FOCUS

Επίθεση χάκερ: Τι μπορεί να συνέβη στην περίπτωση των ΕΛΤΑ  - Ένας ειδικός μιλά στο CNN Greece

Επίθεση χάκερ: Τι μπορεί να συνέβη στην περίπτωση των ΕΛΤΑ  - Ένας ειδικός μιλά στο CNN Greece
Το CNN Greece μίλησε για το θέμα αυτό με τον Αναστάση Βασιλειάδη, ειδικό σε θέματα κυβερνοασφάλειας (cybersecurity expert) Unsplash

Η κυβερνοεπίθεση που δέχτηκαν τα Ελληνικά Ταχυδρομεία (ΕΛΤΑ) το βράδυ της περασμένης Κυριακής (20/03) ήταν αρκετή, ώστε να προκαλέσει αναστάτωση στις χρηματοοικονομικές υπηρεσίες και την αποστολή αλληλογραφίας, υπηρεσίες οι οποίες άρχισαν να επανέρχονται από την Πέμπτη 24 Μαρτίου.

Ίσως ένα από τα σημαντικότερα ζητήματα, ωστόσο, που ανέδειξε το περιστατικό αυτό είναι ότι το ψηφιακό έγκλημα είναι παρόν και απαιτεί διαρκή επαγρύπνηση και εποπτεία από τους αρμόδιους φορείς.

Το ιστορικό της υπόθεσης

Στην ανακοίνωση που εξέδωσαν τα ΕΛΤΑ (δείτε το πλήρες κείμενο εδώ) στις 22 Μαρτίου, αναφερόταν χαρακτηριστικά:

«Προσδιορίστηκε ότι η στοχευμένη κυβερνοεπίθεση που είχε στόχο την κρυπτογράφηση των κρίσιμων συστημάτων για την επιχειρησιακή λειτουργία των ΕΛΤΑ, ξεκίνησε από κακόβουλο λογισμικό μηδενικού χρόνου, το οποίο εγκαταστάθηκε σε σταθμό εργασίας και με την τεχνική https reverse shell συνδέθηκε σε υπολογιστικό σύστημα το οποίο ελεγχόταν από ομάδα κυβερνοεγκληματιών. Για την επίλυση του τεχνικά δύσκολου αυτού έργου εξετάζονται ένα προς ένα περισσότερα από 2500 τερματικά συστήματα για λόγους ΙΤ ασφαλείας, ενώ ταυτόχρονα εγκαθίστανται και προγράμματα agents».

Δύο ημέρες μετά την ανακοίνωση αυτή και τέσσερις μετά την επίθεση στα πληροφοριακά της εταιρείας, στις 24 Μαρτίου, άρχισαν να επανέρχονται οι χρηματοοικονομικές υπηρεσίες και η αποστολή αλληλογραφίας από το δίκτυο των ΕΛΤΑ και να αποκαθίσταται η ομαλότητα.

Οι δύο βασικές εκδοχές

Τι μπορεί να συνέβη, όμως, πραγματικά στην περίπτωση των Ελληνικών Ταχυδρομείων; Ήταν σκόπιμη η επίθεση των χάκερ με στόχο την υποκλοπή πολύτιμων πληροφοριών ή μήπως συνέβη κάτι άλλο;

Το CNN Greece μίλησε για το θέμα αυτό με τον Αναστάση Βασιλειάδη, ειδικό σε θέματα κυβερνοασφάλειας (cybersecurity expert), αναζητώντας απαντήσεις στα ερωτήματα αυτά.

Όπως εκτιμά ο ίδιος, «αν και η εταιρεία ανέφερε στην ανακοίνωσή της ότι υπήρξε εγκατάσταση κακόβουλου λογισμιικού μηδενικού χρόνου, φαίνεται πως κάτι τέτοιο δεν ισχύει».

