Η ποπ κουλτούρα και δημοφιλείς τηλεοπτικές σειρές, όπως το “Mr. Robot” έχουν σκιαγραφήσει την εικόνα του «μοναχικού hacker», ο οποίος στοχεύει πολυεθνικούς κολοσσούς και εθνικές κυβερνήσεις, με ένα laptop σε ένα γκαράζ. Εν έτει 2016, η εικόνα αυτή είναι αναληθής, καθώς το κυβερνοέγκλημα είναι πλέον επαγγελματική υπόθεση, ενώ το εύρος των στόχων είναι σαφώς πιο μεγάλο.

Ως έτος «παράπλευρων απωλειών» χαρακτηρίζει η HPE το 2015, προκειμένου να υπογραμμίσει το γεγονός ότι το κυβερνοέγκλημα αφορά τους πάντες,ακόμα και άτομα που, φαινομενικά, δεν είχαν κανένα λόγο να γίνουν στόχοι ψηφιακών επιθέσεων. Χαρακτηριστικό παράδειγμα η κλοπή ευαίσθητων δεδομένων από το Γραφείο Προσωπικού του Λευκού Οίκου, τον Ιούνιο του 2015: από τους 21,5 εκατ. αριθμούς κοινωνικής ασφάλισης που εκλάπησαν, περίπου 1,8 εκατ. αφορούσε σε συζύγους ή συγκατοίκους ατόμων που εργάζονταν ή ενδιαφέρονταν να εργαστούν στην κυβέρνηση των ΗΠΑ. Το γενικό συμπέρασμα πίσω από αυτό το περιστατικό μπορεί να συνοψιστεί σε μία φράση: κανείς δεν είναι ασφαλής στο πεδίο του κυβερνοεγκλήματος.

Εξελιγμένα μοντέλα και νέες αγορές για το κυβερνοέγκλημα
Σε στρατηγικό επίπεδο, υπάρχουν δυο κυρίαρχες τάσεις που καταδεικνύουν τη μορφή του σύγχρονου κυβερνοεγκλήματος και αφορούν α) στον πιο «επαγγελματικό» χαρακτήρα του hacking και β) στη μετατόπιση του ενδιαφέροντος των επιτιθέμενων από μεγάλους εταιρικούς στόχους σε μεμονωμένα άτομα και μικρές επιχειρήσεις.

«Οι σύγχρονοι κυβερνοεγκληματίες διαθέτουν εκτεταμένους πόρους και άκρως εξειδικευμένο τεχνικό προσωπικό, λειτουργώντας με τους κανόνες που διέπουν μια σύγχρονη επιχείρηση» δήλωνε τον Ιούνιο ο Samer Sidani, Regional Director – AGC (Accelerating Growth Countries) της Symantec, σε αποκλειστική συνέντευξή του στο netweek. Αναλύοντας ευρήματα του Internet Security Threat Report (ISTR) Volume 21 της Symantec, όπως για παράδειγμα τις 430 εκατ. καινούργιες παραλλαγές malware που εντοπίστηκαν μέσα στο 2015, ο κ. Sidani τόνισε ότι «οι επαγγελματίες εγκληματίες του κυβερνοχώρου διαθέτουν πλέον τεράστιους πόρους και μπορούν να υπερπηδήσουν κάθε πιθανή άμυνα, εισβάλοντας στα εταιρικά δίκτυα». Η εξέλιξη των hacking ομάδων σε επιχειρηματικούς οργανισμούς αλλάζει τη φύση των ψηφιακών επιθέσεων, καθώς, όπως κάθε ορθολογικός επιχειρηματίας, οι κυβερνοεγκληματίες στοχεύουν στη μεγιστοποίηση του ROI τους, ήτοι στη βέλτιστη χρήση των πόρων τους, σε στόχους που προσφέρουν αυξημένη κερδοφορία.

