Cyber ​​atak - Cyberattack

Cyberatakiem jakakolwiek ofensywa manewr że cele systemów komputerowych informacyjnych , sieci komputerowych , infrastruktury lub osobistych urządzeń komputerowych. Atakujący to osoba lub proces, który próbuje uzyskać dostęp do danych, funkcji lub innych zastrzeżonych obszarów systemu bez autoryzacji, potencjalnie ze złośliwymi zamiarami. W zależności od kontekstu, Cyberataki mogą być częścią cyber wojny lub cyberterroryzmu . Cyberatak może przeprowadzić suwerenne państwa , osoby, grupy, społeczeństwo lub organizacje i może pochodzić z anonimowego źródła. Produkt ułatwiający przeprowadzenie cyberataku jest czasem nazywany cyberbronią .

Cyberatak może ukraść, zmienić lub zniszczyć określony cel poprzez włamanie się do podatnego systemu. Cyberataki mogą obejmować instalowanie oprogramowania szpiegującego na komputerze osobistym po próby zniszczenia infrastruktury całych narodów. Eksperci prawni starają się ograniczyć użycie tego terminu do incydentów powodujących fizyczne szkody, odróżniając je od bardziej rutynowych naruszeń danych i szerszych działań hakerskich .

Cyberataki stają się coraz bardziej wyrafinowane i niebezpieczne.

Analizy zachowań użytkowników i SIEM mogą pomóc w zapobieganiu tym atakom.

Definicje

Od końca lat 80-tych cyberataki kilkakrotnie ewoluowały w kierunku wykorzystywania innowacji w technologii informacyjnej jako wektorów do popełniania cyberprzestępstw . W ostatnich latach skala i odporność cyberataków gwałtownie wzrosła, jak zauważyło Światowe Forum Ekonomiczne w swoim raporcie z 2018 r.: „Obraźliwe zdolności cybernetyczne rozwijają się szybciej niż nasza zdolność do radzenia sobie z wrogimi incydentami”.

W maju 2000 r. Internet Engineering Task Force zdefiniował atak w RFC 2828 jako:

atak na bezpieczeństwo systemu, który wywodzi się z inteligentnej zagrożenia , tj inteligentnym aktu, który jest celowa próba (zwłaszcza w sensie metody lub techniki), aby uniknąć służby bezpieczeństwa i naruszają zasady zabezpieczeń systemu.

Instrukcja CNSS nr 4009 z dnia 26 kwietnia 2010 r. wydana przez Komitet ds. Systemów Bezpieczeństwa Narodowego Stanów Zjednoczonych Ameryki definiuje atak jako:

Wszelkiego rodzaju złośliwe działania, które mają na celu zbieranie, zakłócanie, odmawianie, degradowanie lub niszczenie zasobów systemu informacyjnego lub samych informacji.

Rosnąca zależność współczesnego społeczeństwa od sieci informacyjnych i komputerowych (zarówno w sektorze prywatnym, jak i publicznym, w tym wojskowym) doprowadziła do pojawienia się nowych terminów, takich jak cyberatak i cyberwojna .

Instrukcja CNSS nr 4009 definiuje cyberatak jako:

Atak za pośrednictwem cyberprzestrzeni, którego celem jest wykorzystanie cyberprzestrzeni przez przedsiębiorstwo w celu zakłócania, wyłączania, niszczenia lub złośliwego kontrolowania środowiska/infrastruktury komputerowej; lub niszczenie integralności danych lub kradzież kontrolowanych informacji.

W miarę jak samochody zaczynają stosować coraz więcej technologii, cyberataki stają się zagrożeniem dla bezpieczeństwa samochodów.

Rozpowszechnienie

W ciągu pierwszych sześciu miesięcy 2017 r. dwa miliardy rekordów danych zostało skradzione lub zaatakowane przez cyberataki, a płatności za oprogramowanie ransomware osiągnęły 2 miliardy USD , dwukrotnie więcej niż w 2016 r. W 2020 r. wraz ze wzrostem liczby pracy zdalnej w wyniku COVID-19 Statystyki dotyczące globalnej pandemii i cyberbezpieczeństwa ujawniają ogromny wzrost liczby zhakowanych i naruszonych danych. Przewiduje się, że światowy rynek bezpieczeństwa informacji osiągnie w 2022 roku 170,4 miliarda dolarów.

Cyberwojna i cyberterroryzm

Wojna cybernetyczna wykorzystuje techniki obrony i atakowania sieci informacyjnych i komputerowych zamieszkujących cyberprzestrzeń, często poprzez przedłużoną kampanię cybernetyczną lub serię powiązanych kampanii. Zaprzecza zdolności przeciwnika do zrobienia tego samego, jednocześnie wykorzystując technologiczne narzędzia wojny do atakowania krytycznych systemów komputerowych przeciwnika. Z drugiej strony cyberterroryzm to „wykorzystywanie narzędzi sieci komputerowych do zamykania krytycznej infrastruktury krajowej (takiej jak energia, transport, operacje rządowe) lub do zmuszania lub zastraszania rządu lub ludności cywilnej”. Oznacza to, że efekt końcowy zarówno cyberwojny, jak i cyberterroryzmu jest taki sam, powodując uszkodzenie infrastruktury krytycznej i systemów komputerowych połączonych ze sobą w ramach cyberprzestrzeni.

Ekspert ds. przestępczości finansowej Veit Buetterlin wyjaśnił, że organizacje, w tym podmioty państwowe, które nie mogą finansować się z handlu z powodu nałożonych sankcji, przeprowadzają cyberataki na banki w celu generowania funduszy.

Czynniki

Na powody cyberataków na państwo lub osobę składają się trzy czynniki: czynnik strachu, czynnik widowiskowości i czynnik podatności.

