Làm thế nào giải pháp Isolation ngăn chặn các cuộc tấn công mạng trong thời gian bầu cử tại Nga?
Bất kể sự sụp đổ chính trị từ Luật sư đặc biệt Robert J. Mueller cáo trạng mười hai hợp tác xã tình báo Nga đã can thiệp vào cuộc bầu cử Tổng thống Mỹ năm 2016, điều này dường như rất rõ ràng sau khi đọc tài liệu giống như John LeCarre dài 29 trang: Nó đã trở nên vô lý mong đợi bất kỳ tổ chức nào bảo vệ thành công trước một cuộc tấn công mạng lớn, được phối hợp như vậy.
Tài liệu này đọc giống như một giám đốc điều hành an ninh mạng, cơn ác mộng tồi tệ nhất. Người Nga đã sử dụng gần một chục phương pháp để đánh cắp và sau đó phân phối ẩn danh hàng trăm ngàn email và các tài liệu khác được lấy từ Chiến dịch của Clinton và các tổ chức của Đảng Dân chủ. Một số bị cáo thậm chí còn âm mưu hack vào máy tính của các cuộc bầu cử tiểu bang, thư ký nhà nước và các công ty phần mềm cung cấp phần mềm và công nghệ khác liên quan đến cuộc bầu cử Tổng thống Hoa Kỳ năm 2016.
Sự tinh tế của những nỗ lực này là ngoạn mục. Để thực hiện giai đoạn một trong cuộc tấn công, kẻ trộm đã đánh cắp tài liệu ở nơi đầu tiên, kẻ âm mưu đã phát động một chiến dịch lừa đảo lớn, tận dụng kỹ thuật xã hội để tạo và gửi email tùy chỉnh được thiết kế để đánh lừa các cá nhân cụ thể để chia sẻ thông tin của họ hoặc vô tình tải phần mềm độc hại vào thiết bị của họ. Bắt đầu từ tháng 3 năm 2016, những kẻ âm mưu đã nhắm mục tiêu hơn 300 người liên quan đến Chiến dịch Clinton, Ủy ban Quốc gia Dân chủ (DNC) và Ủy ban Chiến dịch Quốc hội Dân chủ (DCCC). Địa chỉ email thực tế trông giống như một thông báo bảo mật hợp pháp từ Google, yêu cầu người nhận nhấp vào liên kết để thay đổi mật khẩu Gmail của họ để bảo vệ chính họ. Để lại rất ít cơ hội, những kẻ âm mưu đã sử dụng một công cụ rút ngắn URL, do đó, URL cho trang đặt lại mật khẩu giả sẽ không gây ra sự nghi ngờ. Chiến thuật này là cách GRU, cơ quan gián điệp chính của Nga, đã đánh cắp hơn 50.000 email từ chủ tịch của Chiến dịch Clinton, John Podesta. Anh hầu như không cô đơn. Theo cáo trạng, hàng trăm người khác cũng bị hại tương tự.
Khi các nạn nhân này chia sẻ thông tin đăng nhập của họ, các đơn vị GRU có thể đọc và theo dõi tất cả các email trong hộp thư đến của họ và gửi email như thể họ đến từ tài khoản email mục tiêu. Các cuộc tấn công lừa đảo này tiếp tục diễn ra suốt mùa hè và mùa thu năm 2016, cho đến cuộc bầu cử Tổng thống Hoa Kỳ năm 2016. Vào tháng Bảy năm đó, những kẻ âm mưu lần đầu tiên sử dụng tài khoản của một nhà cung cấp bên thứ ba được sử dụng bởi văn phòng cá nhân Hillary Clinton, theo bản cáo trạng.
Người Nga sau nhiều hơn thông tin. Khi một nhân viên DCCC nhấp vào email spearfishing vào tháng 4 năm 2016, GRU đã có thể cài đặt nhiều phiên bản của chương trình có tên X-Agent cho phép nó giám sát các thiết bị của nhân viên DCCC, đăng nhập hoạt động của họ ngay vào tổ hợp phím, đánh cắp mật khẩu của họ, và duy trì quyền truy cập vào mạng DCCC tổng thể.