Το εύρος των πιθανών στόχων αυξάνεται συνεχώς: σύμφωνα με το ISTR της Symantec, μολονότι οι μεγάλες επιχειρήσεις (με προσωπικό άνω των 2.500 ατόμων) παραμένουν ο ελκυστικότερος στόχος για τους hackers, το 2015, οι spear phising επιθέσεις σε μικρές επιχειρήσεις (με προσωπικό λιγότερο των 250 ατόμων) αποτέλεσε το 43% του συνόλου των επιθέσεων, από 34% που ήταν το 2014. Επιπλέον, καθώς το mobility αποτελεί πλέον κανόνα για το σύγχρονο επιχειρείν, το ενδιαφέρον των κυβερνοεγκληματιών μετατοπίζεται από τους servers και τα λειτουργικά συστήματα στις εφαρμογές κινητών συσκευών, καθώς, σύμφωνα με το Cyber Risk Report 2016 της HPE, «οι εφαρμογές παρέχουν ευκολότερη πρόσβαση σε ευαίσθητα εταιρικά δεδομένα». Η αλλαγή στόχευσης δημιουργεί νέου τύπου επιθέσεις για τις κινητές συσκευές και τις εφαρμογές τους. Η μεγαλύτερη εικόνα ωστόσο φέρνει στο φως νέου τύπου επιθέσεις που έχουν στόχο μεμονωμένα άτομα, σε αντιδιαστολή με τις μαζικές κρούσεις του παρελθόντος. Ας πάρουμε για παράδειγμα την εξέλιξη του social engineering και των phishing επιθέσεων. Παλαιότερα, οι επιθέσεις μέσω social media βασίζονταν στα ελλιπή μέτρα προστασίας αδαών χρηστών των κοινωνικών δικτύων. Σύμφωνα με τη Symantec ωστόσο, το 2015 εκδηλώθηκαν εξελιγμένες επιθέσεις, οι οποίες μπόρεσαν ακόμα και να προσπεράσουν το two factor authentication που εφαρμόζουν πολλά sites. Ακόλουθοι bots, “likejacking” (ψεύτικα κουμπιά Like που ξεγελούν τους χρήστες ώστε να εγκαταστήσουν malware) και ψεύτικα plug-ins μπορούν να οδηγήσουν σε διαρροή προσωπικών πληροφοριών. Οι πληροφορίες αυτές χρησιμοποιούνται (και) για την εξατομίκευση των phishing emails, τα οποία στοχεύουν σε συγκεκριμένα τμήματα των οργανισμών, όπως τα operations και την οικονομική διεύθυνση. Με άλλα λόγια, μολονότι το «παραδοσιακό» ψεύτικο mail με την παράδοση παραγγελίας δεν πρόκειται να εκλείψει, πολλά από τα phishing emails είναι πλέον προσωποποιημένα, άρα και αξιόπιστα. Οι hackers δεν στοχεύουν πλέον σε one-off μαζικές επιθέσεις, αντίθετα επιδιώκουν να χτίσουν σχέσεις εμπιστοσύνης με τα θύματά τους, με σκοπό την πρόσβαση σε ευαίσθητες πληροφορίες του οργανισμού, αλλά και τη δυσκολία εντοπισμού των επιτιθέμενων.

Στο χρηματιστήριο των zero day vulnerabilities
Η αλματώδης αύξηση των zero day vulnerabilities (τρωτά σημεία σε software, τα οποία δεν γνωρίζει ο προμηθευτής του) καταδεικνύει όχι μόνο το πόσο έχουν εξελιχθεί οι κυβερνοεπιθέσεις, αλλά και τα… επιχειρηματικά μοντέλα των hackers. Σύμφωνα με τη Symantec, τα zero day vulnerabilities αυξήθηκαν κατά 125% μέσα στο 2015, με 54 νέα τρωτά σημεία. Μολονότι τα τρωτά σημεία αυτά μπορούν να εμφανιστούν σε κάθε software, απαντώνται πιο συχνά στα ευρέως διαδεδομένα software, όπως είναι το Adobe Flash και ο Internet Explorer. Εάν τα zero day δεν αποκαλυφθούν γρήγορα ή εάν οι χρήστες δεν προβούν άμεσα σε patching, οι ζημιές μπορεί να είναι εκτεταμένες. Τα zero day vulnerabilities είναι πολύτιμα για τους hackers, καθώς χρησιμοποιούνται στις ιδιαίτερα «διακριτικές» watering-hole attacks, οι οποίες «προσβάλλουν» sites τα οποία ένας χρήστης επισκέπτεται συχνά, και ενεργοποιούνται με την ανίχνευση συγκεκριμένων IP διευθύνσεων. Οι συγκεκριμένες επιθέσεις δεν έχουν πολλές παράπλευρές απώλειες, κι έτσι οι επιτιθέμενοι μπορούν να δρουν ανενόχλητοι για μεγάλο χρονικό διάστημα. Όταν ένα zero-day vulnerability αποκαλυφθεί, οι hackers προχωρούν γρήγορα στο επόμενο, ώστε να καλύψουν τα ίχνη τους. Τα zero day vulnerabilities αποτελούν από μόνα τους στόχο για τους κυβερνοεγκληματίες, καθώς η εμπορική τους αξία είναι υψηλή. Μία ολόκληρη αγορά έχει στηθεί γύρω από αυτά, καθώς, μόλις ένα τρωτό σημείο γίνει γνωστό, αμέσως κοινοποιείται σε hacking fora και ενσωματώνεται στα toolkits επιθέσεων των επαγγελματιών hackers. «Οι εξελιγμένες ομάδες ψηφιακών επιθέσεων αξιοποιούν τα zero day vulnerabilities προς όφελος τους, διαθέτοντάς τα σε χαμηλής εγκληματικότητας χώρες, στις οποίες η αγορά είναι “ανοιχτή” και κατ’ επέκταση είναι εύκολα εμπορεύσιμα» δηλώνει ο S. Sidani. Μέσα στο 2015, έγιναν γνωστά επτά zero day vulnera-bilities, τα οποία αφορούσαν σε συστήματα βιομηχανικού αυτοματισμού, τα οποία ελέγχουν από μεγάλα εργοστάσια μέχρι μονάδες παραγωγής ηλεκτρικής ενέργειας. Τα κίνητρα πίσω από τις επιθέσεις αυτές μπορεί να αφορούν και σε γεωπολιτικές διαμάχες ή ransomware.

