Lamborghiniji namesto boljšega sveta
Izsiljevalski hekerski napadi se stopnjujejo, končni cilj pa ni več zlom kapitalizma, ampak zaslužek
Izsiljevalski hekerski napadi se stopnjujejo, končni cilj pa ni več zlom kapitalizma, ampak zaslužek.
Sedmega maja je hekerski napad ohromil družbo Colonial Pipeline, ki upravlja istoimenski cevovodni sistem za naftne derivate na jugovzhodu Združenih držav. Čez štiri dni je v regijah, ki jih omrežje pokriva, začelo zmanjkovati goriva in ljudje so panično kupovali zaloge. Preden je po tednu dni naftovod spet deloval, je imelo več kot tisoč črpalk v osemnajstih zveznih državah prazne rezervoarje, cene pa so poletele v nebo.
Nekaj tednov pozneje, 30. maja, je podoben napad ustavil obrate največjega mesnopredelovalnega koncerna na svetu, JBS. To je povzročilo vidna nihanja cen živilskih izdelkov v ZDA. Oba dogodka sta na različne načine prizadela več milijonov Američanov, ki so na svoji koži občutili scenarije, dotlej večinoma rezervirane za pogrošne akcijske ilme. Drago sta jo odnesli tudi prizadeti podjetji: poleg siceršnjih stroškov je JBS hekerjem plačal enajst milijonov dolarjev, Colonial Pipeline pa 4,4 milijona (polovico te odkupnine je FBI sicer uspelo kasneje prestreči). V obeh primerih je šlo namreč za speciično vrsto kibernetskega napada z izsiljevanjem, kjer hekerji podatke žrtve zašifrirajo z zlobno kodo, ki ji pravimo ransomware, in v zameno za njihov odklep terjajo odkupnino. Ker je dandanes upravljanje podjetij in ustanov že docela digitalno, takšna ugrabitev podatkov žrtve povsem omrtvi.
Grda resnica pa je, da so to zgolj zadnje izpostavljene krize v množici podobnih, ki so vse obsežnejše in pogostejše. Leta 2017 so se v novicah začele vsak teden pojavljati ameriške mestne uprave, britanske bolnišnice, avstralske šole in evropski omrežni operaterji, katerih uslužbenci so osupli obsedeli pred zaklenjenimi zasloni, na katerih so se izpisovale zahteve izsiljevalcev. Bolniki so ostali brez oskrbe, občani brez javnih storitev, šolarji brez pouka.
Stanje se le še zaostruje. Po podatkih Check Point Softwara se je število napadov ransomware od lani do danes podvojilo in vsakih nekaj minut je na udaru novo podjetje kjer koli po svetu. Pogajalski posrednik Coveware navaja, da se je povprečna odkupnina njihovih klientov s tisoč dolarjev v letu 2018 dvignila na blizu 250.000 dolarjev.
Analitsko podjetje Cybersecurity Ventures predvideva, da bodo stroški napadov letos znašali dobrih dvajset milijard dolarjev. Posredi je dejstvo, da je tovrstna izsiljevalska dejavnost postala dobro naoljena industrija, ki preinjeno izrablja šibke točke IT-področja.
Zlobnejša koda
Ugrabljanje digitalnih podatkov s šifriranjem je star pojav, saj tovrstne računalniške viruse poznamo že od konca osemdesetih let prejšnjega stoletja. Skozi leta so predstavljali vse večji delež razvpitih trojancev, ki so jih nepazljivi uporabniki sprožili na primer z odpiranjem neznanih priponk v elektronski pošti. Nekdaj je bil njihova šibka točka način plačevanja odkupnine, saj je bilo bančna nakazila razmeroma preprosto ustaviti. To se je spremenilo leta 2013, ko je udaril CryptoLocker, ki je za odklepanje zašifriranih bitov zahteval bitcoine. Kriptovalute so zaradi (delne) anonimnosti transakcij ponudile zelo učinkovit prikrit kanal za tok izsiljenega denarja – in sprožile bliskovit razmah dejavnosti. CryptoLockerju so sledili novi razvpiti člani ransomwara, kot sta WannaCry in Petya. A kljub znatni nevarnosti so še vedno delovali po načelu klasičnih virusov: širili so se samodejno in po žrtvah udrihali precej na slepo. Prizadeti so bili tako podjetja kot uporabniki doma.
