आधुनिक मनुष्य में, दुर्भावनापूर्ण सॉफ़्टवेयर की पूरी विविधता "वायरस" शब्द द्वारा वर्णित है। हालांकि, उनके शास्त्रीय अर्थों में वायरस (मुख्य विशेषता के रूप में आत्म-प्रतिकृति) ने लंबे समय तक कंप्यूटर खतरों की रैंकिंग में अग्रणी स्थान पर कब्जा नहीं किया है। कीड़े और ट्रोजन पहले आते थे - वे दोनों पैसे (कुख्यात ट्रोजन.विनरलर और ट्रोजन. रैनसम) को निकाल सकते हैं, उपयोगकर्ता जानकारी इकट्ठा कर सकते हैं (पासवर्ड और संपर्क सूची जिसमें उन्हें कवरेज बढ़ाने के लिए भेजा जाता है), और बड़ी मात्रा में पैसे जमा करते हैं पीड़ित के ज्ञान के बिना (और यह या तो एक साधारण उपयोगकर्ता या एक बड़ी कंपनी या बैंक हो सकता है)।
जाहिर है, हमलावर मनोरंजन के लिए दुर्भावनापूर्ण कोड नहीं लिखते हैं - एक किशोर हैकर की छवि एक स्थानीय स्कूल नेटवर्क को तोड़ती है। अब साइबर क्राइम एक बड़े कारोबार के साथ एक विशाल और बहुत संतृप्त छाया बाजार है, जो हर दिन बढ़ रहा है।
स्थिति के पैमाने का आकलन करना मुश्किल है - यह केवल न्यूज फीड से ही आंका जाता है, जिसमें तेजी से "मैलवेयर", "स्कैमर्स" और खगोलीय मात्रा का उल्लेख है। लेकिन यहां तक कि यह दृष्टिकोण पूरी तरह से तस्वीर नहीं देता है - ज्यादातर मामलों में जानकारी आम जनता के लिए दुर्गम बनी हुई है (रूसी संघ के कानून की अपूर्णता के कारण, जो व्यक्तिगत डेटा के मामले में जानकारी का खुलासा करने के लिए कंपनी को बाध्य नहीं करती है)। यह समझने योग्य है कि प्रेस में जानकारी शायद ही कभी विस्तृत होती है और सामान्य शब्दों में घटनाओं को बिना बारीकियों के वर्णन करती है, यही कारण है कि पाठक वास्तविक जीवन के साथ क्या हो रहा है, इसे जोड़ता नहीं है। नीचे वर्णित घटना हाल ही में रूसी कंपनियों में से एक में हुई, जिसके प्रतिनिधि ने सूचना सुरक्षा समाधान के एक डेवलपर के रूप में हमसे संपर्क किया, इस घटना की जांच में मदद करने और जानकारी साझा करने के अनुरोध के साथ।
मैं सिस्टम प्रशासक के साथ बात करने में कामयाब रहा, जिसकी कंपनी, केवल एक भाग्यशाली दुर्घटना के लिए धन्यवाद, एक लाख रूबल नहीं खोए, और इस घटना का परिदृश्य वास्तविक जीवन में हुई घटनाओं की तुलना में पटाखे के बारे में एक फिल्म की साजिश की तरह है। स्पष्ट कारणों के लिए, सिस्टम प्रशासक ने गुमनाम रहने के लिए चुना।
उद्देश्य - बैंक ग्राहक
इस मामले में, मॉस्को कंपनी, जो सबसे बड़े बैंकों में से एक का ग्राहक है, लगभग एक शिकार बन गई। हमलावरों को इस विशेष कंपनी में दिलचस्पी क्यों थी इसका कारण बैंक द्वारा प्रदान की गई बैंकिंग सेवाओं (दूरस्थ बैंकिंग सेवाओं) का उपयोग था। कंपनी के कंप्यूटर बेड़े की एक मशीन से, बैंक की आरबीएस की सेवाओं तक नियमित पहुंच प्रदान की गई थी, और यह कंप्यूटर था जिस पर हमला किया गया था।
सिस्टम में एंटीवायरस स्थापित होने के बावजूद (एक प्रसिद्ध निर्माता से), दुर्भावनापूर्ण कोड को बिना किसी बाधा के लागू किया गया और निष्पादित किया गया। लक्षित हमलों और शून्य-दिन के खतरों से निपटने में यह हस्ताक्षर विफलता का एक महत्वपूर्ण उदाहरण है।
