Την εμφάνιση του έκανε πριν από λίγες μέρες ένας ιός που χτύπησε κρατικούς φορείς σε περισσότερες από 74 χώρες, κάνοντας τις αρχές ασφαλείας σε κάθε χώρα να χάσουν τον ύπνο τους, καθώς ο ιός αυτός απέδειξε πως δεν ήταν έτοιμες να αντιμετωπίσουν μία παρόμοια απειλή. Φυσικά βάσει διαφόρων ειδικών οι έρευνες δείχνουν ότι πίσω από όλα αυτά κρύβεται η Βόρεια Κορέα.
Γράφει ο Γιάννης Κουτρουμπής
Η μεγάλη επίθεση που έγινε μέσα στο προηγούμενο σαββατοκύριακο έδειξε πως έχουμε ακόμα πολλά να μάθουμε σχετικά με τα είδη του πολέμου και τις απώλειες που μπορούν να προκαλέσουν. Όσο προχωρά η τεχνολογία, τόσο και θα πρέπει να φτιαχτούν οι ανάλογες δομές στα κράτη για να προστατεύσουν όχι τα άτομα, αλλά τις απόρρητες πληροφορίες που μπορεί τα κράτη και οι υπηρεσίες να έχουν στην κατοχή τους.
Ενδεικτικό παράδειγμα του ότι βρισκόμαστε στην αυγή ενός νέου πολέμου μεταξύ των κρατών του κυβερνοπολέμου είναι η πρόσφατη επίθεση που στόχευε συγκεκριμένες κρατικές υπηρεσίες σε κράτη με σημαντική παρουσία στο διεθνές σύστημα ή σε χώρες δορυφόρους της παραπάνω κατηγορίας κρατών.
Φυσικά το είδος του πολέμου αυτού δεν προέκυψε μόλις τώρα, αλλά έχει κάνει την εμφάνιση του εδώ και πολλά χρόνια, καθώς όλα τα κράτη ανεξαρτήτως μεγέθους και ισχύος αντιμετωπίζουν σε συχνά χρονικά διαστήματα επιθέσεις από χάκερ με μόνο στόχο την συλλογή συγκεκριμένων πληροφοριών.
Σε ότι αφορά την κυβερνοεπίθεση, ο ιός που κατάφερε να χτυπήσει τις κρατικές υπηρεσίες 74 χωρών είναι ο WanaCryptor 2.0, ο οποίος εκμεταλλεύεται ένα κενό ασφαλείας παλαιότερων εκδόσεων των Windows, γνωστό και ως EternalBlue, λόγος που τον κάνει εξαιρετικά επικίνδυνο. Θύματα της κυβερνοεπίθεσης πάνω από 200.00 υπολογιστές, σε τουλάχιστον 150 χώρες σε όλο τον κόσμο.
Ο WannaCry είναι μία ιδιαίτερα επικίνδυνη μορφή ransomware, ένας τύπος κακόβουλου ιού που κρυπτογραφεί αρχεία στον υπολογιστή του θύματος και στη συνέχεια απαιτεί την καταβολή λύτρων ώστε να αποδεσμεύσει τις «κλειδωμένες» πληροφορίες.
Σύμφωνα με εκτιμήσεις του Λευκού Οίκου, έως τώρα οι δράστες έχουν αποκομίσει λιγότερα από 70.000 δολάρια σε λύτρα. Το κακόβουλο αυτό λογισμικό κλειδώνει τα αρχεία των χρηστών και τους αναγκάζει να πληρώσουν ένα ποσό σε bitcoin, ίσο με 300 δολάρια (275 ευρώ), προκειμένου να ξεκλειδώσει τα αρχεία
Η επίθεση προκάλεσε σοβαρά προβλήματα μεταξύ άλλων στη λειτουργία βρετανικών νοσοκομείων, της γαλλικής αυτοκινητοβιομηχανίας Renault, της αμερικανικής εταιρείας FedEx, της ισπανικής εταιρείας τηλεπικοινωνιών Telefonica. Η εταιρεία τηλεπικοινωνιών Telefonica ήταν μεταξύ των κύριων στόχων στην Ισπανία, αν και ανακοίνωσε πως η επίθεση περιορίσθηκε σε μερικούς ηλεκτρονικούς υπολογιστές σ’ ένα εσωτερικό δίκτυο και δεν επηρέασε πελάτες ή υπηρεσίες.
