Trafikkspiker for skadelig programvare gikk foran russiske og israelske konflikter

En studie av skadelig programvare som opererer på bedrifts- og regjeringsnettverk antyder at kommunikasjonsmønstrene til disse programmene kan varsle om store konflikter.

Sikkerhetsbriefing : Deltakere ser en presentasjon på Black Hat 2014-konferansen.

Forskere ved sikkerhetsselskapet FireEye overvåket millioner av malware-meldinger sendt i løpet av de siste 18 månedene, og de fant topper i trafikken til og fra Russland og Ukraina ettersom spenningen økte mellom de to landene tidligere i år. Et lignende mønster ble sett i trafikk av skadelig programvare til Israel da det gikk inn i sine nylige fiendtligheter med Hamas.



FireEye-studien baserte seg på data samlet inn fra mer enn 5000 bedrifts- og offentlige kunder over hele verden. FireEyes programvare fanger opp tilbakeringingsmeldinger sendt av skadelig programvare i et nettverk – enten rapporterer statusen til operatørene eller henter nye kommandoer. Disse meldingene ble brukt til å finne plasseringen til datamaskinen som kontrollerte skadelig programvare.

Mønstrene var mest sannsynlig forårsaket av offentlige etater som økte innsatsen for å samle etterretning eller angripe motstanderne deres, sier Kenneth Geers, som jobbet med prosjektet. I forkant av Krim-krisen så du en økning av tilbakeringinger av skadelig programvare i både Russland og Ukraina, sa han på Svart hatt datasikkerhetskonferanse torsdag.

Det er også mulig at aktiviteten kom fra hackere som er sympatiske med, men ikke støttet av, de involverte landene. Men mange land bruker nå rutinemessig dataangrep til etterretnings- og militære formål.

Geers sa at mønstre i kommunikasjon med skadelig programvare kan brukes til å forutsi når land forbereder seg på konflikt: Hvis USA, Korea eller Japan var i ferd med å gå til krig, ville du se en støt i tilbakeringinger - det er bare en del av dagens nasjonale sikkerhetsforetak. Geers, som nylig forlot FireEye for å jobbe som en uavhengig konsulent , tidligere jobbet med internasjonal datasikkerhet ved National Security Agency og NATO.

Skadevareoperatører skjuler noen ganger posisjonen sin ved å få tilbakeringingsmeldinger til å hoppe mellom datamaskiner i forskjellige land, og FireEye-studien kunne bare logge det første hoppet. Men skadevareforfattere gidder ikke alltid å installere et system med reléer, sa Geers. Og så, sa han, med et stort nok datasett, dukker det opp nøyaktige geografiske mønstre.

Mye av trafikken til Israel da det gikk til angrep mot Hamas på Gazastripen kom fra skadevare installert på datamaskiner i Canada og USA. Du har en indikasjon på at kanskje israelske nasjonale sikkerhetsorganisasjoner utnytter infrastrukturen i Canada og USA, sa Geers.

Å matche skadelig programvaretrafikk med hendelser i den virkelige verden kan også være en måte å avdekke verktøy som brukes av nasjonalstater. Noe av trafikken som kom ut av Canada, for eksempel, så ut til å komme fra skadevare som aldri hadde vært sett før, som FireEye nå undersøker.

FireEye planlegger å fortsette forskningen. Vi kan se den digitale ekvivalenten til tropper på grensen, fortalte Kevin Thompson, en trusselanalytiker for selskapet, MIT Technology Review . Men vi vil gjerne se tilbake på et helt år med data og prøve å korrelere med alle verdenshendelsene i samme periode.

Offentlig bruk av skadelig programvare blir mer vanlig, ifølge Mikko Hyppönen, forskningssjef ved F-Secure , som studerer skadevare laget og brukt av nasjonalstater. Land i alle størrelser bruker skadevare fordi det er relativt billig og får resultater, sa han under et foredrag på Black Hat onsdag. Det er paralleller her til atomvåpenkappløpet, sa han. [Men] kraften til atomvåpen var i avskrekking, og det har vi ikke med nettvåpen.

Og, som Geers bemerket, er det en konflikt mellom regjeringers entusiasme for de nye våpnene og deres forpliktelse til å sikre Internett-sikkerhet. Det verdensomspennende skadevareproblemet er svært vanskelig å løse, men ønsker myndighetene å løse det? han sa. Regjeringer drar ganske mye nytte av å beskytte suverenitet og projisere makt gjennom nettverksangrep.

gjemme seg