Współczynnik widowiskowości

Czynnik widowiskowości jest miarą rzeczywistych szkód wyrządzonych przez atak, co oznacza, że ​​atak generuje bezpośrednie straty (zwykle utratę dostępności lub dochodów) i zbiera negatywny rozgłos. W dniu 8 lutego 2000 r. atak typu Denial of Service poważnie ograniczył ruch w wielu głównych witrynach, w tym Amazon, Buy.com, CNN i eBay (atak nadal dotyczył jeszcze innych witryn następnego dnia). Amazon podobno oszacował stratę biznesu na 600 000 dolarów.

Współczynnik podatności

Czynnik podatności wykorzystuje stopień podatności organizacji lub instytucji rządowej na cyberataki. Organizacje bez systemów konserwacji mogą działać na starych serwerach, które są bardziej podatne na ataki niż systemy zaktualizowane. Organizacja może być podatna na atak typu „odmowa usługi”, a instytucje rządowe mogą zostać zniszczone na stronie internetowej. Atak z sieci komputerowej zakłóca integralność lub autentyczność danych, zwykle poprzez złośliwy kod, który zmienia logikę programu kontrolującego dane, prowadząc do błędów w danych wyjściowych.

Profesjonalni hakerzy do cyberterrorystów

Zawodowi hakerzy, pracujący na własną rękę lub zatrudnieni przez agencje rządowe lub wojsko, mogą znaleźć systemy komputerowe z lukami bez odpowiedniego oprogramowania zabezpieczającego. Po znalezieniu tych luk mogą one zainfekować systemy złośliwym kodem, a następnie zdalnie sterować systemem lub komputerem, wysyłając polecenia przeglądania zawartości lub zakłócania działania innych komputerów. Aby kod wirusa zadziałał, musi istnieć wcześniejsza luka systemowa w komputerze, taka jak brak ochrony antywirusowej lub błędna konfiguracja systemu.

Wielu profesjonalnych hakerów promuje się jako cyberterroryści z powodów finansowych lub innych. Oznacza to, że ich działaniami rządzi nowy zestaw zasad. Cyberterroryści mają plany z premedytacją, a ich ataki nie rodzą się z wściekłości. Muszą rozwijać swoje plany krok po kroku i nabywać odpowiednie oprogramowanie do przeprowadzenia ataku. Zwykle mają programy polityczne, skierowane do struktur politycznych. Cyberterroryści to hakerzy z motywacją polityczną, ich ataki mogą wpływać na strukturę polityczną poprzez tę korupcję i zniszczenie. Ich celem są również cywile, interesy cywilne i instalacje cywilne. Jak już wspomniano, cyberterroryści atakują osoby lub mienie i wyrządzają wystarczająco dużo szkód, aby wywołać strach.

Rodzaje ataków

Atak może być aktywny lub pasywny .

„Aktywny atak” próbuje zmienić zasoby systemowe lub wpłynąć na ich działanie.

„ Atak pasywny ” próbuje nauczyć się lub wykorzystać informacje z systemu, ale nie wpływa na zasoby systemu (np. podsłuch ).

Atak może być dokonany przez osobę z wewnątrz lub spoza organizacji;

„Atak wewnętrzny” to atak zainicjowany przez podmiot znajdujący się w strefie bezpieczeństwa („insider”), tj. podmiot, który jest upoważniony do dostępu do zasobów systemu, ale wykorzystuje je w sposób niezatwierdzony przez osoby, które udzieliły autoryzacji.

„Atak z zewnątrz” jest inicjowany z zewnątrz przez nieautoryzowanego lub nielegalnego użytkownika systemu („osoba z zewnątrz”). W Internecie potencjalni napastnicy z zewnątrz to zarówno amatorzy dowcipnisi, jak i zorganizowani przestępcy, międzynarodowi terroryści i wrogie rządy.

Zasób (zarówno fizyczne lub logiczne), zwany aktywów może mieć jeden lub więcej słabych punktów , które mogą być wykorzystane przez zagrożenia czynnikiem w działaniu zagrożenia. W rezultacie poufność , integralność lub dostępność zasobów może zostać naruszona. Potencjalnie szkoda może rozciągać się na zasoby dodatkowe do tych wstępnie zidentyfikowanych jako podatne na zagrożenia, w tym dalsze zasoby organizacji oraz zasoby innych zaangażowanych stron (klientów, dostawców).

Tak zwana triada CIA to podstawa bezpieczeństwa informacji .

Atak może być aktywny, gdy próbuje zmienić zasoby systemowe lub wpłynąć na ich działanie: zagraża więc integralności lub dostępności. „ Atak pasywny ” próbuje nauczyć się lub wykorzystać informacje z systemu, ale nie wpływa na zasoby systemowe: zagraża więc poufności.

Zagrożenie to potencjalna możliwość naruszenia bezpieczeństwa, która występuje, gdy istnieje okoliczność, zdolność, działanie lub zdarzenie, które może naruszyć bezpieczeństwo i wyrządzić szkodę. Oznacza to, że zagrożenie to możliwe niebezpieczeństwo, które może wykorzystać lukę w zabezpieczeniach. Zagrożenie może być „celowe” (tj. inteligentne; np. indywidualny cracker lub organizacja przestępcza) lub „przypadkowe” (np. możliwość nieprawidłowego działania komputera lub możliwość „działania Bożego”, takiego jak trzęsienie ziemi, pożar lub tornado).

Zbiór polityk dotyczących zarządzania bezpieczeństwem informacji, systemów zarządzania bezpieczeństwem informacji (ISMS), został opracowany w celu zarządzania, zgodnie z zasadami zarządzania ryzykiem , środkami zaradczymi w celu osiągnięcia strategii bezpieczeństwa ustanowionej zgodnie z zasadami i przepisami obowiązującymi w kraj.