Những kẻ âm mưu đã sử dụng các phương pháp khác, phức tạp hơn. Trong một trường hợp, họ đã tạo một tài khoản email giả mạo có chứa tên của một quan chức chiến dịch của bà Clinton, chỉ với một lá thư không chính xác. Hơn 30 nhân viên của Clinton đã nhận được email từ tài khoản giả mạo này. Nếu họ không nhận thấy lỗi chính tả và nhấp vào email, họ sẽ được đưa đến một trang có chứa một liên kết nhúng cho phép họ truy cập vào một tài liệu giả có tên là Hill hillary-clinton-prefer-rating.xlsx. Nếu họ nhấp vào tệp có tên hấp dẫn này, họ đã kết thúc trên một trang web khác do GRU tạo có khả năng tải phần mềm độc hại vào PC hoặc thiết bị khác của họ.
Những kẻ âm mưu đã không sa đà vào việc đưa các thông tin bị đánh cắp hoạt động vì lý do của chúng. Vào tháng 6 năm 2016, họ đã đăng ký một tên miền, actblues.com, bắt chước tên miền của một trang web gây quỹ chính trị hợp pháp, actblue.com. Họ đã sử dụng thông tin xác thực DCCC bị đánh cắp để sửa đổi trang web DCCC, do đó, khách truy cập vô tình sẽ được chuyển hướng đến tên miền Actblues.com không có thật. Bản cáo trạng không cho biết bao nhiêu tiền đã bị đánh cắp từ DCCC theo cách này. Khi đến lúc phân phát các tài liệu bị đánh cắp mà không liên quan đến Nga, họ đã thiết lập các tên miền như dcleaks.com và sử dụng các địa chỉ email giả mạo và giả mạo để rò rỉ chiến lược các tài liệu bị đánh cắp trong các giai đoạn cho các tổ chức được cho là bao gồm Wikileaks.
Và, nhân tiện, người Nga đã trả hầu hết các chi phí cho các trang web không có thật bằng cách sử dụng các giao dịch tiền điện tử ẩn danh. Ai biết? Có thể họ đã đánh cắp số tiền đó thông qua các kỹ thuật độc hại, chẳng hạn như tiền điện tử.
Vậy bài học gì? Mặc dù không phải là không thể, nhưng việc kết hợp tất cả các công cụ an ninh mạng truyền thống cần có để giải quyết một cuộc tấn công nhiều đầu như vậy là một công thức cho sự thất bại. Trên thực tế, có rất ít cơ hội mục tiêu của một cuộc tấn công như vậy có thể đã xác định được mọi email lừa đảo cuối cùng và phát hiện ra mọi trường hợp phần mềm độc hại được che giấu cẩn thận.
Hiện tại, biện pháp phòng thủ chắc chắn duy nhất có thể ngăn chặn cuộc tấn công của Nga vào đường ray của nó là một công nghệ gọi là cách ly trình duyệt. Cách tiếp cận này, đôi khi được gọi là duyệt từ xa, có thể ngăn chặn các cuộc tấn công lừa đảo và lừa đảo, làm mờ các tài liệu được vũ khí hóa và ngăn chặn bất kỳ phần mềm độc hại nào tiếp cận mục tiêu dự định của nó ngay từ đầu. Cách ly chèn một môi trường thực thi an toàn, đáng tin cậy, hoặc nền tảng cách ly giữa người dùng và các nguồn tấn công hoặc lây nhiễm tiềm năng. Các phiên web của người dùng được thực hiện cách xa thiết bị của người dùng và những gì được cung cấp chỉ là thông tin kết xuất an toàn.
