影响 500,000,000 多个帐户的雅虎安全漏洞:为什么他们会认为这是“国家赞助的”?

信息安全 电子邮件 系统妥协 雅虎
2021-09-05 01:09:51

最近有消息称,超过 5 亿个雅虎帐户的私人信息被盗

雅虎首席信息安全官鲍勃·洛德(Bob Lord)表示,这些信息是被雅虎“认为是国家资助的行为者”从雅虎电脑中窃取的。

首先,什么“状态”?

其次,他们怎么知道?

奖励:他为什么使用“演员”这个词?

3个回答

雅虎声称这次攻击是由国家赞助的,但这并不意味着它是由国家赞助的,甚至他们自己也相信是这样。他们声称这一点的原因在于两个极端之间的某个连续性:

  1. 雅虎完全无能且易受攻击。他们不可能向世界承认小偷是一个 15 岁的小偷,在他母亲的地下室工作,所以为了让它看起来不是他们的错,他们将袭击者描绘成极其危险和能干的人,这正是“国家赞助”意味着什么。
  2. 雅虎实际上非常有能力,但攻击者使用了非常先进的方法(0 天,计算昂贵的加密破解等),因此实际上有理由相信攻击者需要有大量资源的人赞助 -即一个状态 - 能够将其拉下来。

正如 Micheal 在他的回答中提到的,Stuxnet 是 #2 的一个例子。当时Comodo声称他们被外国黑客入侵,但实际上是一名 21 岁的伊朗学生是 #1 的一个例子。

雅虎在这个规模上的落脚点是任何人的猜测。

至于什么状态:在#1的情况下根本没有状态。在#2的情况下,他们不必知道只是怀疑涉及一个状态是什么状态。这里的关键点是“国家赞助”只是“拥有大量资源的人”的代码。

首先,什么“状态”?

当人们说“国家支持”时,他们指的是一个民族国家,或政府支持的攻击。国家支持的攻击通常被认为是攻击者能力的最高点,因为他们拥有脚本小子没有的资金、培训和资源。

其次,他们怎么知道?

如果有人说他们认为攻击是由国家赞助的,可能有多种原因。可能是攻击模式与 LulzSec、Lizard Squad 和其他组等已知组不匹配,或者是零日漏洞。Stuxnet 是国家支持的攻击的一个例子。它使用了多个零日漏洞。

奖励:他为什么使用“演员”这个词?

在信息安全中,参与者是执行操作的人。这种用法的常见例子是“坏演员”或“好演员”。不良行为者是指以恶意行为损害系统或数据的人。

国家资助的演员是代表政府行事的个人或团体。

首先,我认为最好记住“复杂攻击”的比喻是当今承认大规模妥协的公司高管(和政府机构负责人)最常见的比喻之一。有时,一旦了解更多有关违规行为实际发生的事实,就会发现攻击者的方法确实很老练。但很多时候,事实证明这不是真的。既然有人可能想知道雅虎的“民族国家”评论是否应该被视为这种标准程序公关策略而不是可靠的调查产品的有趣变化,开始怀疑这是否是现阶段的民族国家行动。

(当然,100% 的情况下,被黑客攻击的组织所暗示的“老练攻击者”点是,该组织不可能被合理地期望阻止发生的事情。因为“老练”。而且几乎没有怀疑雅虎的“民族国家”评论同样是为了以这种方式起到推卸责任的作用。但我离题了......)

仍然……雅虎的声明很可能有一些真实的基础。因此,讨论如何开始调查以确定攻击是否来自“民族国家行为者”,以及这甚至意味着什么,这当然很有用。

开始回答这个问题:调查人员可以通过各种方式查看与黑客行为相关的证据,并开始就民族国家行为者(主要是情报机构)或与民族国家有关的人得出一些结论(就像政府暗中支持的私人网络“民兵”)。

一个值得关注的因素,就像在调查各种可能的犯罪和纠纷时一样,是动机。在网络攻击中,攻击者是否没有明显且简单的方法从攻击中获利,看看民族国家行为者或与民族国家有联系的组织是否有理由将其成功是有道理的。特别是,当我们谈论针对美国政府、美国利益或美国主要公司的攻击时,一些注意力立即开始转移到一个团体是否与四个顽固的美国对手之一有联系,这些对手在 -政府或与国家有关的进攻性网络单位——俄罗斯、中国、朝鲜和伊朗——可能参与其中。

人们可能会考虑的另一个因素是攻击者需要多么“复杂”才能以他们的方式进行攻击。他们使用了哪些工具、策略和程序。尤其是在他们的攻击中,他们是否使用了以前在信息安全社区中没有广泛使用的工具、策略和程序。开发或购买经常用于真正复杂的攻击的新型攻击方法和资产需要资源。很多资源。(金钱、接触高技能人才等)

现在,哪些组织拥有最多的此类资源、强烈的动机来收集针对其他组织的大量信息,以及在进行攻击时有效的法律有罪不罚(好吧,出于所有意图和目的)?政府。政府会。因此,当您看到实际上确实需要一些高级功能的攻击时,许多人倾向于跳到查看民族国家参与者

当然,问题在于并非所有技术复杂的攻击都是由民族国家行为者完成的。远,远非如此。一个推论是,为民族国家单位工作的黑客非常非常经常使用完全通用和平凡的方法来对付不需要尖端攻击的防御能力较差的目标。这是他们中的绝大多数。)

这导致我们将攻击归因于民族国家行为者或民族国家相关团体的第三个,通常是更可靠的因素:收集到的关于攻击者使用的实际电子基础设施和软件的线索。

坦率地说,人们有时很懒惰和/或粗心大意,会犯一些草率的错误;其中民族国家的黑客他们在一次攻击中留下线索,将该事件与其他攻击联系起来。包括已经知道或强烈怀疑责任方的攻击。

他们是怎么偷懒的??嗯,除其他外...

  • 他们重用他们发起攻击的服务器、命令和控制服务器、他们将被黑客入侵的数据泄露回的服务器、代理服务器以及不同目标之间的攻击者基础设施的其他元素。理想情况下,您应该为您执行的每个攻击工作使用不同的基础架构。但这样做很麻烦,而且很容易继续重复使用它。这导致美国政府最初发现了诸如 OPM 黑客之类的事情,当时中国黑客重新使用了一个命令和控制服务器,该服务器已经被联邦调查局的 Edison 入侵检测系统认为是恶意的。

    • 他们在不同的攻击之间重用恶意软件和其他工具的频率比明智的要高。(诚​​然,这一定很难摆脱;没有人有资源为成百上千/更多目标中的每一个开发或购买所有恶意软件、漏洞利用、攻击工具、方法等的全新版本攻击者追赶。)
    • 他们不必要地留下不应该暴露、暴露并且有人找到它们的工具。(咳咳,看着你,国安局。)

而且,毫无疑问,还有无数其他方式。

简而言之,他们无意中留下了调查人员发现的线索。

其它你可能感兴趣的问题
上一篇为什么 SHA-256 不适合密码? 下一篇在 SYN 扫描中得到响应后发送 RST 数据包有什么好处?