Οι Portugal Telecom και Telefonica Argentina ανακοίνωσαν επίσης πως έγιναν αμφότερες στόχοι. Ιδιωτικές εταιρείες ασφαλείας ταυτοποίησαν τον ransomware ως μια νέα εκδοχή του «WannaCry» που έχει την ικανότητα να διαδίδεται αυτομάτως σε εκτεταμένα δίκτυα εκμεταλλευόμενος έναν γνωστό σφάλμα στο λειτουργικό σύστημα των Windows της Microsoft.
Μόνο ένας μικρός αριθμός οργανισμών με έδρα τις ΗΠΑ επλήγη επειδή οι χάκερ φάνηκε πως άρχισαν την εκστρατεία τους βάζοντας στόχο οργανισμους στην Ευρώπη. Μέχρι να στρέψουν την προσοχή τους στις ΗΠΑ, φίλτρα spam είχαν εντοπίσει τη νέα απειλή και επισήμαιναν ως κακόβουλα τα email με τον ιό ransomware.
Την λύση στον ιό έδωσε ένας 22χρονος Βρετανός, ο οποίος κατάφερε ανακαλύψει έναν τρόπο για να περιορίσει το εύρος της επίθεσης η οποία επηρέασε τουλάχιστον 100 χώρες και προκάλεσε σοβαρά προβλήματα στη λειτουργία δεκάδων επιχειρήσεων και οργανισμών. Ο νεαρός επιστήμονας κατάφερε να βρει τον τρόπο να αντεπιτεθεί στον βρίσκοντας κι αγοράζοντας το όνομα ενός πεδίου (domain) έναντι λίγων δολαρίων.
«Καμπανάκι» για εταιρίες και κυβερνήσεις ο WannaCry
Όπως είναι φυσικό ο ιός αυτός που έγινε η αιτία να ξεκινήσει ένας ολόκληρος κυβερνοπόλεμος με πολλούς μεγάλους επιχειρηματικούς ομίλους να πλήττονται χτύπησε συναγερμός στις εταιρείες, αλλά και στις κυβερνήσεις των χωρών που επλήγησαν προκειμένου να πάρουν μέτρα για την αποτροπή τέτοιων επιθέσεων.
Ο κακόβουλος κώδικας, ο οποίος μεταδόθηκε ραγδαία σε όλο τον κόσμο, εκμεταλλεύτηκε ένα ελάττωμα λογισμικού που χρησιμοποιείται ευρέως, σε αυτή την περίπτωση, του λειτουργικού συστήματος Windows. «Σκουλήκια» (computer worms) σαν αυτό, τράβηξαν για πρώτη φορά την προσοχή σε ευπάθειες στην σύνδεση με το ίντερνετ, σχεδόν πριν από δύο δεκαετίες.
Η εξάπλωση του WannaCry ξεχώρισε από προηγούμενες επιθέσεις λόγω της ταχύτητας με την οποία πραγματοποιήθηκε και του τρόπου με τον οποίο χρησιμοποιήθηκε ο κώδικας για να «κλειδώσει» τους υπολογιστές μέχρι να πληρώσουν οι χρήστες τους τα λύτρα. Πρόκειται για «καμπανάκι», σε μια περίοδο κατά την οποία η μάχη για την κυβερνοασφάλεια ήδη έδειχνε να κινδυνεύει.
Ενδεικτικό του ότι τα συστήματα όλων των υπολογιστών πρέπει να ενημερώνονται τακτικά είναι ότι από τον ιό γλύτωσαν τα Windows 10, τα οποία, δεν ήταν ευάλωτα στο ransomware και αυτό γενικά θεωρείται μεγάλο βήμα μπροστά στην ασφάλεια -αλλά θα περάσουν πολλές γενιές μέχρι να αποσυρθεί το παλαιότερο λογισμικό. Πιο ισχυρά κίνητρα είναι απαραίτητα για να αντικατασταθούν και όχι να «μπαλωθούν» τα ξεπερασμένα κομμάτια κώδικα, όπως των Windows XP.