Nếu công nghệ cách ly, chẳng hạn như Nền tảng cách ly bảo mật Menlo (MSIP) của chúng tôi đã được áp dụng, thì các liên kết lừa đảo được che dấu bởi các công cụ rút ngắn URL sẽ được viết lại và tất cả các trang web lừa đảo sẽ bị cô lập trong đám mây của chúng tôi nền tảng dựa trên, xa thiết bị của người dùng. Nếu các trang web đó được tải phần mềm độc hại, với sự cô lập được triển khai, sẽ không có cách nào để phần mềm độc hại tiếp cận với các thiết bị trợ giúp của chiến dịch. Bất kỳ tài liệu vũ khí nào được tải xuống cũng sẽ bị MSIP dừng lại; người dùng sẽ có thể xem tài liệu trong HTML5 hoặc tải xuống phiên bản PDF an toàn của tài liệu. Nếu người dùng yêu cầu bản gốc, thì, dựa trên chính sách của quản trị viên, họ có thể đã có thể tải xuống tài liệu gốc, nhưng chỉ sau khi nó trải qua quá trình quét và hộp cát mở rộng. Vì vậy, không có keylogging, chụp ảnh màn hình hoặc theo dõi bởi những kẻ xấu của Google, điều đó có nghĩa là không có hành vi trộm cắp thông tin, và quan trọng là không có các cuộc tấn công bổ sung, thậm chí tốn kém hơn.
Cô lập cũng chấm dứt lừa đảo, lừa đảo và các loại tấn công email khác. Bằng cách định cấu hình Nền tảng cách ly của chúng tôi để hiển thị các trang web ở chế độ chỉ đọc ở chế độ Trực tiếp, không thể nghi ngờ một chủ tịch tình nguyện hoặc chủ tịch chiến dịch không thể nhập thông tin xác thực của họ vào trang đặt lại mật khẩu không có thật, ngay cả khi họ bị lừa thành công khi truy cập nó một cách khéo léo thiết kế email lừa đảo.
Tất nhiên, nhận thức muộn là 20/20. Nhưng về mặt lý thuyết, một nền tảng cô lập như của chúng ta có thể ngăn chặn các cuộc tấn công thành công vào Chiến dịch của Clinton, DNC và DCCC và và cho nền Dân chủ của chúng ta. Tệ nhất, nó sẽ khiến những cuộc tấn công đó trở nên khó khăn hơn nhiều. Tại sao không xem xét một cách tiếp cận làm tăng khả năng phòng thủ thành công và thay đổi tỷ lệ cược tệ hại cho những kẻ xấu.
Tài liệu này đọc giống như một giám đốc điều hành an ninh mạng, cơn ác mộng tồi tệ nhất. Người Nga đã sử dụng gần một chục phương pháp để đánh cắp và sau đó phân phối ẩn danh hàng trăm ngàn email và các tài liệu khác được lấy từ Chiến dịch của Clinton và các tổ chức của Đảng Dân chủ. Một số bị cáo thậm chí còn âm mưu hack vào máy tính của các cuộc bầu cử tiểu bang, thư ký nhà nước và các công ty phần mềm cung cấp phần mềm và công nghệ khác liên quan đến cuộc bầu cử Tổng thống Hoa Kỳ năm 2016.
Sự tinh tế của những nỗ lực này là ngoạn mục. Để thực hiện giai đoạn một trong cuộc tấn công, kẻ trộm đã đánh cắp tài liệu ở nơi đầu tiên, kẻ âm mưu đã phát động một chiến dịch lừa đảo lớn, tận dụng kỹ thuật xã hội để tạo và gửi email tùy chỉnh được thiết kế để đánh lừa các cá nhân cụ thể để chia sẻ thông tin của họ hoặc vô tình tải phần mềm độc hại vào thiết bị của họ. Bắt đầu từ tháng 3 năm 2016, những kẻ âm mưu đã nhắm mục tiêu hơn 300 người liên quan đến Chiến dịch Clinton, Ủy ban Quốc gia Dân chủ (DNC) và Ủy ban Chiến dịch Quốc hội Dân chủ (DCCC). Địa chỉ email thực tế trông giống như một thông báo bảo mật hợp pháp từ Google, yêu cầu người nhận nhấp vào liên kết để thay đổi mật khẩu Gmail của họ để bảo vệ chính họ. Để lại rất ít cơ hội, những kẻ âm mưu đã sử dụng một công cụ rút ngắn URL, do đó, URL cho trang đặt lại mật khẩu giả sẽ không gây ra sự nghi ngờ. Chiến thuật này là cách GRU, cơ quan gián điệp chính của Nga, đã đánh cắp hơn 50.000 email từ chủ tịch của Chiến dịch Clinton, John Podesta. Anh hầu như không cô đơn. Theo cáo trạng, hàng trăm người khác cũng bị hại tương tự.