Atak powinien prowadzić do incydentu bezpieczeństwa, tj. zdarzenia związanego z naruszeniem bezpieczeństwa . Innymi słowy, zdarzenie systemowe istotne z punktu widzenia bezpieczeństwa, w którym polityka bezpieczeństwa systemu jest nieposłuszna lub w inny sposób naruszona.

Ogólny obraz przedstawia czynniki ryzyka scenariusza ryzyka.

Organizacja powinna podjąć kroki w celu wykrywania, klasyfikowania i zarządzania incydentami bezpieczeństwa. Pierwszym logicznym krokiem jest stworzenie planu reagowania na incydenty i ostatecznie zespołu reagowania na incydenty komputerowe .

W celu wykrycia ataków można zastosować szereg środków zaradczych na poziomie organizacyjnym, proceduralnym i technicznym. Przykładami takich działań są komputerowy zespół reagowania kryzysowego , audyt bezpieczeństwa technologii informatycznych oraz system wykrywania włamań .

Atak zwykle jest przeprowadzany przez kogoś o złych intencjach: ataki typu black hat należą do tej kategorii, podczas gdy inne przeprowadzają testy penetracyjne w systemie informacyjnym organizacji, aby sprawdzić, czy wszystkie przewidziane środki kontroli są na miejscu.

Ataki można sklasyfikować ze względu na ich pochodzenie, tj. jeśli są przeprowadzane przy użyciu jednego lub więcej komputerów: w tym ostatnim przypadku jest to atak rozproszony. Do przeprowadzania ataków rozproszonych wykorzystywane są botnety .

Inne klasyfikacje są zgodne z zastosowanymi procedurami lub rodzajem wykorzystywanych luk: ataki mogą koncentrować się na mechanizmach sieciowych lub funkcjach hosta.

Niektóre ataki mają charakter fizyczny: np. kradzież lub uszkodzenie komputerów i innego sprzętu. Inne to próby wymuszenia zmian w logice wykorzystywanej przez komputery lub protokoły sieciowe w celu osiągnięcia nieprzewidzianego (przez oryginalnego projektanta) wyniku, ale użytecznego dla atakującego. Oprogramowanie wykorzystywane do logicznych ataków na komputery nazywane jest złośliwym oprogramowaniem .

Poniżej znajduje się częściowa krótka lista ataków:

• Bierny
  • Nadzór komputerowy i sieciowy
  • Sieć
    • Podsłuch
    • Odczepianie włókien
    • Skanowanie portów
    • Skanowanie w trybie bezczynności
  • Gospodarz
    • Rejestrowanie naciśnięć klawiszy
    • Skrobanie danych
    • Tylne drzwi
• Aktywny
  • Atak typu „odmowa usługi”
    • Atak DDos lub rozproszona odmowa usługi to próba zablokowania przez hakera dostępu do serwera lub strony internetowej połączonej z Internetem. Osiąga się to za pomocą wielu systemów skomputeryzowanych, które przeciążają system docelowy żądaniami, co uniemożliwia mu odpowiadanie na jakiekolwiek zapytanie.
  • Podszywanie się
  • Atak mieszanych zagrożeń
  • Sieć
    • Człowiek w środku
    • Człowiek w przeglądarce
    • Zatrucie ARP
    • Powódź ping
    • Ping śmierci
    • Atak smerfów
  • Gospodarz
    • Przepełnienie bufora
    • Przepełnienie sterty
    • Przepełnienie stosu
    • Atak ciągiem formatu
• Według modalności
  • Atak łańcucha dostaw
  • Inżynieria społeczna
  • Wykorzystać

W szczegółach istnieje szereg technik, które można wykorzystać w cyberatakach, a także różne sposoby administrowania nimi osobom fizycznym lub instytucjom na szerszą skalę. Ataki dzielą się na dwie kategorie: ataki syntaktyczne i ataki semantyczne. Ataki syntaktyczne są proste; jest uważane za złośliwe oprogramowanie, które zawiera wirusy, robaki i konie trojańskie.

Ataki syntaktyczne

Wirusy

Wirus to samoreplikujący się program, który może dołączyć się do innego programu lub pliku w celu odtworzenia. Wirus może ukrywać się w mało prawdopodobnych miejscach w pamięci systemu komputerowego i dołączać się do dowolnego pliku, który uzna za odpowiedni do wykonania swojego kodu. Może również zmieniać swój cyfrowy ślad za każdym razem, gdy się replikuje, co utrudnia śledzenie w komputerze.

Robaki

Robak nie potrzebuje innego pliku ani programu, aby się skopiować; jest to samopodtrzymujący się program. Robaki replikują się w sieci przy użyciu protokołów. Najnowsze wcielenie robaków wykorzystuje znane luki w systemach do penetracji, wykonywania kodu i replikacji do innych systemów, takich jak robak Code Red II, który zainfekował ponad 259 000 systemów w czasie krótszym niż 14 godzin. Na znacznie większą skalę robaki mogą być zaprojektowane do szpiegostwa przemysłowego, aby monitorować i zbierać aktywność serwera i ruchu, a następnie przesyłać je z powrotem do swojego twórcy.

konie trojańskie

Koń trojański jest przeznaczony do wykonywania legalnych zadań, ale wykonuje również nieznaną i niechcianą aktywność. Może być podstawą wielu wirusów i robaków instalujących się na komputerze jako rejestratory klawiatury i oprogramowanie typu backdoor. W sensie komercyjnym trojany mogą być osadzane w próbnych wersjach oprogramowania i mogą gromadzić dodatkowe informacje na temat celu, nawet bez wiedzy osoby o tym. Wszystkie trzy z nich mogą zaatakować osobę i firmę za pośrednictwem wiadomości e-mail, przeglądarek internetowych, klientów czatu, oprogramowania zdalnego i aktualizacji.

