Taggat med: cyberkrig

Så utvecklas ett cybervapen

Cybervapen i ett cyberkrig

Vad är det som skiljer vanlig skadlig kod mot ett avancerat cybervapen och hur utvecklas ett cybervapen?

🚀 Stöd mitt bloggande via Patreon: https://www.patreon.com/kryptera

Enligt många säkerhetsforskare var Stuxnet ett av de första och mest uppmärksammade cybervapnet. Resurserna som behövdes för att utveckla Stuxnet och dess olika delar är troligtvis något som enbart en nation har: Flertalet programspråk, mängder av moduler, flertalet zero-days, kunskap om urananrikningsanläggningen Natanz centrifuger och stulna certifikat för att nämna några delar som gör att det troligtvis ligger en stat bakom.

Leveransdelen

Denna del av cybervapenet gör att den träffar sitt mål. Eller når rätt klient, hårdvara eller nätverk. Leveransen kan ske via E-post, USB-minne, CD-skiva eller fysiskt ansluta mot den server, klient, TV eller liknande. Vilket bl.a Vault7 läckorna från CIA visade på. Inte helt ovanligt att HUMINT- och SIGINT -resurser nyttjas.

Leveransdelen kan också ske i form av ett implantat som installeras när utrustningen skickas ut till kund. För att nå sitt slutgiltiga mål som kanske är längre in i nätverket kan även zero-days användas eller kod för att detektera och ta sig förbi airgaps eller luftgap som det också kallas. Nätverk som är känsliga och inte anslutna till internet exempelvis.

Verkansdelen

Verkansdelen tillgodoser att målet med cybervapnet uppnås. Det kan vara att påverka en process i ett SCADA-system eller förstöra vitala delar i samhällskritiska system. Även kan detta vara att exfiltrera känslig information från målsystemet.

cybervapen

Kommunikationsdelen

Denna del är inte alltid nödvändig men gör det möjligt att via ett unikt ID ringa hem och meddela att cybervapnet har nått sitt mål eller utfört ett delmål. Kommunikationsdelen är också viktig om cybervapnet ligger dolt under en längre tid och ska aktivera verkansdelen på ett givet kommando.

För att försvåra upptäckt via nätverksforensik och IDS:er (intrångsdetekteringssystem) kan populära sajter såsom Dropbox, Twitter.com eller Instagram användas, givetvis krypterad med TLS.

Steganografi där meddelanden exfiltreras med hjälpa av bilder har även observerats samt kommunikation mot IP-adresser där satellitlänk används och antagonisten haft möjlighet att läsa av kommunikationen med hjälp av SIGINT (signalspaning) eller annan utrustning.

Om kommunikationsdelen använder redan befintlig infrastruktur för att uppdatera mjukvara eller kontrollera om nya versioner finns tillgängliga så är detta också svårt att detektera (se källa 4 nedan).

Kommunikationsdelen kan också användas för att ladda hem och aktivera nya moduler, droppers etc.

Stealth-mode

Det finns många sätt att försöka undgå upptäckt. Jag har tagit upp några sätt här på bloggen tidigare såsom ”Living-off-the-land” där komponenter som redan finnes i systemet återanvänds för andra syften.

En av de äldsta och vanligaste förekommande metoderna är obfuskering eller kryptering. Även kan relativt enkla saker såsom modularitet göra att det är svårt att se helheten i cybervapnet, exempelvis kan sniff-funktioner ligga i en modul, keylogger i en modul osv.

Även så finns det något som heter environmental keyed payloads där en modul kan vara krypterad med en nyckel som bara återfinnes i målnätverket eller systemet.

En annan viktig aspekt är OPSEC för de som utvecklar cybervapen. För allt lämnar spår och något som blir vanligare och vanligare är falskflaggning eller ”false flag”. Spåren kanske ser ut att peka mot ett land men kan i själva verket vara utvecklat av ett helt annat: Språk, tidzoner osv som kan ändras.

Persistens

Ibland så ligger verkansdelen enbart i enhetens RAM-minne och försvinner således om enheten krashar eller startar om. Men som vanligast så vill den som skapat cybervapnet att det ska ligga kvar under en längre tid och då finns det otroligt många sätt att gömma sig.

Jag gjorde denna video för ett tag sedan då jag går igenom 10 olika sätt att lägga in bakdörrar:

YouTube video

Propagering

En skillnad mellan exempelvis WannaCry och ett cybervapen är att cybervapnets målsättning enbart är att propagera inom ett mindre område. Det kan röra sig om en enskild organisation eller nätverk. Med en mindre spridning blir också en eventuell detektion svårare.

Propagering kan dock vara ett måste som jag skrev under leveransdelen så kanske det finns luftgap mellan processnätverket/hemliga nätverket och internet.

Upprensning

Den eller de aktörer som lägger resurser på att utveckla ett cybervapen vill gärna inte bli upptäckt. När uppdraget är slutfört ska vapnet radera sig själv, även kan det finnas en inbyggd räknare som automatiskt ser till att radering genomförs efter exempelvis 12 månader.

Ett cybervapen kan även innehålla zero-days som utnyttjar sårbarheter och dessa vill även antagonisten radera alla bevis om, för då kan de använda sårbarheten mot fler mål.

Gillar du detta blogginlägg? Bli gärna månadsgivare via Patreon:

Källor

  1. Turla malware
  2. Gauss payload
  3. Falskflaggning med CIA Marble framework
  4. M.E.Doc och C&C via uppdateringsservrar, NotPetya

Ökat antal cyberattacker mot kärnkraftverk

kärnkraftverk

ch-logoDen brittiska tankesmedjan Chatham House släppte nyligen en rapport där de varnar för ett ökat antal cyberattacker mot kärnkraftverk samt andra storskaliga industrier.

