Розповіді про програмне забезпечення-вимагач: атака MitM, у центрі якої дійсно була людина

Більше п'яти років знадобилося, щоб у цій справі відбулося справедливість, але менти і суди потрапив туди наприкінці.

Офіс правоохоронних органів Великобританії SEROCU, скорочення від Південно-Східний регіональний відділ боротьби з організованою злочинністю, цього тижня повідомляє the своєрідна казка одного Ешлі Лайлза, буквального чоловіка посередині, якого ми згадували в заголовку.

Сьогодні ми зазвичай розширюємо жаргонний термін MitM означати Маніпулятор посередині, не лише для того, щоб уникнути гендерного терміну «людина», а й тому, що багато, якщо не більшість, атак MitM сьогодні виконуються машинами.

Деякі технарі навіть прийняли цю назву Машина посередині, але ми віддаємо перевагу «маніпулятору», тому що ми вважаємо, що він корисно описує, як працює цей вид атаки, і тому що (як показує ця історія) інколи посередині дійсно людина, а не машина.

MitM пояснив

Атака MitM залежить від когось або чогось, що може перехопити повідомлення, надіслані вам, і змінити їх на шляху, щоб обдурити вас.

Зловмисник зазвичай також змінює ваші відповіді початковому відправнику, щоб вони не помітили обман і не були втягнуті в обман разом з вами.

Як ви можете собі уявити, криптографія є одним із способів уникнути атак MitM, ідея полягає в тому, що якщо дані зашифровані перед надсиланням, то будь-хто або будь-що, хто перебуває посередині, взагалі не зможе зрозуміти це.

Зловмиснику потрібно буде не лише розшифрувати повідомлення з обох кінців, щоб зрозуміти, що вони означають, але й правильно зашифрувати змінені повідомлення, перш ніж передати їх, щоб уникнути виявлення та зберегти зраду.

Одна класична та фатальна історія MitM датується кінцем 1580-х років, коли шпигуни англійської королеви Єлизавети I змогли перехопити та маніпулювати таємним листуванням Марії, королеви Шотландії.

Мері, яка була двоюрідною сестрою та політичною суперницею Єлизавети, у той час перебувала під суворим домашнім арештом; її таємні послання, очевидно, контрабандою доставлялися в пивні бочки, доставлені в замок, де вона була затримана.

Фатально для Мері те, що шпигуни королеви Бесс змогли не лише перехопити та прочитати повідомлення Мері, але й надіслати фальсифіковані відповіді, які спонукали Мері надати достатньо деталей у письмовому вигляді, щоб, так би мовити, приготувати власну гуску, показавши, що вона знала, і активно підтримував змову з метою вбити Єлизавету.

Марія була засуджена до страти і страчена в 1587 році.

Швидко вперед до 2018 року

Цього разу, на щастя, обійшлося без планів вбивства, і Англія скасувала смертну кару в 1998 році.

Але цей злочин 21-го століття з перехопленням повідомлень був настільки ж зухвалим і підступним, як і простим.

Підприємство в Оксфорді, Англія, на північ від Софоса (якщо вам цікаво, ми знаходимося за 15 км вниз по річці в Абінгдоні на Темзі), у 2018 році постраждало від програми-вимагача.

У 2018 році ми вже вступили в сучасну епоху програм-вимагачів, коли злочинці зламують і шантажують цілі компанії одночасно, вимагаючи величезні суми грошей, замість того, щоб переслідувати десятки тисяч окремих власників комп’ютерів за 300 доларів США за кожного.

Саме тоді засуджений злочинець перетворився з сисадміна в постраждалому бізнесі в кіберзлочинця-людину посередині.

Працюючи як з компанією, так і з поліцією, щоб впоратися з нападом, злочинець, 28-річний Ешелі Лайлз, накинувся на своїх колег, зробивши:

• Змінював електронні листи від початкових шахраїв своїм босам і редагував адреси біткойн, указані для оплати шантажу. Таким чином Лайлз сподівався перехопити будь-які платежі, які могли бути здійснені.
• Підробка повідомлень від оригінальних шахраїв, щоб збільшити тиск, щоб заплатити. Ми припускаємо, що Лайлз використовував свої внутрішні знання для створення найгірших сценаріїв, які були б більш правдоподібними, ніж будь-які загрози, які могли придумати зловмисники.