Ataki semantyczne

Atak semantyczny to modyfikacja i rozpowszechnianie poprawnych i niepoprawnych informacji. Zmodyfikowane informacje można było wykonać bez użycia komputerów, mimo że przy ich użyciu można znaleźć nowe możliwości. Aby skierować kogoś w złym kierunku lub zatrzeć swoje ślady, można wykorzystać rozpowszechnianie błędnych informacji.

Cyberataki przeprowadzane przez kraje i przeciwko nim

W ramach cyberwojny jednostka musi rozpoznać aktorów państwowych zaangażowanych w dokonywanie tych cyberataków przeciwko sobie nawzajem. Dwóch głównych graczy, którzy zostaną omówieni, to odwieczne porównanie Wschodu i Zachodu , czyli możliwości cybernetycznych Chin w porównaniu z możliwościami Stanów Zjednoczonych. W cyberwojnę zaangażowanych jest wiele innych państwowych i niepaństwowych podmiotów, takich jak Rosja, Iran, Irak i Al-Kaida; ponieważ Chiny i Stany Zjednoczone przodują w zakresie zdolności do prowadzenia cyberwojny, będą jedynymi omawianymi aktorami państwowymi.

Jednak w drugim kwartale 2013 r. Akamai Technologies poinformował, że Indonezja pokonała Chiny z udziałem 38 procent cyberataków, co stanowi wysoki wzrost w porównaniu z 21 procentami w poprzednim kwartale. Chiny ustanowiły 33 procent, a USA 6,9 procent. 79 procent ataków pochodziło z regionu Azji i Pacyfiku. Indonezja zdominowała ataki na porty 80 i 443 o około 90 procent.

Azerbejdżan

Hakerzy z Azerbejdżanu i Armenii aktywnie uczestniczyli w cyberwojnie w ramach konfliktu w Górskim Karabachu o sporny region Górnego Karabachu , przy czym hakerzy z Azerbejdżanu atakują strony armeńskie i zamieszczają oświadczenia Ilhama Alijewa .

Chiny

Chińska Armia Ludowo-Wyzwoleńcza (PLA) opracowała strategię o nazwie „Integrated Network Electronic Warfare”, która kieruje operacjami sieci komputerowych i narzędziami cyberwojny . Strategia ta pomaga połączyć narzędzia do wojny sieciowej i broń do walki elektronicznej przeciwko systemom informatycznym przeciwnika podczas konfliktu. Uważają, że podstawą osiągnięcia sukcesu jest przejęcie kontroli nad przepływem informacji przeciwnika i ustanowienie dominacji informacyjnej. The Science of Military i The Science of Campaigns zarówno identyfikują sieci systemów logistycznych wroga jako najwyższy priorytet dla cyberataków, jak i stwierdzają, że cyberwojna musi oznaczać początek, jeśli kampania, zastosowana właściwie, może umożliwić ogólny sukces operacyjny. Koncentrując się na atakowaniu infrastruktury przeciwnika w celu zakłócenia transmisji i procesów informacji, które dyktują operacje decyzyjne, PLA zapewniłaby cyberdominację nad przeciwnikiem. Dominujące techniki, które byłyby wykorzystywane podczas konfliktu w celu zdobycia przewagi, są następujące: PLA uderzy elektronicznymi zakłócaczami, elektronicznym oszustwem i technikami tłumienia, aby przerwać procesy przesyłania informacji. Przeprowadzali ataki wirusów lub techniki hakerskie, aby sabotować procesy informacyjne, wszystko w nadziei zniszczenia platform i obiektów informacyjnych wroga. Nauka o kampaniach PLA zauważyła, że ​​jedną z ról cyberwojny jest tworzenie okien możliwości dla innych sił do działania bez wykrycia lub z obniżonym ryzykiem kontrataku poprzez wykorzystanie okresów „oślepienia”, „głuchoty” lub „paraliżu” wroga wywołanych przez ataki komputerowe. Jest to jeden z głównych punktów odniesienia cyberware, aby móc w pełni osłabić wroga, dzięki czemu twoja fizyczna ofensywa będzie miała większy procent powodzenia.

PLA prowadzi regularne ćwiczenia szkoleniowe w różnych środowiskach, kładąc nacisk na stosowanie taktyk i technik cyberwojny w przeciwdziałaniu takim taktykom, jeśli jest on stosowany przeciwko nim. Badania na wydziale koncentrują się na projektach wykorzystania i wykrywania rootkitów dla ich systemu operacyjnego Kylin, co pomaga w dalszym szkoleniu technik cyberwojny tych osób. Chiny postrzegają cyberwojnę jako środek odstraszający od broni nuklearnej, posiadający zdolność do większej precyzji, pozostawiający mniej ofiar i pozwalający na ataki dalekiego zasięgu.

2 marca 2021 r. firma Microsoft wydała awaryjną aktualizację zabezpieczeń, która załatała cztery luki w zabezpieczeniach, które zostały wykorzystane przez Hafnium, sponsorowaną przez chińskie państwo grupę hakerską, która włamała się na co najmniej 30 000 publicznych i prywatnych serwerów wymiany firmy Microsoft.

Estonia

Cyberataki z 2007 r. na Estonię były serią cyberataków, które rozpoczęły się 27 kwietnia 2007 r. i były wymierzone w strony internetowe organizacji estońskich , w tym estońskiego parlamentu , banków, ministerstw, gazet i nadawców, w obliczu sporu z Rosją w sprawie relokacji Brązowego Żołnierza z Tallina , rozbudowany nagrobek z czasów sowieckich, a także groby wojenne w Tallinie . Ataki skłoniły wiele organizacji wojskowych na całym świecie do ponownego rozważenia znaczenia bezpieczeństwa sieci dla współczesnej doktryny wojskowej. Bezpośrednim rezultatem cyberataków było utworzenie Centrum Doskonałości ds. Obrony Cybernetycznej NATO w Tallinie.

