Verizon je krajem prošle godine objavio svoj prvi Izvještaj o cyber špijunaži, kojim se analiziraju hakerski napadi na različite industrije, kao i motivacija napadača. Rezultat je to sedmogodišnjeg istraživanja i vodič je za sigurnosne stručnjake koji žele poboljšati odbranu svojih organizacija i kompanija. U nastavku pišemo o nekim od najzanimljivijih saznanja
Piše: Senad Matić Karić
E-mail: redakcija@asadria.com
Cyber špijunaža nije nešto o čemu mediji svakodnevno pišu i izvještavaju, a ipak je riječ o jednom od najznačajnijih segmenata IT sigurnosti u svijetu. Kompleksne i dugotrajne špijunske kampanje usmjerene na krađu industrijskih i vojnih podataka često sponzorišu države i samim time mogu u budućnosti izazvati ozbiljne političke krize. Jedan od najupečatljivijih primjera cyber špijunaže odnosi se na krađu podataka o američkim vojnim tehnologijama koja je otkrivena 2009. godine.
Tajne aviona
Naime, i dalje nepoznata hakerska grupa ukrala je nekoliko terabajta podataka o projektu koji je poslije postao borbeni avion F-35, a neke od kompromitovanih tehnologija – koje su se uglavnom odnosile na elektronske komponente – pojavile su se u novijim kineskim borbenim avionima. Posljedice ove kampanje ublažene su činjenicom da su se podaci o najosjetljivijim tehnologijama vezanim za F-35 projekat nalazili na računarima koji nisu bili povezani s internetom.
Zahvaljujući tome što su žrtve cyber špijunaže uglavnom veće organizacije, institucije i kompanije u kojima sveobuhvatna računarska sigurnost nije stran koncept, alati i tehnike koje koriste napadači znatno su napredniji od onih koji se koriste u manjim i češćim hakerskim napadima. Također, za razliku od brojnih cyber sigurnosnih incidenata o kojima svakodnevno čitamo, krajnji cilj cyber špijuna jeste da neopaženo obave zadatak i po mogućnosti ne ostave tragove. Kako bi špijunska kampanja bila uspješna, napadači moraju sakriti kakve su podatke prikupljali i iz kojeg razloga. Pored država koje cyber špijunske kampanje sponzorišu kako bi se dočepale podataka o vojnim tehnologijama drugih zemalja, drugi bitan segment cyber špijunaže je industrijska špijunaža između konkurentnih kompanija.
Metode cyber špijuna
Organizacije i pojedinci koji žele na skriven način doći do industrijskih i državnih podataka koriste sljedeće metode:
Društveni inžinjering, pri čemu napadači koriste phishing metode pri “obrađivanju” meta. Naime, cyber špijunske kampanje obično se provode dugo, ponekad i više godina, tako da je skrivanje napadača u njima od ključne važnosti. Stoga uglavnom ne koriste vanjske alate, nego se služe internim alatima i komunikacijskim platformama same organizacije ili kompanije koju napadaju. Cilj je da kampanja bude što neinvazivnija, a da komunikacija sa zaposlenicima teče tako da oni ništa ne posumnjaju. Nakon što phishingom i društvenim inžinjeringom ostvare pristup rijetko korištenom profilu s administratorskim ovlastima, napadači mogu glumiti zaposlenike kompanije te na taj način neopaženo izvući velike količine podataka. Prema Verizonovom izvještaju, u 69 posto slučajeva potrebni su mjeseci ili čak godine da se ovakvi napadi otkriju, a obično ih i ne otkrije kompanija koja je napadnuta, nego druge organizacije.
Hakiranje sistema i mreža, korištenjem backdoor sigurnosnih propusta i funkcija s ciljem ostvarivanja pristupa serverima, akreditivima i platformama ciljanih organizacija.
Korištenje zlonamjernog softvera, naprimjer trojanaca pomoću kojih napadači u nekim slučajevima mogu ubrzati i proširiti sposobnost krađe podataka. Jedan od primjera je Daserf trojanac otkriven 2011. godine, koji koristi cyber špijunska grupa poznata po imenima Tick, REDBALDKNIGHT ili BRONZE BUTLER, a za koju se pretpostavlja da je iz Kine. Naime, ova grupa obično je koristila Daserf za prikupljanje podataka od japanskih organizacija i institucija u oblasti vojne tehnologije, biotehnologije, hemijske industrije i proizvodnje elektronskih komponenti. Ovaj trojanac omogućava izvršavanje komandi, skidanje i slanje podataka te je u stanju zaobilaziti firewall zaštitu, hvatati screenshotove i bilježiti znakove otkucane na tastaturi. Na računare Daserf obično dospijeva preko attachmenta u okviru inicijalnih phishing kampanja. Da bude još gore, napadači redovno nadograđuju ovaj alat kako bi ga bilo teže detektovati.
Usavršavanje tehnika
Napadači u oblasti cyber špijunaže i inače – ne samo kada su u pitanju Daserf i slični alati – stalno usavršavaju tehnike društvenog inžinjeringa, procedure i programe te pokušavaju koristiti najnovije tehnologije i propuste. Naprimjer, u novije vrijeme je zbog učestalosti rada od kuće usljed pandemije koronavirusa upotreba phishinga porasla i postala najkorištenija metoda u cyber špijunskim kampanjama, dok je prije nekoliko godina to bilo korištenje backdoor propusta. U skladu s time, porasla je i upotreba trojanskog softvera za udaljeni pristup, koji se na korporativne računare obično instalira preko kompromitovanog attachmenta, igre ili nekog drugog softvera.