«Προφανώς είτε κάποιος από τους υπαλλήλους, άθελά του, εγκατέστησε κάποιο κακόβουλο λογισμικό, το οποίο το δέχτηκε από κάποιο e-mail που του εστάλη, είτε, στην προσπάθειά του να εγκαταστήσει ένα “σπασμένο” λογισμικό – το οποίο ούτως ή άλλως απαγορεύεται – άνοιξε κάποιο αρχείο τύπου crack που περιείχε έναν ιό κι έτσι ξεκίνησε το πρόβλημα. Από εκεί και πέρα, επειδή οι τεχνικοί της εταιρείας φοβήθηκαν μήπως η επίθεση ήταν τύπου ransomware, κατέβασαν όλο το σύστημα, για να το ελέγξουν. Συνεπώς το σύστημα δεν έπεσε λόγω του κακόβουλου λογισμικού, αλλά οι ίδιοι οι τεχνικοί έθεσαν εκτός λειτουργίας συγκεκριμένες ηλεκτρονικές υπηρεσίες, ώστε να απομονώσουν το κακόβουλο λογισμικό και να το διαγράψουν», αναφέρει ο κ. Βασιλειάδης.

«Προσωπική μου άποψη είναι ότι δεν μπορούμε να μιλάμε στην προκειμένη περίπτωση για επίθεση χάκερ, αλλά για ζήτημα μη τήρησης του εσωτερικού κανονισμού μιας εταιρείας σχετικά με το ποια αρχεία και ποια διευθύνσεις πρέπει να προσπελάζουν κάθε φορά οι υπάλληλοί της», σημειώνει ο ίδιος.

Τι είναι η επίθεση με την τεχνική «https reverse shell»

O Αναστάσης Βασιλειάδης εξηγεί, με απλά λόγια, τι είναι αυτή η επίθεση με την τεχνική «https reverse shell», η οποία αναφέρθηκε στην ανακοίνωση των ΕΛΤΑ.

«Στην ουσία, ο θύτης στέλνει στο θύμα ένα μικρό αρχείο, το οποίο το θύμα εγκαθιστά χωρίς να το γνωρίζει στον υπολογιστή του. Το αρχείο αυτό είναι καμουφλαρισμένο με τέτοιο τρόπο, ώστε να μοιάζει με κάτι εντελώς αθώο και αβλαβές. Όταν το θύμα προσπελάσει εν αγνοία του το συγκεκριμένο αρχείο, τότε ο θύτης αποκτά την πλήρη πρόσβαση του υπολογιστή του θύματος».

Σύμφωνα με τον ίδιο, αυτού του είδους οι επιθέσεις έχουν καταστεί ο νούμερο ένα κίνδυνος σε επίπεδο κυβερνοασφάλειας, ακριβώς επειδή ο τρόπος με τον οποίο διενεργούνται είναι εξαιρετικά απλός: Ένα συνημμένο αρχείο φωτογραφίας σε ένα email, για παράδειγμα ή κάποιο συμπιεσμένο αρχείο σε μορφή zip.

«Οι επιτήδειοι προτιμούν τα αρχεία αυτού του τύπου και όχι άμεσα εκτελέσιμα τύπου .exe αρχεία, γιατί εκείνα μπορούν να τα μπλοκάρουν οι πλατφόρμες ασφαλείας των υπολογιστικών συστημάτων», εξηγεί.

Η μάστιγα των ψεύτικων τραπεζικών ειδοποιήσεων

«Υπάρχουν, όμως κι επιθέσεις κατά τις οποίες ο κακόβουλος χρήστης στέλνει ένα email, στο οποίο θα φαίνεται όποια άλλη διεύθυνση θέλει αυτός. Υπάρχουν, για παράδειγμα, προγράμματα που αλλάζουν τη διεύθυνση email του αποστολέα, με σκοπό να παραπλανήσουν τους ανυποψίαστους χρήστες. Τέτοιο φαινόμενο παρατηρείται τους τελευταίους μήνες σε email που δήθεν αποστέλλονται σε χρήστες από τράπεζες και στα οποία ζητείται αλλαγή στοιχείων του θύματος, επειδή δήθεν κάποιος προσπαθεί να τους υποκλέψει στοιχεία, με παραπομπή σε κάποιο hyperlink. Όταν ο χρήστης επιχειρήσει να προσπελάσει το hyperlink αυτό, τότε εγκαθίσταται κάποιος ιός κι εκεί αρχίζουν τα προβλήματα», υπογραμμίζει ο κ. Βασιλειάδης