Із поліцейського звіту незрозуміло, як саме Лайлс збирався отримати гроші.

Можливо, він мав намір просто втекти з усіма грошима, а потім діяти так, ніби шахрай-шифрувальник втік і втік із самими криптовалютами?

Можливо, він додав власну націнку до гонорару та намагався домовитися про зниження попиту зловмисників, сподіваючись отримати величезну зарплату для себе, але все-таки отримати ключ дешифрування, ставши героєм у процесі «відновлення» та тим самим відвіявши підозри ?

Помилка в плані

Як сталося, підлий план Лайлза був зруйнований двома речами: компанія не заплатила, тож не було біткойнів, які він міг би перехопити, а його несанкціоноване втручання в системі електронної пошти компанії виявилося в системних журналах.

Поліція заарештувала Лайлза та обшукала його комп’ютерне обладнання в пошуках доказів, але виявила, що кілька днів тому він стер свої комп’ютери, телефон і купу USB-накопичувачів.

Тим не менш, поліцейські відновили дані з пристроїв Лайлза, які не були такими порожніми, як він думав, і безпосередньо пов’язали його з подвійним вимаганням: намагаючись обдурити свого роботодавця, і водночас обдурити шахраїв, які вже обманював свого роботодавця.

Інтригуюче те, що ця справа затягнулася на п’ять років, і Лайлз стверджував, що невинний, аж поки раптово не вирішив визнати себе винним на судовому засіданні 2023 травня 05 року.

(Визнання провини приносить пом’якшення терміну покарання, хоча згідно з чинними правилами сума «знижки», як це досить дивно, але офіційно відомо в Англії, зменшується, чим довше обвинувачений тримається перед тим, як зізнатися в цьому.)

Що ж робити?

Це друга внутрішня загроза ми писали про цей місяць, тож повторимо поради, які дали раніше:

• Розділяй і володарюй. Намагайтеся уникати ситуацій, коли окремі системні адміністратори мають необмежений доступ до всього. Це ускладнює нечесним працівникам планувати та здійснювати «інсайдерські» кіберзлочини, не залучаючи інших людей до своїх планів, і, таким чином, ризикуючи раннім викриттям.
• Зберігайте незмінні журнали. У цьому випадку Лайлз, очевидно, не зміг видалити докази того, що хтось втручався в електронну пошту інших людей, що призвело до його арешту. Зробіть так, щоб будь-кому, інсайдеру чи сторонньому, було якомога складніше втручатися у вашу офіційну кіберісторію.
• Завжди вимірювайте, ніколи не припускайте. Отримайте незалежне, об'єктивне підтвердження заяв про безпеку. Переважна більшість системних адміністраторів чесні, на відміну від Ешлі Лайлз, але лише деякі з них завжди мають рацію на 100%.
  

  ---

  ЗАВЖДИ МІРЯЙТЕ, НІКОЛИ не припускайте

  Не вистачає часу чи досвіду для реагування на загрози кібербезпеці?
  Хвилюєтеся, що кібербезпека зрештою відволікатиме вас від усіх інших справ, які вам потрібно зробити?

  Погляньте на Sophos Managed Detection and Response:
  Цілодобове полювання на загрози, виявлення та реагування  ▶

  ---

  ДІЗНАЙТЕСЯ БІЛЬШЕ ПРО ВІДПОВІДЬ НА АТАКИ

  Ще раз на пролом, дорогі друзі, ще раз!

  Пітер Маккензі, директор відділу реагування на інциденти в Sophos, розповідає про боротьбу з кіберзлочинністю в реальному житті на сесії, яка однаково насторожить, розважить і навчить вас. (Повна стенограма доступно.)

  Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.

  ---

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
• джерело: https://nakedsecurity.sophos.com/2023/05/24/ransomware-tales-the-mitm-attack-that-really-had-a-man-in-the-middle/