Ποιος κρύβεται πίσω από την νέα παγκόσμια κυβερνοεπίθεση;
28/06/2017 12:43
ΔΕΝ ΥΠΑΡΧΟΥΝ ΣΧΟΛΙΑ
ΔΗΜΙΟΥΡΓΙΑ ΣΧΟΛΙΟΥ

Ποιος κρύβεται πίσω από την νέα παγκόσμια κυβερνοεπίθεση;

Μεγάλες εταιρείες παγκοσμίως, όπως η WPP, η Rosneft, η Merck και η AP Moller-Maersk, έχουν πληγεί από μια εκτεταμένη επίθεση στον κυβερνοχώρο, η οποία στοχεύει επίσης στην ουκρανική κυβέρνηση και την τραπεζική υποδομή της χώρας, τα ΑΤΜ και τα ταμεία σούπερ μάρκετ. Ο Justin Harvey, ο οποίος ηγείται της παγκόσμιας ομάδας απόκρισης στην Accenture, μια εταιρεία επαγγελματικών υπηρεσιών, δήλωσε ότι είχε μιλήσει με αρκετές μεγάλες εταιρείες με εκατοντάδες χιλιάδες υπολογιστές. Τα περισσότερα θύματα είναι στην Ουκρανία, και ακολουθεί η Ρωσία και άλλες ευρωπαϊκές χώρες. Υπήρχαν κάποιες αναφορές επιθέσεων εναντίον αμερικανικών νοσοκομείων, οι οποίες μπορεί να σχετίζονται.

Τι προκάλεσε η επίθεση;

Το Ransomware, που εκμεταλλεύεται την ίδια ευπάθεια με το WannaCry, το οποίο οδήγησε στην κατάρρευση δικτύων από την Εθνική Υπηρεσία Υγείας του Ηνωμένου Βασιλείου έως την FedEx τον περασμένο μήνα, έπληξε υπολογιστές σε όλο τον κόσμο την Τρίτη. Το κακόβουλο λογισμικό χρησιμοποιεί κρυπτογράφηση για να εμποδίσει τους χρήστες να έχουν πρόσβαση στους υπολογιστές τους προτού πληρώσουν 300 δολάρια λύτρα σε bitcoin. Σε αντίθεση με τα περισσότερα ransomware, δεν κρυπτογραφεί μόνο τα αρχεία, για τα οποία μια εταιρεία μπορεί να δημιουργήσει αντίγραφα ασφαλείας, αλλά επηρεάζει και την ικανότητα μιας μηχανής να λειτουργεί.

Ο Adam Meyers, αντιπρόεδρος της υπηρεσίας πληροφοριών στην CrowdStrike, δήλωσε ότι το λογισμικό ήταν ιδιαίτερα «ύπουλο» επειδή μπορούσε να μολύνει μηχανές από μόνο του, χωρίς καμία ανθρώπινη δράση. Περισσότερες από 20 εταιρείες έχουν πληρώσει τα λύτρα, αλλά το ηλεκτρονικό ταχυδρομείο που χρησιμοποιούν οι εισβολείς δεν λειτουργεί πια, καθιστώντας ασαφές αν οι επιτιθέμενοι θα μπορούσαν να απαντήσουν σε αιτήματα για το κλειδί αποκρυπτογράφησης.

Πώς μπήκαν οι χάκερς σε αυτά τα δίκτυα;

Φαίνεται ότι υπάρχουν διάφοροι τρόποι με τους οποίους οι χάκερς έχουν πρόσβαση σε υπολογιστές. Η μονάδα αντιμετώπισης του κυβερνητικού εγκλήματος της Ουκρανίας προειδοποίησε ότι λειτουργίες ενημέρωσης σε ένα εγχώριο πακέτο λογισμικού γνωστό ως M.E.doc χρησιμοποιήθηκαν ως ένας αγωγός για τη διεξαγωγή της "επιθέσεις ιών στις ουκρανικές εταιρείες". "Είναι σημαντικό να προσθέσουμε ότι η μόλυνση μέσω του M.E.doc είναι μόνο ένας από τους φορείς της επίθεσης. Επίσης, ανιχνεύθηκε ηλεκτρονικό Phishing", πρόσθεσε η αστυνομία της Ουκρανίας. Αλλά η Me-Doc, η εταιρεία που κατασκευάζει το λογισμικό, αρνείται ότι υπάρχει κάποιο πρόβλημα.