Πώς αποτρέπονται επιθέσεις χάκερ σε συστήματα μεγάλων εταιρειών και οργανισμών

«Κατ’ αρχάς θα πρέπει τα συστήματα αυτά να προορίζονται καθαρά για το σκοπό και την αποστολή που υπηρετούν. Όταν για παράδειγμα, κάποιος υπάλληλος, ενδεχομένως, “κατεβάζει” αρχεία torrent ή ταινίες ή ανοίγουν διάφορα email που δεν γνωρίζουν ούτε τον αποστολέα αλλά ούτε και το πραγματικό περιεχόμενό τους, τότε το κακό δεν θα αργήσει να γίνει. Ας μη γελιόμαστε, υπάρχουν πολλοί οι οποίοι κάνουν τέτοια δική τους χρήση σε υπολογιστές που προορίζονται για μια τελείως διαφορετική εργασία», απαντά ο κ. Βασιλειάδης.

Καθοριστικός παράγοντας για την περαιτέρω αποτροπή τέτοιων επιθέσεων είναι η εκπαίδευση του εταιρικού προσωπικού μέσω σεμιναρίων, ώστε να γνωρίζουν οι υπάλληλοι πώς θα πρέπει να δράσουν, όταν βρεθούν ενώπιον μιας τέτοιας ψηφιακής απειλής.

«Είναι κάτι πολύ απλό: Πρέπει οι υπάλληλοι να μάθουν ποιες ηλεκτρονικές διευθύνσεις μπορούν να ανοίγουν και ποιες όχι, τι είδους αρχεία μπορούν να προσπελάζουν και ποια όχι. Προφανώς το DPO της εκάστοτε εταιρείας θα πρέπει να εγκαθιστά λογισμικό τέτοιο, που να μην επιτρέπει τέτοιου είδους επιθέσεις ή πρόσβαση σε ύποπτες και κακόβουλες ιστοσελίδες», επισημαίνει.

Τι θα συνέβαινε αν μια τέτοια επίθεση είχε πετύχει

Ο Αναστάσης Βασιλειάδης αναφέρεται εξάλλου και στο σενάριο μιας ενδεχόμενης βλάβης, εάν δηλαδή κάποιος επιτήδειος χάκερ είχε όντως επιτεθεί σε ένα σύστημα δικτύων , όπως αυτό των ΕΛΤΑ και δεν υπήρχε ταχεία αντίδραση απέναντι σε ένα τέτοιου είδους πρόβλημα.

«Σκεφθείτε πως τα ΕΛΤΑ διαχειρίζονται ονόματα, λογαριασμούς και διευθύνσεις όλων των κατοίκων αυτής της χώρας. Η βάση δεδομένων που κατέχουν συνεπώς είναι ιδιαίτερα μεγάλη και πολύτιμη. Η κλοπή τέτοιων στοιχείων σίγουρα θα είχε τεράστιο κόστος για όλους μας. Στον αντίποδα, θα είχε μεγάλη αξία για τον χάκερ. Για να μιλήσουμε με αριθμούς, έχω ακούσει ότι παλαιότερα σε κλοπή βάσης δεδομένων που περιείχε στοιχεία από περίπου 1 εκατ. χρήστες, η πώλησή της στη “μαύρη αγορά” έφτασε τις 600.000 ευρώ. Θα μπορούσε όμως το ποσό αυτό να είναι πολύ μεγαλύτερο και τότε η ζημιά θα ήταν ακόμη χειρότερη».