Η κλιμάκωση του κυβερνοεγκλήματος
Στις 23 Δεκεμβρίου του προηγούμενου έτους, 225.000 νοικοκυριά στη Δυτική Ουκρανία έμειναν χωρίς ρεύμα, εξαιτίας της επίθεσης BlackEnergy στους υπολογιστές και τα συστήματα SCADA της εταιρείας Kyivoblenerg. Οι επιτιθέμενοι χρησιμοποίησαν μια σειρά από εργαλεία, από phishing email και malware μέχρι DDoS επίθεση στο τηλεφωνικό κέντρο της εταιρείας, ώστε οι πρώτες διακοπές ρεύματος να περάσουν απαρατήρητες και να μεγιστοποιηθεί η ζημιά. Η επίθεση BlackEnergy ανέδειξε τα τρωτά σημεία των συστημάτων απομακρυσμένης πρόσβασης σε βιομηχανικούς αυτοματισμούς, ενώ είναι η πρώτη μεγάλη βεληνεκούς επίθεση σε μονάδες παραγωγής ηλεκτρικής ενέργειας που είδε το φως της δημοσιότητας. Κυρίως όμως, έφερε στην επιφάνεια την απειλή του cyber sabotage, η οποία είναι σήμερα πιο υπαρκτή από ποτέ. Είμαστε δηλαδή αντιμέτωποι με ένα εντυπωσιακό δίπολο: από τη μία οι hackers στοχεύουν πλέον σε μεμονωμένα άτομα, με επιθέσεις τύπου mobile ransomware, από την άλλη είναι ικανοί να «γονατίσουν» τις κρίσιμες υποδομές ενός κράτους.

Κοινός τόπος των επιθέσεων σε πολλαπλά πεδία, από το email και τα sites, μέχρι τις εφαρμογές κινητών τηλεφώνων και τα συστήματα SCADA, είναι η συνεχής εξέλιξη και αναβάθμιση των επιθέσεων. Είναι σημαντικό για τους επαγγελματίες στην Ασφάλεια Πληροφοριών να συμφιλιωθούν με την παραδοχή ότι οι hackers θα βρίσκονται πάντα ένα βήμα μπροστά από αυτούς. Όπως χαρακτηριστικά δήλωσε στο 2ο Enterprise IT Security Conference του netweek o Ramses Gallego (πρώην global VP του ISACA) «δεν μου αρέσει να μιλάω για trends στην ασφάλεια πληροφοριών. Γιατί πολύ απλά δεν υπάρχουν. Από τη στιγμή που διασυνδέσαμε τις συσκευές και περάσαμε σε αυτές τα δεδομένα μας, όλα είναι πιθανά. Σε πέντε χρόνια όλοι θα μιλούν για το quantum computing. Εάν έχουμε να αντιμετωπίσουμε τόσες απειλές σήμερα, στο δυαδικό σύστημα, φανταστείτε τι μπορεί να γίνει όταν η κβαντική υπολογιστική θα είναι πλέον πραγματικότητα».