Μια βασική μέθοδος που χρησιμοποιήθηκε για την εξάπλωση του ιού ήταν το EternalBlue exploit, το οποίο αναπτύχθηκε από την Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ και αποτέλεσε εξαπλώθηκε online από μια ομάδα που ονομάζεται Shadow Brokers, για να εισέλθει σε δίκτυα. Ενώ οι εταιρείες θα έπρεπε να έχουν διορθώσει τους υπολογιστές τους, κάποιες προσπαθούν να βρουν τον χρόνο για να το κάνουν. Μόλις εισέλθει σε έναν υπολογιστή, ο ιός φαίνεται ότι είναι ικανός να κλέψει το όνομα χρήστη και τους κωδικούς πρόσβασης ώστε να φαίνεται νόμιμος κατά την πρόσβαση σε άλλες συσκευές στο δίκτυο.

Είναι χειρότερος από το WannaCry;

Μέχρι στιγμής λιγότεροι χρήστες φαίνεται να έχουν μολυνθεί από το WannaCry, το οποίο έπληξε εκατοντάδες χιλιάδες υπολογιστές. Αλλά η ζημιά που προκάλεσε το WannaCry σταμάτησε όταν ένας ερευνητής ασφαλείας ανακάλυψε ένα λεγόμενο "kill switch", το οποίο όταν ενεργοποιήθηκε, σταμάτησε την εξάπλωση του ιού. Μέχρι στιγμής, σε αυτήν την τελευταία επίθεση, έχουν υπάρξει μόνο αναφορές ενός kill switch για μια έκδοση και δεν είναι γνωστό αν αυτό θα είναι αποτελεσματικό. Ο Eric Chien, τεχνικός διευθυντής του τμήματος ανταπόκρισης ασφαλείας της Symantec, ο οποίος βοήθησε στην συγγραφή έρευνας για το Stuxnet, την πιο διάσημη εθνική κρατική επίθεση, δήλωσε ότι αυτό θα μπορούσε να γίνει "αυτοκαταστροφικό κακόβουλο λογισμικό για πάντα" χωρίς τη χρήση ενός kill switch. "Ακόμα και μετά από πέντε χρόνια θα είναι εκεί έξω", είπε.

Αυτό το ransomware φαίνεται να έχει προσπαθήσει να διδαχθεί από το WannaCry, που δεν περίμεναν να εξαπλωθεί τόσο γρήγορα. Ο Sean Sullivan, σύμβουλος ασφάλειας στη φινλανδική εταιρεία F-Secure, δήλωσε ότι οι δράστε του WannaCry απέτυχαν επειδή δεν μπορούσαν να χειριστούν τον αριθμό των θυμάτων που δημιούργησαν - αλλά αυτοί οι χάκερς φαινόταν "πιο επαγγελματίες".

Ποιος κρύβεται πίσω από την επίθεση;

Δεν ξέρουμε. Δεν υπάρχουν στοιχεία μέχρι στιγμής ότι είναι η ίδια ομάδα που βρισκόταν και πίσω από το WannaCry. Ορισμένοι εμπειρογνώμονες έχουν υποθέσει ότι θα μπορούσε να είναι μια ρωσική κρατική επίθεση, που έχει σχεδιαστεί για να προκαλέσει καταστροφές στην Ουκρανία, αλλά που έχασε τον έλεγχο. Αναφερόμενος στην προκαταρκτική ανάλυση της επίθεσης, ο Oleksandr Turchynov, επικεφαλής της εθνικής ασφαλείας της Ουκρανίας, επεσήμανε ένα "ρωσικό αποτύπωμα". Ωστόσο, υπήρξαν επίσης ρωσικοί στόχοι και υπάρχει μια ιστορία παραπληροφόρησης σχετικά με την εξάπλωση των κυβερνοεπιθέσεων μεταξύ των δύο χωρών.

Εγκληματίες του κυβερνοχώρου συνήθως βρίσκονται πίσω από τα ransomware, επειδή είναι ένας γρήγορος και εύκολος τρόπος για να λάβουν μετρητά από τα θύματα. Ωστόσο, η γραμμή μεταξύ των εθνικών κρατών και των εγκληματιών στον κυβερνοχώρο έχει επίσης "θολώσει", καθώς μια ομάδα μπορεί να αναπτύξει το λογισμικό και μία άλλη μπορεί να το αγοράσει και να το αναπτύξει.

