osoba atakująca zazwyczaj modyfikuje również Twoje odpowiedzi skierowane do pierwotnego nadawcy, aby nie zauważył oszustwa i nie został wciągnięty w oszustwo razem z Tobą.

Jak możesz sobie wyobrazić, kryptografia jest jednym ze sposobów uniknięcia ataków MitM, a chodzi o to, że jeśli dane są szyfrowane przed wysłaniem, to ktokolwiek lub cokolwiek jest w środku, nie może w ogóle zrozumieć tego.

Atakujący musiałby nie tylko odszyfrować wiadomości z obu stron, aby dowiedzieć się, co oznaczają, ale także ponownie poprawnie zaszyfrować zmodyfikowane wiadomości przed ich przekazaniem, aby uniknąć wykrycia i utrzymać zdradę.

Jedna z klasycznych i fatalnych w skutkach opowieści MitM pochodzi z późnych lat osiemdziesiątych XVI wieku, kiedy mistrzowie szpiegów angielskiej królowej Elżbiety I byli w stanie przechwycić i manipulować tajną korespondencją Marii, królowej Szkotów.

Mary, która była kuzynką Elżbiety i polityczną rywalką, przebywała wówczas w ścisłym areszcie domowym; jej tajne wiadomości najwyraźniej były przemycane w beczkach po piwie dostarczanych do zamku, w którym była przetrzymywana.

Fatalnie dla Mary, szpiegowie królowej Bess byli w stanie nie tylko przechwycić i przeczytać wiadomości Mary, ale także wysyłać sfałszowane odpowiedzi, które skłoniły Mary do podania na piśmie wystarczających szczegółów, aby ugotować jej własną gęś, ujawniając, że była świadoma, i aktywnie wspierany spisek mający na celu zamordowanie Elżbiety.

Maria została skazana na śmierć i stracona w 1587 roku.

Szybko do przodu do roku 2018

Tym razem na szczęście nie było planów zamachu, a Anglia zniosła karę śmierci w 1998 roku.

Ale to przestępstwo przechwytywania wiadomości w XXI wieku było równie zuchwałe i przebiegłe, jak proste.

Firma w Oksfordzie w Anglii, na północ od Sophos (jesteśmy 15 km w dół rzeki w Abingdon-on-Thames, gdybyś się zastanawiał), została zaatakowana przez oprogramowanie ransomware w 2018 roku.

W 2018 roku wkroczyliśmy już we współczesną erę ransomware, w której przestępcy włamują się i szantażują całe firmy naraz, żądając ogromnych sum pieniędzy, zamiast ścigać dziesiątki tysięcy indywidualnych właścicieli komputerów po 300 USD każdy.

To wtedy skazany sprawca zmienił się z administratora w dotkniętym biznesie w cyberprzestępcę typu Man-in-the-Middle.

Współpracując zarówno z firmą, jak i policją, aby poradzić sobie z atakiem, sprawca, 28-letni Ashely Liles, zwrócił się do swoich kolegów:

  • Modyfikowanie wiadomości e-mail od pierwotnych oszustów do jego szefów i edytowanie adresów Bitcoin wymienionych dla płatności szantażem. W ten sposób Liles miał nadzieję przechwycić wszelkie płatności, które mogłyby zostać dokonane.
  • Fałszowanie wiadomości od pierwotnych oszustów w celu zwiększenia presji na zapłatę. Domyślamy się, że Liles wykorzystał swoją wiedzę poufną do stworzenia najgorszych scenariuszy, które byłyby bardziej wiarygodne niż jakiekolwiek zagrożenia, które mogli wymyślić pierwotni atakujący.

Z raportu policyjnego nie wynika dokładnie, w jaki sposób Liles zamierzał wypłacić pieniądze.

Być może zamierzał po prostu uciec z wszystkimi pieniędzmi, a następnie zachowywać się tak, jakby oszust szyfrujący uciekł i uciekł z samymi kryptowalutami?

Być może dodał własną marżę do opłaty i próbował wynegocjować niższe żądania atakujących, mając nadzieję, że uzyska dla siebie ogromną wypłatę, a jednocześnie zdobędzie klucz deszyfrujący, stając się bohaterem w procesie „odzyskiwania” i tym samym odwracając podejrzenia ?