Ισχυρότεροι κανόνες είναι απαραίτητοι, ώστε να αναγκάζουν τις εταιρίες να αποκαλύπτουν όταν έχουν υποκύψει σε κυβερνοεπίθεση, αλλά και ποινές μπορεί να χρειαστούν για να μας ενθαρρύνουν όλους να γίνουμε καλύτεροι «κυβερνοπολίτες». Πολλά ψηφιακά εξαρτήματα -όπως οι μαγνητικοί τομογράφοι που χρησιμοποιούνται από το βρετανικό Εθνικό Σύστημα Υγείας, οι οποίοι «τρέχουν» με Windows XP- δεν μπορούν να αναβαθμιστούν τόσο γρήγορα όσο ένας προσωπικός υπολογιστής.
Η σοβαρότητα της επίθεσης της προηγούμενης εβδομάδας δείχνει ότι μια συντονισμένη προσπάθεια έχει ήδη καθυστερήσει. Θυμίζει το millennium bug, άλλη μια σοβαρή απειλή που έφερε αναγκαστικά μια αναμόρφωση σε πολλά υπολογιστικά συστήματα στα τέλη της δεκαετίας του 1990. Η σημερινή κρίση κυβερνοασφάλειας αρχίζει να φαίνεται αντίστοιχα σοβαρή και απαιτεί μια εξίσου σαρωτική απάντηση. Κυβερνήσεις και εταιρίες εξίσου, πρέπει να επενδύσουν το χρόνο και το χρήμα για να δώσουν λύση σε αυτό το νέο είδος πολέμου.
Τα αποτυπώματα του Wannacry δείχνουν… Κιμ
Πολλοί ειδικοί και εταιρείες ασφαλείας που ερευνούν την υπόθεση του κυβερνοπολέμου και του ιού που τον προκάλεσε έχουν αδιάσειστα στοιχεία πως πίσω από την επίθεση κρύβεται η ομάδα χάκερς με την επωνυμία “Lazarus”, που έχει στενές σχέσεις με την Πιονγιάνγκ. Οι ίδιοι, ισχυρίζονται πως υπάρχουν αρκετές ομοιότητες μεταξύ του κώδικα των Lazarus και του λογισμικού WannaCry – που «κλείδωσε» 300.000 υπολογιστές παγκοσμίως.
Φυσικά η ομάδα χάκερ Lazarus δεν είναι καινούρια, καθώς εμφανίστηκε για πρώτη φορά όταν προκάλεσε πανωλεθρία στη Sony Pictures το 2014, σε κυβερνοεπίθεση με φερόμενο κίνητρο να αποτρέψουν την προβολή της ταινίας «The Interview», που διακωμωδούσε τον ηγέτη της Βόρειας Κορέας, Κιμ Γιονγκ-ουν. Ακολούθησε κυβερνοεπίθεση με λεία 94 εκατομμύρια δολάρια, το 2016 σε μεγάλη τράπεζα του Μπαγκλαντές.
Κατά την κορύφωση της κυβερνοεπίθεσης οι ειδικοί μιλούσαν πάντως για εργαλείο παραβίασης που χρησιμοποιούσε στο παρελθόν η αμερικανική Υπηρεσία Εθνικής Ασφαλείας (NSA) και λογισμικό που είχε διαρρεύσει στην ομάδα χάκερ Shadow Brokers. Πέρα από την Sony, ίχνη της Lazarus έχουν επίσης εντοπιστεί στα χτυπήματα κατά της Κεντρικής Τράπεζας του Μπαγκλαντές πέρυσι και εναντίον πολωνικών τραπεζών τους τελευταίους μήνες.
Η σύνδεση έγινε όταν τη Δευτέρα 15 Μαΐου, ένας ερευνητής ασφάλειας της Google δημοσίευσε ένα κομμάτι του κώδικα του ιού στο Twitter που ενδεχομένως δείχνει μια σύνδεση μεταξύ των επιθέσεων ransomware του WannaCry, που έπληξαν πρόσφατα χιλιάδες οργανισμούς και ιδιωτικούς χρήστες σε όλο τον κόσμο, και του κακόβουλου λογισμικού που αποδόθηκε στη διαβόητη ομάδα χάκερ Lazarus, υπεύθυνη για μια σειρά καταστροφικών επιθέσεων εναντίον κυβερνητικών οργανισμών, μέσων ενημέρωσης και χρηματοπιστωτικών ιδρυμάτων.