Khi các nạn nhân này chia sẻ thông tin đăng nhập của họ, các đơn vị GRU có thể đọc và theo dõi tất cả các email trong hộp thư đến của họ và gửi email như thể họ đến từ tài khoản email mục tiêu. Các cuộc tấn công lừa đảo này tiếp tục diễn ra suốt mùa hè và mùa thu năm 2016, cho đến cuộc bầu cử Tổng thống Hoa Kỳ năm 2016. Vào tháng Bảy năm đó, những kẻ âm mưu lần đầu tiên sử dụng tài khoản của một nhà cung cấp bên thứ ba được sử dụng bởi văn phòng cá nhân Hillary Clinton, theo bản cáo trạng.
Người Nga sau nhiều hơn thông tin. Khi một nhân viên DCCC nhấp vào email spearfishing vào tháng 4 năm 2016, GRU đã có thể cài đặt nhiều phiên bản của chương trình có tên X-Agent cho phép nó giám sát các thiết bị của nhân viên DCCC, đăng nhập hoạt động của họ ngay vào tổ hợp phím, đánh cắp mật khẩu của họ, và duy trì quyền truy cập vào mạng DCCC tổng thể.
Những kẻ âm mưu đã sử dụng các phương pháp khác, phức tạp hơn. Trong một trường hợp, họ đã tạo một tài khoản email giả mạo có chứa tên của một quan chức chiến dịch của bà Clinton, chỉ với một lá thư không chính xác. Hơn 30 nhân viên của Clinton đã nhận được email từ tài khoản giả mạo này. Nếu họ không nhận thấy lỗi chính tả và nhấp vào email, họ sẽ được đưa đến một trang có chứa một liên kết nhúng cho phép họ truy cập vào một tài liệu giả có tên là Hill hillary-clinton-prefer-rating.xlsx. Nếu họ nhấp vào tệp có tên hấp dẫn này, họ đã kết thúc trên một trang web khác do GRU tạo có khả năng tải phần mềm độc hại vào PC hoặc thiết bị khác của họ.
Những kẻ âm mưu đã không sa đà vào việc đưa các thông tin bị đánh cắp hoạt động vì lý do của chúng. Vào tháng 6 năm 2016, họ đã đăng ký một tên miền, actblues.com, bắt chước tên miền của một trang web gây quỹ chính trị hợp pháp, actblue.com. Họ đã sử dụng thông tin xác thực DCCC bị đánh cắp để sửa đổi trang web DCCC, do đó, khách truy cập vô tình sẽ được chuyển hướng đến tên miền Actblues.com không có thật. Bản cáo trạng không cho biết bao nhiêu tiền đã bị đánh cắp từ DCCC theo cách này. Khi đến lúc phân phát các tài liệu bị đánh cắp mà không liên quan đến Nga, họ đã thiết lập các tên miền như dcleaks.com và sử dụng các địa chỉ email giả mạo và giả mạo để rò rỉ chiến lược các tài liệu bị đánh cắp trong các giai đoạn cho các tổ chức được cho là bao gồm Wikileaks.
Và, nhân tiện, người Nga đã trả hầu hết các chi phí cho các trang web không có thật bằng cách sử dụng các giao dịch tiền điện tử ẩn danh. Ai biết? Có thể họ đã đánh cắp số tiền đó thông qua các kỹ thuật độc hại, chẳng hạn như tiền điện tử.
