TECH

ESET: Πώς εξελίσσονται σε εργαλεία κατασκοπείας και σαμποτάζ οι κυβερνοεπιθέσεις

ESET: Πώς εξελίσσονται σε εργαλεία κατασκοπείας και σαμποτάζ οι κυβερνοεπιθέσεις

Στο στόχαστρο όλων και περισσότερων κυβερνοεγκληματιών, οι οποίοι υποστηρίζονται από οργανισμούς ασφαλείας μεγάλων χωρών, έχουν εισέλθει κυβερνητικοί οργανισμοί σε ολόκληρη την Ευρώπη. Μάλιστα, στο στόχαστρο αυτών των ομάδων έχουν βρεθεί και κυβερνητικοί οργανισμοί στη χώρα μας.

Αυτό επισημαίνει -μεταξύ άλλων- η τελευταία μελέτη της ESET, μίας από τις πιο γνωστές εταιρείες στο χώρο της κυβερνοασφάλειας, αναφορικά με τη δράση το εξάμηνο Απρίλιος – Σεπτέμβριος 2023 συγκεκριμένων ομάδων που πραγματοποιούν προηγμένες «επίμονες» επιθέσεις (advanced persistent threat – APT) και στην προκειμένη περίπτωση εκτιμώνται ότι έχουν την υποστήριξη κρατικών οργανισμών ασφαλείας από χώρες όπως η Ρωσία και η Κίνα.

Όπως ανέφεραν τα στελέχη της ESET κατά τη διάρκεια ειδικής παρουσίασης για εκπροσώπους μέσων ενημέρωσης από όλη την Ευρώπη στο πλαίσιο της εκδήλωσης Tech4Good Summit που πραγματοποιήθηκε την περασμένη εβδομάδα στην Αθήνα, υπάρχουν ορισμένες ενδιαφέρουσες τάσεις τους τελευταίους μήνες όσον αφορά τις επιθέσεις αυτών των APT ομάδων. Για παράδειγμα, στην περίπτωση των ομάδων που υποστηρίζονται από τη Ρωσία, στο παρελθόν κάθε ομάδα φέρεται να συνδέεται με συγκεκριμένη κρατική υπηρεσία ασφαλείας ο οποίος λειτουργούσε αυτόνομα από τους άλλους. Πλέον, όμως, υπάρχουν και παραδείγματα συνεργασίας μεταξύ αυτών των κρατικών υπηρεσιών ασφαλείας.

Αντίστοιχα, στην περίπτωση της Κίνας, τα ευρήματα της έρευνας των επιθέσεων που γίνονται δείχνουν ότι σε πολλές εξ αυτών υπάρχει ένας κεντρικός συντονισμός και η αξιοποίηση κοινών πόρων, όπως είναι, η χρήση των ίδιων τεχνικών αλλά και η εκμετάλλευση των «αδυναμιών» σε VPN δίκτυα. Πάντως, αξίζει να σημειωθεί ότι σε ερώτηση που έγινε αν υπάρχουν αποδείξεις που να συνδέουν κινεζικές εταιρείες εξοπλισμού με τις κυβερνοεπιθέσεις, η απάντηση από την πλευρά της ESET είναι πως δεν υπάρχουν.

Επίσης, ένα άλλο ενδιαφέρον στοιχείο είναι πως ενώ έχει αυξηθεί η σημασία της κυβερνοκατασκοπείας, ήτοι η αξιοποίηση κυβερνοεπιθέσεων για ανάκτηση δεδομένων κρίσιμης σημασίας όπως και για σαμποτάζ βασικών υποδομών μίας χώρας -όπως συμβαίνει με την περίπτωση των ρωσικών επιθέσεων στην Ουκρανία- υπάρχει πάντα και το κομμάτι του κυβερνοεγκλήματος. Ήτοι οι «επιτιθέμενοι» ζητούν και χρήματα -υπό τη μορφή κρυπτονομισμάτων προφανώς- προκειμένου να σταματήσουν μία κυβερνοεπίθεση.

Στο διάστημα που αφορά την έρευνα, ελληνικοί κρατικοί οργανισμοί βρέθηκαν στο στόχαστρο των APT ομάδων που υποστηρίζονται από ρωσικούς οργανισμούς ασφαλείας. Πρακτικά, αυτό που παρατηρήθηκε ήταν οι κυβερνοεπιθέσεις που υποστηρίζονται από τη Ρωσία κυρίως έχουν ως στόχο ουκρανικούς στόχους αλλά σταδιακά έχουν επεκταθεί και στην υπόλοιπη Ευρώπη. Η Πολωνία, από τους μεγαλύτερους υποστηρικτές της Ουκρανίας, είναι ο βασικός στόχος αλλά και άλλες χώρες έχουν δεχθεί κυβερνοεπιθέσεις.

Οι υποστηριζόμενες από τη Ρωσία ομάδες, όπως είναι η Sandworm, η Gamaredon και η Sendit χρησιμοποιούν διαφορετικού τύπου κυβερνοεπιθέσεις. Οι πιο δημοφιλείς είναι οι τύπου wiper όπου διαγράφονται τα αρχεία των «θυμάτων» αλλά και το αποκαλούμενο spear phishing όπου ο στόχος είναι η απόκτηση του ελέγχου των υπολογιστικών υποδομών.

Στην περίπτωση των υποστηριζόμενων από την Κίνα ομάδων (Ke3Chang, Backdoor Diplomacy, MustangPanda, PerplexedGoblin, Digital Recyclers και Gallium), μία διαφορά -σε σχέση με την προηγούμενη «κατηγορία»- είναι ότι στο στόχαστρο έχουν μπει και επιχειρήσεις, ενώ δίνουν ιδιαίτερη προσοχή στον τομέα της αποφυγής εντοπισμού. Σημαντικό στοιχείο είναι ότι αρκετές από αυτές τις ομάδες εντοπίστηκαν για πρώτη φορά από τους ερευνητές της ESET. Επίσης, θα πρέπει να σημειωθεί ότι δεν είναι μόνο η Ρωσία και η Κίνα που θεωρούνται ότι αξιοποιούν APT ομάδες για κυβερνοεπιθέσεις σε κρατικούς στόχους άλλων χωρών. Η Βόρεια Κορέα είναι στη σχετική λίστα στοχεύοντας οργανισμούς σε Νότια Κορέα και Ιαπωνία, ενώ έντονη είναι και η δραστηριότητα στη Μέση Ανατολή με κυβερνοεπιθέσεις σε στόχους στο Ισραήλ αλλά και στη Σαουδική Αραβία. Ενδεχομένως στην επόμενη μελέτη να υπάρξει μεγαλύτερη προσοχή στον κυβερνοπόλεμο στη Μέση Ανατολή λόγω της σύγκρουσης Ισραήλ – Χαμάς.