Tekniska utmaningar som många industrier inom SCADA och ICS möter säkerhetsmässigt är följande:

  • Många system är osäkra ”by design” eftersom säkerhet inte byggdes in från början.
  • Det är svårt att underhålla och patcha IT-system i kärnkraftverk.
  • Återförsäljarled som kan introducera sårbarheter.

Rapporten tar även upp en övertro till fysiskt separerade nätverk som lätt går att övervinna med USB-minne:

Yet not only can air gaps be breached with nothing more than a flash drive but a number of nuclear facilities have virtual private networks (VPN) or undocumented or forgotten connections, some installed by contractors.

En annan intressant sak som rapporten också pekar på är att en antagonist i teorin kan göra så att ett kärnkraftverk ofrivilligt släpper ut farlig strålning. Detta uppnås genom att flertalet säkerhetskritiska delar slås ut samtidigt eller i tät följd dels via fysiska attacker och dels via cyberattacker.

Flertalet företag såsom ReVuln som är baserade på Malta säljer zero-days mot just SCADA-system som kan nyttjas för eskalera rättigheter. Samt så angrips företag som distribuerar mjukvara till SCADA-system så som var fallet med cyberoperationen DragonFly (gick även under namnet Havex eller Energetic Bear).

Följande bild från rapporten påvisar några av många attackytor:

Attackytor SCADA

Rapporten i sin helhet kan du ladda hem som PDF här.

Ryska cyberkriget mot Sverige trappas upp

Ryska cyberkriget mot Sverige

Att cyberarenan används mer och mer för krigsföring är nog ingen som är förvånad över. Vi ser små fragment nå fram till media om vad som verkligen pågår under ytan på isberget: storskaligt cyberkrig. Du kanske tänker att kärnkraftverk ska slås ut och tåg krockar på grund av intrång i IT-system, för så är det ju på film.

Men inom cyberarenan ingår också att sprida desinformation om motståndare samt påverka befolkningen i en viss riktning, att hålla i narrativet. Detta var mycket tydligt under Krim-operationen från rysk sida.

Försvarsminister Peter Hultgren säger till DN:

Det här en ny arena där man driver desinformation och propaganda och det är vi inte förberedda och rustade för. Här har vi en oerhört stor förbättringspotential. Under det kalla kriget hade vi ju Styrelsen för psykologiskt försvar som hanterade den tidens informationskrigföring men den lades ju ned.

Men vad som försegår under ytan vet vi inte riktigt. Men vi kan anta att operationer pågår konstant att kartlägga och exploatera den svenska IT-infrastrukturen samt andra mål såsom politiker, högt uppsatta tjänstemän, pressen och myndigheter eller företag som sitter på värdefull information.

Och att MSB nu satsar på ett psykologiskt försvar lett av Mikael Tofvesson är också en tydlig signal att civila försvaret inom psyops måste bli bättre. Att gruppen som jobbar med det civila psykologiska försvaret skulle vara hemlig som DN skriver är dock något som Tofvesson dementerar på Twitter.

Men oavsett den svenska upprustningen inom psyops-försvaret kommer de ryska trollfabrikerna troligtvis inte att avta med sin propagandaspridning och hackergrupper som avlönas från Kreml.

Att nu även SIGINT-material används inom psyops är något som vi såg under Kreml-operationen, när Nuland pratade med Pyatt. Troligtvis var detta något som fastnade i SORM (Система Оперативно-Розыскных Мероприятий) som är det system som sköter all avlyssning.

Försvarsmakten: Cyberkriget är här

Försvarsmakten släppte nyligen sitt dokument med underlag till försvarspolitisk inriktningsproposition 2015 där man anger att förutom sjö, luft, mark och rymd så bör även cyber införas som den femte operativa miljön.

Även anges i dokumentet att stora mängder information snabbt kan inhämtas dolt, sid 11:

Underrättelseverksamhet i cybermiljön ger möjligheter till snabb och dold inhämtning av stora mängder information, som kan vara tillgänglig i realtid. Mjuk- och hårdvara som levereras till svenska system kan, redan innan de tas i bruk, vara förberedda för att samla underrättelser eller ta emot och öka effekten av- eller initiera attacker med svåra konsekvenser som följd. Underrättelseverksamhet i cybermiljö är en förutsättning för att kunna genomföra cyberattacker.

Så därför dras slutsatsen mycket logiskt att Försvarsmaktens förmåga inom cyber måste öka och vara juridisk kontrollerad precis som inom andra militära förmågor. Samt så bör det finnas en god samverkan med andra berörda myndigheter.

Redan idag kan militära effekter uppnås inom cybermiljön framgår men oklart dock om hela spektrat inom informationsoperationer såsom PSYOPS inkluderas inom detta begrepp.

Under punkt 2.2 så framgår även att Ryssland bedriver hybridkrigföring där också cyberoperationer ingår.

Bilden nedan förevisar operationer inom cyberarenan. Hämtad från Försvarsmaktens Handbok Informationsoperationer:

FM Handbok infoops

CNO = Datornätverksoperationer eller computer network operations som det heter på engelska. OPSEC handlar om sekretess runt operationer.

Cyberattacker genomförs förutom i underrättelsesyfte med kinetiskt angrepp där operativa förmågor inom cyber koordineras med traditionella militära förmågor.

Här kan du ladda hem dokumentet som PDF:

Screen Shot 2014-12-17 at 14.37.01