Μπορούν να τους συλλάβουν οι αρχές;

Μάλλον απίθανο. Είναι δύσκολο να κατηγορήσεις κάποιον για ένα έγκλημα στον κυβερνοχώρο, καθώς οι χάκερς μπορούν να αποκρύψουν τη διεύθυνση IP τους. Είναι ακόμη πιο δύσκολο αν η επίθεση είναι κρατική ή προέρχεται από χώρα που δεν έχει συμφωνία έκδοσης. Ο John Carlin, πρώην βοηθός γενικού εισαγγελέα στο αμερικανικό Υπουργείο Δικαιοσύνης, που είναι πλέον συνεργάτης στο δικηγορικό γραφείο Morrison & Foerster, δήλωσε ότι υπήρξε μια "κρίση" εξαιτίας της πολυπλοκότητας και της ταχύτητας με την οποία διαδόθηκαν τα εργαλεία.

Η επιβολή του νόμου βελτιώθηκε, αλλά εξακολουθεί να αντιμετωπίζει σημαντικές προκλήσεις, ιδίως όταν εργάζεται διασυνοριακά. "Χρειαζόμαστε πολλούς περισσότερους πόρους σε ομοσπονδιακό, κρατικό και τοπικό επίπεδο", είπε.

Τι μπορούν να κάνουν οι εταιρείες;

Να έχουν ασφαλή αντίγραφα και πολιτική για το ransomware. Δεδομένου ότι ένας από τους κύριους φορείς για την επίθεση χρησιμοποιεί το EternalBlue, ένα "ελάττωμα" για το οποίο η Microsoft έχει ήδη εκδώσει μία βελτίωση, οι εταιρείες πρέπει να εξασφαλίσουν ότι το λογισμικό τους είναι ενημερωμένο. Τα περισσότερα ransomware κρυπτογραφούν τα αρχεία, κι έτσι μια εταιρεία θα είναι πιο σίγουρη αν έχει πρόσφατα back-ups. Οι εταιρείες θα πρέπει επίσης να είναι προετοιμασμένες για μια επίθεση ransomware και να γνωρίζουν αν θα πληρώσουν τα λύτρα. Στις ΗΠΑ, το FBI συνιστά να μην πληρώνουν. Ωστόσο, ορισμένοι στόχοι, ειδικά αυτοί σε κρίσιμες υπηρεσίες όπως τα νοσοκομεία, έχουν αποφασίσει ότι αξίζει να πληρώσουν - ή ακόμη και τον κίνδυνο να μην τους επιστρέψουν τις υπηρεσίες τους, ακόμη και αν πληρώσουν.

Γιατί κάποιοι κατηγορούν τις αμερικανικές υπηρεσίες πληροφοριών;

Λόγω του EternalBlue, μια ευπάθεια που ανακαλύφθηκε από την NSA, αλλά στην αρχή δεν ανέφερε στην Microsoft. Μετά την εξάπλωση του WannaCry σε ολόκληρο τον κόσμο, η Microsoft επέκρινε την NSA για την "αποθεματοποίηση" τρωτών σημείων στο λογισμικό. Η αμερικανική Ένωση Πολιτικών Ελευθεριών δήλωσε ότι η αμερικανική κυβέρνηση είχε "δώσει προτεραιότητα στις προσβλητικές δυνατότητες" έναντι της ασφάλειας των υπολογιστικών συστημάτων του πλανήτη. Ο Λευκός Οίκος επεδίωξε να εκτρέψει την ευθύνη λέγοντας ότι η ευπάθεια ήταν μόνο ένα μέρος του εργαλείου ransomware.

Γιατί συνεχίζονται οι μεγάλες επιθέσεις στον κυβερνοχώρο;

Το διαδίκτυο σχεδιάστηκε για να είναι ανοιχτό και ανώνυμο και η βασική του υποδομή δεν άλλαξε δραματικά από τότε που έγινε η υπηρεσία στην οποία στηρίζονται όλα. Οι επιτιθέμενοι έχουν μάθει να το εκμεταλλεύονται αυτό - οι εγκληματίες του κυβερνοχώρου έχουν συνεργαστεί με υπόγειες αγορές για να βελτιώσουν τις δυνατότητές τους και τα έθνη έχουν προσθέσει κυβερνοόπλα στα οπλοστάσια τους. Ο πόλεμος είναι ασύμμετρος - οι επιτιθέμενοι αρκεί να βρουν μόνο ένα "ελάττωμα", ενώ όσοι δέχονται την επίθεση πρέπει να προστατεύουν τους υπόλοιπους από όλα και να κινούνται γρήγορα. Ελάχιστοι είναι οι χάκερς οι οποίοι μπορούν να επιτεθούν από οπουδήποτε στον κόσμο, που φοβούνται τις ποινές, καθώς οι χώρες αγωνίζονται να επιβάλουν το νόμο online.

ft.com