Etiopia

W ramach przedłużenia dwustronnego sporu między Etiopią a Egiptem o zaporę Grand Ethiopian Renaissance , w czerwcu 2020 r. egipscy hakerzy zhakowali strony internetowe rządu Etiopii.

Indie i Pakistan

Były dwa takie przypadki między Indiami a Pakistanem, które dotyczyły konfliktów w cyberprzestrzeni, rozpoczętych w latach 90. XX wieku. Wcześniejsze cyberataki pojawiły się już w 1999 roku. Od tego czasu Indie i Pakistan toczyły długotrwały spór o Kaszmir, który przeniósł się do cyberprzestrzeni . Doniesienia historyczne wskazywały, że hakerzy z każdego kraju wielokrotnie brali udział w atakach na systemy komputerowej bazy danych drugiego. Liczba ataków rosła z roku na rok: 45 w 1999 r., 133 w 2000 r., 275 do końca sierpnia 2001 r. W 2010 r. indyjscy hakerzy przeprowadzili cyberatak na co najmniej 36 witryn rządowych baz danych o nazwie „Indian Cyber ​​Army”. W 2013 roku indyjscy hakerzy włamali się na oficjalną stronę Komisji Wyborczej Pakistanu, próbując odzyskać poufne informacje z bazy danych. W odwecie pakistańscy hakerzy, nazywając siebie „True Cyber ​​Army”, włamali się i zbezcześcili około 1059 stron internetowych indyjskich organów wyborczych.

W 2013 roku Indie „s Ministerstwo Elektroniki i Technik Informacyjnych (MeitY), który następnie znany jako Wydziale Elektroniki i Technik Informacyjnych (bóstwo), zaprezentował cyberbezpieczeństwa ramy polityczne o nazwie Polityka National Cyber Security 2013 , który oficjalnie weszła w życie z dniem 1 lipca 2013.

Według mediów Pakistan pracuje nad skutecznym systemem cyberbezpieczeństwa w programie o nazwie „Cyber ​​Secure Pakistan” (CSP). Program został uruchomiony w kwietniu 2013 r. przez Pakistańskie Stowarzyszenie Bezpieczeństwa Informacyjnego, a program rozszerzył się na uniwersytety tego kraju.

Według doniesień mediów w 2020 r. armia pakistańska potwierdziła serię cyberataków, które zostały zidentyfikowane na rządzie Pakistanu i na prywatnych stronach internetowych przez indyjski wywiad. ISPR doradzał również rządowi i instytucjom prywatnym w zakresie wzmocnienia środków bezpieczeństwa cybernetycznego.

Iran

8 lutego 2020 r. w sieci telekomunikacyjnej Iranu nastąpiły rozległe zakłócenia o godzinie 11:44 czasu lokalnego, które trwały około godziny. Ministerstwo Informacji i Technologii Komunikacja Iranu potwierdził go jako Ukazuje Denial of Service (DDoS) atak . Władze Iranu uruchomiły mechanizm obrony cybernetycznej „Cyfrowej Fortecy” , aby odeprzeć atak. Znany również jako DZHAFA, doprowadził do 75-procentowego spadku krajowej łączności internetowej.

Izrael

W kwietniu 2020 r. miały miejsce próby włamania się przez Iran do izraelskiej infrastruktury wodnej w centralnym regionie Szaron , co zostało udaremnione przez izraelską cyberobronę. Cyberatak miał na celu wprowadzenie niebezpiecznego poziomu chloru do izraelskiego zaopatrzenia w wodę.

Korea Północna

Norwegia

W sierpniu 2020 r. norweski parlament Stortinget doznał cyberataku na system poczty elektronicznej kilku urzędników. W grudniu 2020 r. norweska służba bezpieczeństwa policji poinformowała, że ​​prawdopodobnymi sprawcami była rosyjska grupa cyberszpiegowska Fancy Bear .

Rosja

Podczas Mistrzostw Świata w Piłce Nożnej 2018 Rosja odpowiedziała i powstrzymała około 25 milionów cyberataków na infrastrukturę IT.

W czerwcu 2019 r. Rosja przyznała, że ​​„możliwe”, że jej sieć elektryczna jest pod cyberatakiem ze strony Stanów Zjednoczonych . The New York Times poinformował, że amerykańscy hakerzy z amerykańskiego Cyber ​​Command umieścili złośliwe oprogramowanie potencjalnie zdolne do zakłócenia rosyjskiej sieci elektrycznej.

19 października 2020 r. amerykański departament sprawiedliwości oskarżył sześciu rosyjskich oficerów wojskowych o ogólnoświatową kampanię hakerską, która zaatakowała cele takie jak francuskie wybory, ceremonia otwarcia Zimowych Igrzysk Olimpijskich 2018 , amerykańskie przedsiębiorstwa i ukraińska sieć energetyczna. Uważano, że kampania kosztowała miliardy dolarów za wywołane przez nią masowe zakłócenia.

Ukraina

Seria potężnych cyberataków rozpoczęła się 27 czerwca 2017 r., które zalały strony internetowe organizacji ukraińskich, w tym banków, ministerstw, gazet i firm energetycznych.

Zjednoczone Emiraty Arabskie

W 2019 r. Reuters poinformował, że Zjednoczone Emiraty Arabskie rozpoczęły serię cyberataków na swoich przeciwników politycznych, dziennikarzy i obrońców praw człowieka w ramach Projektu Kruk na platformie szpiegowskiej Karma. W skład zespołu weszli byli agenci wywiadu USA. Projekt Raven rozpoczął się w 2009 roku i miał być kontynuowany przez najbliższe dziesięć lat.