Najčešće mete cyber špijunaže
Verizon je u istraživanju otkrio da su cyber špijunažom najčešće pogođeni sektori edukacije, finansija, informativni sektor, fabričke proizvodnje, rudarstva, profesionalnih usluga i javni sektor. Što se tiče najzahvaćenijih regiona, cyber špijunske kampanje najčešće se provode u Azijsko-pacifičkoj regiji, na koji otpada 42 posto od svih potvrđenih kampanja, dok područje Evrope, Bliskog Istoka i Azije slijedi sa 34 posto, te je sjevernoameričko tržište na kraju s udjelom od 23 posto. Da bude interesantnije, situacija je potpuno obrnuta kada je u pitanju ukupni broj generalnih hakerskih napada – Sjeverna Amerika uvjerljivo predvodi s udjelom od 65 posto, dok na napade u Azijsko-pacifičkoj regiji otpada samo 17 posto. Vrlo zanimljiv podatak je to da se, među industrijama i sektorima najviše zahvaćenim cyber špijunskim kampanjama, javni sektor ističe kao najčešća meta s udjelom od 31 posto od ukupnog broja kampanja, dok fabrička proizvodnja slijedi s tek 21 posto. Međutim, kao što smo ranije spomenuli, u pitanju su samo informacije o potvrđenim cyber špijunskim kampanjama; možemo pretpostaviti da većina njih ili nije otkrivena ili ne postoji interes za njihovim javnim razotkrivanjem u slučaju da jesu detektovane u ciljanim organizacijama i institucijama. Među najmanje popularnim metama računarske špijunaže nalaze se maloprodaja, prijevozna industrija, zdravstvo, rudarstvo, edukacija i finansijske organizacije.
Dugo vrijeme otkrivanja cyber špijunskih kampanja
Još jedna zanimljiva stvar kojom se Verizonov izvještaj o stanju u oblasti cyber špijunaže pozabavio jeste vrijeme koje je potrebno napadačima da se uspješno “ugrade” u organizaciju i počnu vaditi podatke iz nje. Naime, tek nakon uvida u te podatke postaje jasno koliko su, zapravo, napadači napredniji od stručnjaka za IT sigurnost, te da je potrebno još dosta ulaganja i kreativnog menadžmenta rizika da bi se kompanije mogle uspješno braniti od takvih napada.
Naprimjer, vrijeme potrebno za upad u sisteme organizacije za ogromnu većinu cyber špijunskih kampanja (91 posto) kreće se od nekoliko sekundi do nekoliko dana. Vrijeme koje je potrebno da napadači počnu izvlačiti podatke iz organizacije kreće se od nekoliko minuta do nekoliko sedmica. Nasuprot tome, da bi otkrili te špijunske kampanje, sigurnosnim stručnjacima su – kako smo već spomenuli – potrebni mjeseci ili čak godine, dok su im za potpuno eliminisanje prijetnji i blokiranje već detektovanih kampanja potrebni sati ili čitave sedmice. U usporedbi sa cyber špijunskim kampanjama, generalni napadi usmjereni na zaposlenike i korisničke podatke daleko su brži – napadačima je u tim slučajevima često potrebno svega nekoliko sekundi ili minuta da uspješno izvedu napad i počnu krasti željene podatke.
Metodični pristup koji cyber špijuni imaju pri krađi podataka od institucija i organizacija u velikom je kontrastu u odnosu na nespretnu, neefikasnu i sporu reakciju stručnjaka za cyber sigurnost. U čitavoj toj situaciji jasno je da su napadači mnogo strpljivija strana, spremna da odradi sve što je potrebno da u potpunosti razumije i analizira industrijsko okruženje u kojem će provoditi napade.
Preduslov za sigurnost
Stručnjaci naglašavaju da je preduslov za adekvatnu zaštitu korporativnih informacija prije svega identifikovanje vrijedne digitalne imovine i podataka koji bi mogli biti interesantni napadačima prije nego što sami napadači to urade. Naime, tek kada se sve nepoznanice te vrste ispravno definišu, moguće je osmisliti ispravnu strategiju cyber odbrane. Stoga je potrebno da menadžeri za upravljanje rizikom prioritetiziraju rizike, procijene štetu koja bi mogla biti nanesena kompaniji ukoliko dođe do napada, a intelektualno vlasništvo klasifikuju s aspekta povjerljivosti, integriteta i dostupnosti. Danas je od ključne važnosti to da organizacije na raspolaganju imaju najnovije i najnaprednije platforme za IT sigurnost koje će koristiti AI za detektovanje sumnjivih aktivnosti. Usljed toga, jasno je da će rasti i potražnja za sigurnosnim stručnjacima koji mogu ispravno tumačiti takve informacije.
Udio cyber špijunaže u ukupnom broju napada
Prema informacijama koje je prikupio Verizon, na cyber špijunske kampanje otpada samo 10 posto od ukupnog broja hakerskih napada, dok se na uvjerljivom prvom mjestu s udjelom od 27 posto nalaze web-aplikacije. Međutim, to su samo potvrđeni napadi. S obzirom na to da su cyber špijunski napadi prilično teški za otkriti, vjerovatno je njihov broj mnogo veći. Osim toga, cilj većine drugih je krađa podataka korisnika i zaposlenika, dok cyber špijunaža za cilj ima krađu intelektualnog vlasništva, što u pojedinim slučajevima neće rezultirati prijavom napada čak i u slučaju da je on otkriven.
