7 februari, 2021

Show Notes för #110 – Det ryska cyberkriget

Seriöst, den går att köpa på Internet.

Avsnittet: #110 – Det ryska cyberkriget
Inspelat: 2021-02-05 (publicerat 2021-02-07)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Att fundera på medan du lyssnar

Det går inte att höra, men inspelningen plågades av en del tekniska misöden, missförstånd och omtagningar. Och precis som Phil Spector fick ta hand om Beatles 250 timmar av osorterade inspelningar för att göra skivan ”Let it be”, har jag nu här lyckats foga ihop tagningarna till en helhet. Tror jag tagit bort typ 10-15 minuter material. Och det hela hänger ihop väl.

För att kunna förstå de Ryska hackergrupper som varit mycket lyckade i att göra påverkansaktioner, måste vi diskutera Rysslands historia de senaste 100 åren. Det gör vi de första 11 minuterna i programmet.

Från Ryska revolutionen där Bolsjevikerna tog över, genom det kalla kriget då alla stormakterna spionerade på varandra och fram till idag. Ryssland hade alla anledningar att bli bra på att kunna spionera, övervaka och påverka. Vi hade ett mycket initierat samtal med Fredrik Eriksson på Försvarshögskolan i augusti där vi i detalj gick igenom kalla kriget.

Här springer vi i rask takt igenom det för att bygga en bakgrund, sedan används det följande två tredjedelarna till att diskutera hur en av Ryssarnas mest fruktade hackers, APT28 går tillväga för att göra sitt jobb. Och det är IDAG. Det är HÄR och det är NU.

Kontroversiellt?

Är vi? … tydligen…

Vi försöker undvika att ta ställning, men det var absolut ingen tillstymmelse till försiktighet när Mattias sa ”Titta på idag, det är väl fortfarande en diktatur?”. Jag försökte korrigera honom, men insåg rätt snabbt att han har rätt. Alltså, det är ingen åsikt utan ett konstaterande.

För att kalla ett land en demokrati är en ohindrad möjlighet att regelbundet kunna rösta fram representanter eller personer (direktdemokrati) till att leda landet på riks- och lokalnivå ett krav. Det går inte att komma ifrån.

Och nu kan ju Putin förlänga sin mandatperiod så länge han lever. Det innebär att nästa val blir när han fallit från. Julius Caesar nickar från sin grav. Och då är det faktiskt bara att erkänna att det är omöjligt att se Ryssland som demokratiskt. Det fallet på sin orimlighet.

Sen kanske vi är finkänsliga som en släggfabrik, men Sovjet föll faktiskt och vi har gott om data att man förtryckte sin befolkning. Någon som vill säga emot?

Jag hör ingenting här…

Men till det viktiga, APT28

”Advanced Persistent Threat” 28 eller Fancy bear attackerar idag huvudsakligen med fyra mönster:

  • Installera malware via spearphishing
    • Ofta skickar man dokument med skadlig kod eller länkar till websidor innehållande skadlig kod som man räknar med kommer drabba utvalda grupper. Det kan vara folk som jobbar i vissa branscher, organisationer eller företag.
    • theguardiannews.org var en fejksite som kopplats till APT28.
  • Lura till sig tillgång till webmail genom spearphising
    • Man länkar till onedrive-office365.com eller liknande fejktsida i ett mail.
    • Detta mail ber användarna resetta sitt lösenord eller logga in för att kunna läsa ett dokument.
    • När användare når siten, ser den ut som en riktig inloggningstjänst, men är istället byggt för att locka av användaren deras riktiga namn och lösenord till t.ex. sin mail.
    • Man kan även lura användaren att godkänna auktorisering.
Denna ska du ALDRIG klicka på om du inte förväntar dig denna ruta och vet EXAKT vad den gör. ”Just say No!!!”.
  • Infektion av legitim websida
    • Man kan hacka en legitim sida och sätta upp skadlig iFrame som attackerar användaren webbläsare. Denna attack är mer komplicerad med moderna webbläsare, men principen fungerar fortfarande.
    • Exempelvis utnyttjades den vid en attack mot Polska myndigheter 2014.
    • Resultat: APT28 är inne på nätverket
  • Åtkomst genom Internet-anslutna webservrar
    • Scannar servern efter sårbarheter.
    • Attackerar opatchade sådana.
    • Kommer sedan in och förflyttar sig därefter lateralt genom nätverket.
    • Resultat: APT28 är inne på nätverket!

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

Länkar

Ryssland och hackning:
https://www.xn--itskerhet-x2a.com/ryssland/

Tveksamt om de verkligen kom så långt med detta:
https://www.reuters.com/article/us-russia-usa-cybersecurity/russia-says-it-is-starting-to-resume-u-s-cyber-cooperation-tass-idUSKBN1WW1TL

Fancy a bear? A fancy bear, even:
https://en.wikipedia.org/wiki/Fancy_Bear

Rapporten Mattias pratar om. Utmärkt tidslinje:
https://www2.fireeye.com/rs/848-DID-242/images/APT28-Center-of-Storm-2017.pdf

Revolutionen som formade Ryssland:
https://www.so-rummet.se/kategorier/historia/det-korta-1900-talet/ryska-revolutionen

IT-säkerhetspodden: Från det kalla kriget till dagens spioner på nätet
https://www.itsakerhetspodden.se/podcast/88-fran-det-kalla-kriget-till-dagens-spioner-pa-natet/

All right, då… Dags för lite skamlös självreklam. Köp Mattias barnbok!:
https://www.bokus.com/bok/9789180072632/cyberdeckarna-gisslanprogrammet/

Lämna ett svar

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.

Scroll to top