Η ανάλυση του δείγματος του Φεβρουαρίου και η σύγκριση με τα δείγματα του WannaCry που χρησιμοποιήθηκαν στις πρόσφατες επιθέσεις δείχνουν ότι ο κώδικας που υποδεικνύει την ομάδα Lazarus αφαιρέθηκε από το κακόβουλο λογισμικό WannaCry που χρησιμοποιήθηκε στις επιθέσεις που ξεκίνησαν την περασμένη Παρασκευή. Αυτή μπορεί να είναι μια προσπάθεια κάλυψης ιχνών των διαχειριστών της εκστρατείας WannaCry.
Αν και αυτή η ομοιότητα από μόνη της δεν επιτρέπει την απόδειξη μιας ισχυρής σχέσης μεταξύ του ransomware WannaCry και της ομάδας Lazarus, μπορεί μελλοντικά να οδηγήσει σε νέες αποδείξεις που θα ρίξουν φως στην προέλευση του WannaCry, η οποία μέχρι στιγμής παραμένει μυστήριο.
Η εγκληματική ομάδα εδώ και χρόνια συλλέγει και καταστρέφει δεδομένα από ΜΜΕ, χρηματοοικονομικούς οργανισμούς και επιχειρήσεις. Παραμένει, ωστόσο, ασαφές ποιοι κρύβονται πίσω από την ομάδα Lazarus, αν και οι αμερικανικές μυστικές υπηρεσίες έχουν ενδείξεις ότι εντολοδόχος τους είναι η Πιονγιάνγκ.
Οι Shadow Brokers ετοιμάζουν νέα επίθεση
Σύμφωνα μάλιστα με τελευταίες πληροφορίες οι Shadow Brokers, η ομάδα χάκερς που ισχυρίζεται ότι τα δεδομένα που έκανε διαθέσιμα χρησιμοποιήθηκαν για την επίθεση του WannaCry, απειλεί ότι σκοπεύει να διαρρεύσει ένα νέο πακέτο εργαλείων hacking, τα οποία, όπως υποστηρίζουν έχουν κλέψει από την αμερικανική Υπηρεσία Εθνικής Ασφάλειας (NSA).
Η απειλή αυτή πρόκειται βάσει των ισχυρισμών των χάκερ να έχουν ως επόμενο πιθανός στόχο τα Windows 10 της Microsoft, τα οποία δεν επηρεάστηκαν από την αρχική επίθεση. Αξίζει να σημειωθεί ότι το συγκεκριμένο λειτουργικό σύστημα έχει ενσωματωθεί σε τουλάχιστον 500 εκατομμύρια ηλεκτρονικούς υπολογιστές σε ολόκληρο τον κόσμο.
Η ομάδα υποστηρίζει ότι διαθέτει ακόμα περισσότερους από τους λεγόμενους Ops Disks, τους οποίους έχουν κλέψει από την NSA. Ισχυρίζονται επίσης ότι έχουν επίγνωση για ευπάθειες σε προγράμματα περιήγησης στο Διαδίκτυο, σε routers, smartphones καθώς και «δεδομένα δικτύου από ρωσικά, κινεζικά, ιρανικά και βορειοκορεάτικα πυρηνικά και πυραυλικά προγράμματα».
Στην ανάρτηση η ομάδα αναφέρει ότι «τον Ιούνιο οι ShadowBrokers θα ανακοινώσουν την υπηρεσία ‘TheShadowBrokers Data Dump of the Month’, το οποίο θα είναι ένα νέο μοντέλο μηνιαίας συνδρομής. Κάθε μήνα οι άνθρωποι θα μπορούν να πληρώνουν μηνιαία συνδρομή και μόνο τα μέλη θα παίρνουν τα δεδομένα, κάθε μήνα. Το τι θα κάνουν μετά με αυτά, εξαρτάται από τα μέλη».