Stany Zjednoczone

Na Zachodzie Stany Zjednoczone zapewniają inny „ton głosu”, gdy cyberwojna jest na końcu języka. Stany Zjednoczone zapewniają plany bezpieczeństwa ściśle w odpowiedzi na cyberwojnę, w zasadzie przechodząc w defensywę, gdy są atakowane za pomocą przebiegłych metod cybernetycznych. W USA odpowiedzialność za cyberbezpieczeństwo jest podzielona między Departament Bezpieczeństwa Wewnętrznego, Federalne Biuro Śledcze i Departament Obrony. W ostatnich latach utworzono nowy dział zajmujący się zagrożeniami cybernetycznymi, znany jako Cyber ​​Command. Cyber ​​Command jest poddowództwem wojskowym w ramach amerykańskiego Dowództwa Strategicznego i jest odpowiedzialne za radzenie sobie z zagrożeniami dla wojskowej infrastruktury cybernetycznej. Do elementów usług Cyber ​​Command należą: Army Forces Cyber ​​Command, XXIV Air Force, Fleet Cyber ​​Command i Marine Forces Cyber ​​Command. Gwarantuje prezydentowi nawigację i kontrolę nad systemami informacyjnymi, a także możliwości militarne, gdy obrona państwa musi być realizowana w cyberprzestrzeni. Osoby w Cyber ​​Command muszą zwracać uwagę na podmioty państwowe i niepaństwowe, które rozwijają zdolności do prowadzenia cyberwojny w prowadzeniu cyberszpiegostwa i innych cyberataków przeciwko narodowi i jego sojusznikom. Cyber ​​Command stara się być czynnikiem odstraszającym, aby zniechęcić potencjalnych przeciwników do atakowania USA, będąc jednocześnie wieloaspektowym działem w prowadzeniu własnych operacji cybernetycznych.

Miały miejsce trzy ważne wydarzenia, które mogły być katalizatorami powstania idei Cyber ​​Command. Doszło do awarii infrastruktury krytycznej zgłoszonej przez CIA, w której złośliwe działania przeciwko systemom informatycznym zakłóciły możliwości zasilania w energię elektryczną za granicą. Spowodowało to przerwy w dostawie prądu w wielu miastach w wielu regionach. Drugim wydarzeniem było wykorzystanie globalnych usług finansowych. W listopadzie 2008 r. międzynarodowy bank posiadał zhakowany procesor płatności, który umożliwiał dokonywanie oszukańczych transakcji w ponad 130 bankomatach w 49 miastach w ciągu 30 minut. Ostatnim wydarzeniem była systemowa utrata wartości gospodarczej Stanów Zjednoczonych, gdy w 2008 r. branża oszacowała 1 bilion dolarów strat własności intelektualnej w wyniku kradzieży danych. Mimo że wszystkie te wydarzenia były katastrofami wewnętrznymi, miały bardzo realny charakter, co oznacza, że ​​nic nie może powstrzymać państwowych i niepaństwowych aktorów przed zrobieniem tego samego na jeszcze większą skalę. Inne inicjatywy, takie jak Cyber ​​Training Advisory Council, zostały stworzone w celu poprawy jakości, wydajności i wystarczalności szkoleń w zakresie obrony sieci komputerowej, ataków i wykorzystania operacji cybernetycznych wroga.

Na obu końcach spektrum narody Wschodu i Zachodu wykazują kontrast „miecza i tarczy” w ideałach. Chińczycy mają bardziej ofensywny pomysł na cyberwojnę, próbując uzyskać uderzenie wyprzedzające na wczesnych etapach konfliktu, aby zyskać przewagę. W Stanach Zjednoczonych podejmuje się więcej reakcyjnych środków w celu stworzenia systemów z nieprzenikalnymi barierami, aby chronić naród i jego ludność cywilną przed cyberatakami.

Według Homeland Preparedness News wiele średnich firm amerykańskich ma trudności z obroną swoich systemów przed cyberatakami. Około 80 procent zasobów podatnych na cyberataki należy do prywatnych firm i organizacji. Były zastępca sekretarza stanu Nowy Jork ds. bezpieczeństwa publicznego Michael Balboni powiedział, że podmioty prywatne „nie mają takiego rodzaju zdolności, przepustowości, zainteresowań ani doświadczenia, aby opracować proaktywną analizę cybernetyczną”.

W odpowiedzi na cyberataki 1 kwietnia 2015 r. prezydent Obama wydał zarządzenie ustanawiające pierwsze w historii sankcje gospodarcze. Zarządzenie wpłynie na osoby i podmioty („wyznaczone”) odpowiedzialne za cyberataki zagrażające bezpieczeństwu narodowemu, polityce zagranicznej, zdrowiu gospodarczemu lub stabilności finansowej Stanów Zjednoczonych. W szczególności rozporządzenie wykonawcze upoważnia Departament Skarbu do zamrożenia aktywów osób wyznaczonych.

Według książki Teda Koppela , w 2008 roku Stany Zjednoczone we współpracy z Izraelem przeprowadziły cyberatak na program nuklearny Iranu, stając się „pierwszymi, które wykorzystały broń cyfrową jako instrument polityki”.

Konsekwencja potencjalnego ataku

Konsekwencje mogą obejmować wiele bezpośrednich i pośrednich skutków. We wrześniu 2020 r. media poinformowały o prawdopodobnie pierwszym publicznie potwierdzonym przypadku śmierci cywilnej jako prawie bezpośredniej konsekwencji cyberataku, po tym, jak oprogramowanie ransomware zakłóciło działanie szpitala w Niemczech.

Cała branża i inni pracują nad zminimalizowaniem prawdopodobieństwa i konsekwencji cyberataku.

Aby zapoznać się z częściową listą, zobacz: Firmy produkujące oprogramowanie zabezpieczające komputer .