Błąd w planie

Tak się złożyło, że nikczemny plan Lilesa został zrujnowany przez dwie rzeczy: firma nie zapłaciła, więc nie miał Bitcoinów do przechwycenia, a jego nieautoryzowane majstrowanie w firmowym systemie pocztowym pojawiło się w dziennikach systemowych.

Policja aresztowała Lilesa i przeszukała jego sprzęt komputerowy w poszukiwaniu dowodów, ale okazało się, że kilka dni wcześniej wyczyścił swoje komputery, telefon i kilka dysków USB.

Niemniej jednak gliniarze odzyskali dane z urządzeń Lilesa, które nie były tak puste, jak mu się wydawało, i powiązały go bezpośrednio z czymś, co można nazwać podwójnym wymuszeniem: próbą oszukania swojego pracodawcy, jednocześnie oszukując oszustów, którzy już oszukiwał swojego pracodawcę.

Co ciekawe, ta sprawa ciągnęła się przez pięć lat, a Liles utrzymywał swoją niewinność, aż nagle zdecydował się przyznać do winy na rozprawie sądowej w dniu 2023 r.

(Za przyznanie się do winy grozi złagodzona kara, choć zgodnie z obowiązującymi przepisami wysokość „zniżki”, jak to dość dziwnie, ale oficjalnie nazywa się w Anglii, maleje, im dłużej oskarżony wytrzymuje, zanim się przyzna.)

Co robić?

To jest drugie zagrożenie wewnętrzne pisaliśmy o tym miesiącu, więc powtórzymy radę, którą daliśmy wcześniej:

  • Dziel i rządź. Staraj się unikać sytuacji, w których poszczególni administratorzy systemu mają nieograniczony dostęp do wszystkiego. Utrudnia to nieuczciwym pracownikom wymyślanie i przeprowadzanie cyberprzestępstw z wykorzystaniem informacji poufnych bez włączania innych osób do swoich planów, a tym samym narażania się na wczesne ujawnienie.
  • Zachowaj niezmienne dzienniki. W tym przypadku Liles najwyraźniej nie był w stanie usunąć dowodów wskazujących, że ktoś manipulował wiadomościami e-mail innych osób, co doprowadziło do jego aresztowania. Utrudnij tak mocno, jak to tylko możliwe, aby ktokolwiek, zarówno z wewnątrz, jak i z zewnątrz, ingerował w Twoją oficjalną cyberhistorię.
  • Zawsze mierz, nigdy nie zakładaj. Uzyskaj niezależne, obiektywne potwierdzenie roszczeń dotyczących bezpieczeństwa. Zdecydowana większość administratorów systemu jest uczciwa, w przeciwieństwie do Ashley Liles, ale niewielu z nich ma zawsze 100% racji.

    ZAWSZE MIERZ, NIGDY NIE ZAKŁADAJ

    Brakuje Ci czasu lub wiedzy, aby zająć się reagowaniem na zagrożenia cyberbezpieczeństwa?
    Martwisz się, że cyberbezpieczeństwo odciągnie Cię od wszystkich innych rzeczy, które musisz zrobić?

    Przyjrzyj się Sophos Managed Detection and Response:
    Całodobowe polowanie na zagrożenia, wykrywanie i reagowanie  ▶

    DOWIEDZ SIĘ WIĘCEJ O REAGOWANIU NA ATAKI

    Jeszcze raz do wyłomu, drodzy przyjaciele, jeszcze raz!

    Peter Mackenzie, dyrektor ds. reagowania na incydenty w firmie Sophos, opowiada o prawdziwej walce z cyberprzestępczością podczas sesji, która w równym stopniu zaniepokoi, rozbawi i pouczy. (Pełny zapis do dyspozycji.)

    Kliknij i przeciągnij poniższe fale dźwiękowe, aby przejść do dowolnego punktu. Również możesz słuchaj bezpośrednio na Soundcloudzie.

Znak czasu:

Więcej z Nagie bezpieczeństwo