Vậy bài học gì? Mặc dù không phải là không thể, nhưng việc kết hợp tất cả các công cụ an ninh mạng truyền thống cần có để giải quyết một cuộc tấn công nhiều đầu như vậy là một công thức cho sự thất bại. Trên thực tế, có rất ít cơ hội mục tiêu của một cuộc tấn công như vậy có thể đã xác định được mọi email lừa đảo cuối cùng và phát hiện ra mọi trường hợp phần mềm độc hại được che giấu cẩn thận.
Hiện tại, biện pháp phòng thủ chắc chắn duy nhất có thể ngăn chặn cuộc tấn công của Nga vào đường ray của nó là một công nghệ gọi là cách ly trình duyệt. Cách tiếp cận này, đôi khi được gọi là duyệt từ xa, có thể ngăn chặn các cuộc tấn công lừa đảo và lừa đảo, làm mờ các tài liệu được vũ khí hóa và ngăn chặn bất kỳ phần mềm độc hại nào tiếp cận mục tiêu dự định của nó ngay từ đầu. Cách ly chèn một môi trường thực thi an toàn, đáng tin cậy, hoặc nền tảng cách ly giữa người dùng và các nguồn tấn công hoặc lây nhiễm tiềm năng. Các phiên web của người dùng được thực hiện cách xa thiết bị của người dùng và những gì được cung cấp chỉ là thông tin kết xuất an toàn.
Nếu công nghệ cách ly, chẳng hạn như Nền tảng cách ly bảo mật Menlo (MSIP) của chúng tôi đã được áp dụng, thì các liên kết lừa đảo được che dấu bởi các công cụ rút ngắn URL sẽ được viết lại và tất cả các trang web lừa đảo sẽ bị cô lập trong đám mây của chúng tôi nền tảng dựa trên, xa thiết bị của người dùng. Nếu các trang web đó được tải phần mềm độc hại, với sự cô lập được triển khai, sẽ không có cách nào để phần mềm độc hại tiếp cận với các thiết bị trợ giúp của chiến dịch. Bất kỳ tài liệu vũ khí nào được tải xuống cũng sẽ bị MSIP dừng lại; người dùng sẽ có thể xem tài liệu trong HTML5 hoặc tải xuống phiên bản PDF an toàn của tài liệu. Nếu người dùng yêu cầu bản gốc, thì, dựa trên chính sách của quản trị viên, họ có thể đã có thể tải xuống tài liệu gốc, nhưng chỉ sau khi nó trải qua quá trình quét và hộp cát mở rộng. Vì vậy, không có keylogging, chụp ảnh màn hình hoặc theo dõi bởi những kẻ xấu của Google, điều đó có nghĩa là không có hành vi trộm cắp thông tin, và quan trọng là không có các cuộc tấn công bổ sung, thậm chí tốn kém hơn.
Cô lập cũng chấm dứt lừa đảo, lừa đảo và các loại tấn công email khác. Bằng cách định cấu hình Nền tảng cách ly của chúng tôi để hiển thị các trang web ở chế độ chỉ đọc ở chế độ Trực tiếp, không thể nghi ngờ một chủ tịch tình nguyện hoặc chủ tịch chiến dịch không thể nhập thông tin xác thực của họ vào trang đặt lại mật khẩu không có thật, ngay cả khi họ bị lừa thành công khi truy cập nó một cách khéo léo thiết kế email lừa đảo.
Tất nhiên, nhận thức muộn là 20/20. Nhưng về mặt lý thuyết, một nền tảng cô lập như của chúng ta có thể ngăn chặn các cuộc tấn công thành công vào Chiến dịch của Clinton, DNC và DCCC và và cho nền Dân chủ của chúng ta. Tệ nhất, nó sẽ khiến những cuộc tấn công đó trở nên khó khăn hơn nhiều. Tại sao không xem xét một cách tiếp cận làm tăng khả năng phòng thủ thành công và thay đổi tỷ lệ cược tệ hại cho những kẻ xấu.