Działania, często oferowane jako produkty i usługi, mogą mieć na celu:

• przestudiuj wszystkie możliwe kategorie ataków
• publikować książki i artykuły na ten temat
• odkrywanie podatności
• ocena ryzyka
• naprawianie podatności
• wymyślać, projektować i wdrażać środki zaradcze
• skonfiguruj plan awaryjny , aby być gotowym do reagowania

Wiele organizacji próbuje sklasyfikować podatność i jej konsekwencje. Najpopularniejszą bazą danych luk jest Common Vulnerabilities and Exposures .

Zespoły reagowania na incydenty komputerowe są tworzone przez rząd i duże organizacje w celu obsługi incydentów związanych z bezpieczeństwem komputerowym.

Infrastruktury jako cele

Po zainicjowaniu cyberataku istnieją pewne cele, które należy zaatakować, aby okaleczyć przeciwnika. Niektóre infrastruktury jako cele zostały wyróżnione jako infrastruktury krytyczne w czasach konfliktów, które mogą poważnie sparaliżować naród. Systemy kontroli, zasoby energetyczne, finanse, telekomunikacja, transport i urządzenia wodne są postrzegane jako krytyczne cele infrastruktury podczas konfliktu. Nowy raport na temat problemów z cyberbezpieczeństwem przemysłowym, opracowany przez British Columbia Institute of Technology i PA Consulting Group, wykorzystujący dane z 1981 roku, podobno wykazał 10-krotny wzrost liczby udanych cyberataków na infrastrukturę Systemy kontroli i akwizycji danych (SCADA) od 2000 roku. Cyberataki, które mają niekorzystny skutek fizyczny, są znane jako ataki cyberfizyczne.

Systemy kontrolne

Systemy sterowania odpowiadają za uruchamianie i monitorowanie sterowania przemysłowego lub mechanicznego. Wiele urządzeń jest zintegrowanych z platformami komputerowymi w celu sterowania zaworami i bramami do określonej infrastruktury fizycznej. Systemy sterowania są zwykle projektowane jako zdalne urządzenia telemetryczne, które łączą się z innymi urządzeniami fizycznymi za pośrednictwem dostępu do Internetu lub modemów. Podczas pracy z tymi urządzeniami można zapewnić niewielkie bezpieczeństwo, co pozwala wielu hakerom lub cyberterrorystom na systematyczne wyszukiwanie luk w zabezpieczeniach. Paul Blomgren, kierownik działu inżynierii sprzedaży w firmie zajmującej się cyberbezpieczeństwem, wyjaśnił, jak jego ludzie jechali do odległej podstacji, zobaczyli antenę sieci bezprzewodowej i natychmiast podłączyli karty bezprzewodowej sieci LAN. Wyjęli laptopy i połączyli się z systemem, ponieważ nie używał haseł. „W ciągu 10 minut zmapowali każdy element wyposażenia w obiekcie” – powiedział Blomgren. „W ciągu 15 minut zmapowali każdy element sprzętu w sieci kontroli operacyjnej. W ciągu 20 minut rozmawiali z siecią biznesową i sporządzili kilka raportów biznesowych. Nawet nie opuścili pojazdu”.

Energia

Energia jest postrzegana jako druga infrastruktura, którą można zaatakować. Dzieli się na dwie kategorie: elektryczność i gaz ziemny. Energia elektryczna znana również jako sieci elektryczne zasila miasta, regiony i gospodarstwa domowe; napędza maszyny i inne mechanizmy używane w życiu codziennym. Na przykładzie USA w konflikcie cyberterroryści mogą uzyskać dostęp do danych za pośrednictwem dziennego raportu o stanie systemu, który pokazuje przepływy energii w systemie i może wskazać najbardziej obciążone odcinki sieci. Zamykając te sieci, mogą wywołać masową histerię, zaległości i zamieszanie; także możliwość zlokalizowania krytycznych obszarów działania do dalszych ataków w bardziej bezpośredni sposób. Cyberterroryści mogą uzyskać dostęp do instrukcji, jak połączyć się z Bonneville Power Administration, co pomaga im wskazać, jak nie uszkadzać systemu w tym procesie. Jest to główna zaleta, którą można wykorzystać podczas cyberataków, ponieważ zagraniczni napastnicy bez wcześniejszej wiedzy o systemie mogą atakować z najwyższą dokładnością bez wad. Cyberataki na instalacje gazu ziemnego przebiegają w podobny sposób, jak w przypadku ataków na sieci elektryczne. Cyberterroryści mogą zamknąć te instalacje zatrzymując przepływ lub nawet przekierować przepływy gazu do innej sekcji, którą może zająć jeden z ich sojuszników. W Rosji zdarzył się przypadek dostawcy gazu znanego jako Gazprom, w którym stracili kontrolę nad centralną centralą, która kieruje przepływem gazu, po tym, jak wewnętrzny operator i program konia trojańskiego ominęli zabezpieczenia.

Cyberatak Colonial Pipeline z 2021 r. spowodował nagłe zamknięcie rurociągu, który przewoził 45% benzyny, oleju napędowego i paliwa do silników odrzutowych zużywanych na wschodnim wybrzeżu Stanów Zjednoczonych .

Finanse

Infrastruktura finansowa może zostać poważnie dotknięta cyberatakami, ponieważ system finansowy jest połączony systemami komputerowymi. Pieniądze są stale wymieniane w tych instytucjach i gdyby cyberterroryści mieli zaatakować i gdyby transakcje zostały przekierowane i skradziono duże kwoty, branże finansowe upadłyby, a cywile byliby bez pracy i bezpieczeństwa. Operacje zatrzymałyby się w różnych regionach, powodując ogólnokrajową degradację gospodarczą. W samych Stanach Zjednoczonych średni dzienny wolumen transakcji osiągnął 3 biliony dolarów, z czego 99% to przepływy bezgotówkowe. Możliwość zakłócenia tej kwoty pieniędzy na jeden dzień lub na okres kilku dni może spowodować trwałe szkody, powodując, że inwestorzy wycofają się z finansowania i podważą zaufanie publiczne.