यह कोई दुर्घटना नहीं थी कि हमले की तारीख को चुना गया था - सब कुछ 29 दिसंबर को हुआ था, वास्तव में, नए साल से ठीक पहले। यदि हमलावर अपनी योजना को लागू करने में कामयाब हो जाते हैं, तो उन्हें कम से कम दस और दिनों के लिए नुकसान की ओर ध्यान नहीं जाता।
हमला परिदृश्य
दुर्भाग्य से, यह पता लगाना संभव नहीं था कि हमला करने वाली मशीन पर दुर्भावनापूर्ण आवेदन कैसे मिला। लेकिन एक निश्चित डिग्री के साथ यह तर्क दिया जा सकता है कि अंदरूनी सूत्रों की कार्रवाई के बिना व्यापार नहीं हो सकता था। पुष्टियों में से एक एक अद्वितीय दुर्भावनापूर्ण कोड है जिसे एंटीवायरस द्वारा नहीं देखा गया था (और, तदनुसार, एंटीवायरस डेटाबेस में नहीं है)। यदि यह एक सामूहिक हमला था, तो उन्हें जल्दी से पर्याप्त देखा जाता था, मैलवेयर के हस्ताक्षर लगभग अगले दिन आधार पर लाए जाते थे, जिसके बाद हमलावरों की योजना विफल हो जाती थी।
तदनुसार, कोई ऐसा व्यक्ति होना चाहिए जिसे इस कंपनी द्वारा आरबीएस के उपयोग के बारे में जानकारी थी, अनुमानित मात्रा में, और यहां तक कि संभवतः, कंपनी द्वारा उपयोग किए जाने वाले सूचना सुरक्षा उपकरण भी।
इस घटना में भाग लेने वाले अंदरूनी सूत्रों की संभावना को देखते हुए, मैलवेयर किसी भी तरह से सिस्टम में प्रवेश कर सकता था - एक विश्वसनीय प्रेषक से ई-मेल द्वारा भेजा गया, कंपनी के ग्राहकों में से एक द्वारा यूएसबी फ्लैश ड्राइव पर लाया गया, या यहां तक कि मशीन पर मैन्युअल रूप से एक अंदरूनी सूत्र द्वारा लॉन्च किया गया।
ट्रोजन दुर्भावनापूर्ण निकला, या तो दूर से नियंत्रित या स्वायत्त रूप से काम कर रहा था। यह केवल ज्ञात है कि ट्रोजन निम्नलिखित परिदृश्य के अनुसार काम करता है:
• प्रणाली से जुड़े होने की प्रतीक्षा की जा रही है (बाहरी माध्यम में स्थित बैंक द्वारा जारी प्रमाण पत्र)
• कुंजी पढ़ना
• RBS में प्रवेश के लिए लॉगिन और पासवर्ड पढ़ें
• पटाखे के खाते में धन हस्तांतरित करने का अनुरोध - लगभग एक मिलियन रूबल (बैटरी जीवन के मामले में, बस हमलावर को सभी डेटा भेजना) को वापस लेने का प्रयास था
• Kill.exe नामक एक एप्लिकेशन को डाउनलोड करना, जो मैलवेयर के निशान को नष्ट कर देता है बहुत ही अशिष्टता से रहता है - पूरे सिस्टम को मारना (एप्लिकेशन ने ड्राइवर निर्देशिका में एक फ़ाइल बनाई जब सिस्टम ने पढ़ने की कोशिश की, तो यह दुर्घटनाग्रस्त हो गया)
हमलावर मशीन के दुर्घटनाग्रस्त होने के बाद ही हमलावर के कार्यों के निशान का पता लगाना संभव था, और फिर केवल प्रॉक्सी सर्वर पर छोड़े गए लॉग से। केवल एक आकस्मिक दुर्घटना ने कंपनी को अच्छी खासी रकम खोने से बचा लिया - हमलावर ने एक निश्चित राशि निकालने की कोशिश की, जो कि खाते में नहीं थी, क्योंकि इससे कुछ समय पहले, कंपनी के कर्मचारियों को वेतन दिया गया था।
दुनिया को कितनी बार कहा गया है
यह घटना साइबर क्राइम के इतिहास में पहली और निश्चित रूप से अंतिम नहीं है। कंपनी के वित्त को बचाने वाली दुर्घटना केवल सफलतापूर्वक स्थापित परिस्थितियां हैं। हर कोई इतना भाग्यशाली नहीं था - सिस्टम प्रशासक के अनुसार, एक अन्य साझेदार कंपनी धोखेबाजों का शिकार बन गई, जिन्होंने अपने खाते से छह गुना पैसा लिया। वे केवल जांच के सफल परिणाम की आशा कर सकते हैं।