Cyberatak na instytucję finansową lub transakcje można określić mianem cybernapadu . Ataki te mogą rozpocząć się od phishingu skierowanego do pracowników, wykorzystującego socjotechnikę do wyłudzenia od nich informacji. Mogą umożliwić atakującym włamanie się do sieci i umieszczenie keyloggerów w systemach księgowych . Z czasem cyberprzestępcy są w stanie uzyskać informacje o hasłach i kluczach. Konta bankowe organizacji można następnie uzyskać za pośrednictwem informacji, które zostały skradzione za pomocą keyloggerów. W maju 2013 r. gang dokonał cybernapadu o wartości 40 mln USD z Banku Muscat .

Telekomunikacja

Infrastruktury telekomunikacyjne wykorzystujące cyberataki przynoszą proste rezultaty. Integracja telekomunikacyjna staje się powszechną praktyką, dochodzi do połączenia systemów takich jak sieci głosowe i IP. Wszystko odbywa się przez Internet, ponieważ prędkości i możliwości przechowywania są nieograniczone. Ataki typu „odmowa usługi” mogą być administrowane, jak wspomniano wcześniej, ale bardziej złożone ataki można przeprowadzać na protokoły routingu BGP lub infrastruktury DNS. Jest mniej prawdopodobne, że atak będzie skierowany na tradycyjną sieć telefoniczną przełączników SS7 lub naruszy jej bezpieczeństwo, czy też próba ataku na urządzenia fizyczne, takie jak stacje mikrofalowe lub urządzenia satelitarne. Nadal istniałaby możliwość wyłączania tych fizycznych obiektów w celu zakłócania sieci telefonicznych. Cała idea tych cyberataków polega na odcięciu ludzi od siebie, zakłócaniu komunikacji, a tym samym utrudnianiu wysyłania i odbierania krytycznych informacji. W cyberwojnie jest to kluczowy sposób na zdobycie przewagi w konflikcie. Kontrolując przepływ informacji i komunikacji, naród może planować dokładniejsze uderzenia i wprowadzać lepsze środki kontrataku na swoich wrogów.

Transport

Infrastruktura transportowa odzwierciedla obiekty telekomunikacyjne; utrudniając transport osób w mieście lub regionie, gospodarka z czasem ulegnie nieznacznej degradacji. Udane cyberataki mogą wpłynąć na planowanie i dostępność, powodując zakłócenia w łańcuchu gospodarczym. Wpłynie to na metody przewozu, co utrudni wysyłanie ładunku z jednego miejsca do drugiego. W styczniu 2003 roku, podczas wirusa „slammer”, Continental Airlines zostały zmuszone do wstrzymania lotów z powodu problemów z komputerem. Cyberterroryści mogą atakować tory kolejowe, zakłócając rozjazdy, namierzać oprogramowanie do lotów, aby przeszkadzać samolotom, a także wykorzystywać drogi, aby utrudniać bardziej konwencjonalne metody transportu. W maju 2015 roku, człowiek, Chris Roberts, który był cyberkonsultantem, ujawnił FBI, że wielokrotnie, od 2011 do 2014 roku, zdołał włamać się do kontroli lotów Boeinga i Airbusa za pośrednictwem pokładowego systemu rozrywki i rzekomo przynajmniej raz nakazał lot do wznoszenia. FBI, po zatrzymaniu go w kwietniu 2015 roku w Syrakuzach, przeprowadziło z nim wywiad na temat zarzutów.

Woda

Woda jako infrastruktura może być jedną z najbardziej krytycznych infrastruktur, które należy zaatakować. Jest postrzegany jako jedno z największych zagrożeń bezpieczeństwa wśród wszystkich systemów sterowanych komputerowo. Istnieje możliwość uwolnienia ogromnych ilości wody do obszaru, który może być niechroniony, powodując utratę życia i zniszczenie mienia. Nie można zaatakować nawet zasobów wody; systemy kanalizacyjne również mogą być zagrożone. Nie podano kalkulacji kosztów szkód, ale szacowany koszt wymiany krytycznych systemów wodnych może sięgać setek miliardów dolarów. Większość z tych infrastruktur wodnych jest dobrze rozwinięta, co utrudnia cyberataki spowodowanie jakichkolwiek znaczących szkód, co najwyżej może nastąpić awaria sprzętu powodująca przerwy w dostawie prądu na krótki czas.

Szpitale

Szpital jako infrastruktura jest jednym z głównych zasobów, na które ucierpiały cyberataki. Ataki te mogą „bezpośrednio prowadzić do śmierci”. Cyberataki mają na celu uniemożliwienie pracownikom szpitala dostępu do systemów opieki krytycznej. Ostatnio w czasie pandemii COVID-19 nastąpił znaczny wzrost cyberataków na szpitale . Hakerzy blokują sieć i żądają okupu za przywrócenie dostępu do tych systemów. MKCK i inne prawa człowieka grupa wezwała organy ścigania do podjęcia „natychmiastowych i zdecydowanych działań”, aby ukarać tych cyberattackers.

Zobacz też

Bibliografia

• Sanaei, MG, Isnin, IF i Bakhtiari, M. (2013). Ocena wydajności protokołu routingu w AODV i DSR pod atakiem tunelu czasoprzestrzennego . International Journal of Computer Networks and Communications Security, tom 1, wydanie 1, ISSN  2308-9830 .

Dalsza lektura

• Finnemore, Marta ; Hollis, Duncan B (2020), „Beyond Naming and Shaming: Accusations and International Law in Cybersecurity”, European Journal of International Law , doi : 10.2139/ssrn.3347958

Zewnętrzne linki

• Statystyki cyberataków z lipca 2015 r. – Hackmageddon
• Mapa nordyckiego ataku
• Termin w FISMApedii