V sodobni izsiljevalski industriji gre za povsem nov razred kriminala, pri katerem žrtve niso več naključni nepazljivci, ki klikajo tam, kjer ne bi smeli, temveč so hekerski vdori skrbno ciljani, zahteva po odkupnini pa je zgolj zadnja faza napada. Nepridipravi se ponavadi v omrežju tarče prikrito zadržujejo več tednov, preden sprožijo zaklepanje podatkov in predstavijo svoje zahteve. Tako lahko dodobra raziščejo značilnosti napadenega omrežja in najdejo diske, katerih šifriranje bo »najbolj bolelo«, ter za dobro mero še izklopijo obrambna orodja administratorjev. Tako organizirani vdori otežijo obnavljanje podatkov in podaljšajo čas okrevanja napadenih akterjev, obenem pa zlikovcem ponujajo dodaten vzvod, ki je lani postal že kar stalnica: ne samo da se podatki ugrabijo s šifriranjem, temveč jih napadalci tudi pretočijo k sebi in zagrozijo, da jih bodo prodali na črnem trgu. Zato so odkupnine tako skokovito narasle.
Kriminalni ekosistem
Za opisane širokopotezne vdore sta potrebni kompleksno znanje in napredno napadalno programje, ki sta nemalokrat korak pred tistima zahodnih varnostnih podjetij. Ne enega ne drugega ne bi bilo brez živahnega hekerskega kriminalnega okolja, ki se je razvilo v Rusiji in okolici, od koder prihaja prevladujoč del izsiljevalskih malopridnežev (čeprav niso omejeni na to območje in jih najdemo po vsem svetu).
Zloglasne skupine, kot so REvil, Evil Corp in DarkSide, so zrasle na temelju ohlapne regulacije hekerskih kriminalcev, ki jo določajo ruski organi, saj jih ti radi uporabijo za vohunske naloge proti zahodnim ciljem. Razvpite skupine APT (advanced persistent treat actor), ki so podaljšana kibernapadalna roka ruskih obveščevalcev, se sicer načeloma ne ukvarjajo z izsiljevanjem, temveč predvsem z vohunsko dejavnostjo ter ciljanimi napadi na infrastrukturo. Toda »v prostem času« razvijajo tudi programje za komercialne stranke in urijo podmladek, iz česar se je rodila morbidno navdušujoča industrija ransomware.
Njen poglavitni cilj je zaslužek. Čeprav naj bi bila večina članov Evil Corpa nekdanjih sodelavcev ruske FSB, mirno priznavajo, da »imajo radi lamborghinije«. Ta primarno pridobitveni motiv te hekerje razlikuje od preteklih iz romantičnega obdobja računalništva in je ustvaril dodobra zloščen kriminalni ekosistem z visokimi standardi kakovosti ter skrbno določenimi vlogami. Dobro naoljene tržnice globokega spleta ponujajo široko bero vsakovrstne zlobne kode in podatkov o programskih ranljivostih. Omogočajo celo takšne storitve, kot sta garancija in vračanje denarja v primeru neuspeha. Večje skupine, kot je REvil, lahko na ta način ransomware prodajajo kot storitev in ga oddajajo zunanjim sodelavcem (outsourcing), ki z njihovo programsko opremo nato izvajajo nekatere faze napadov. Tako na primer ena skupina poišče ranljivosti v tarčnem podjetju, informacije preproda drugi, ki izvede uvodni vdor v omrežje, nato pa ta nastavek proda tretji, ki projekt konča z izsiljevanjem.
Luknja pri luknji
Ker je zaslužek poglavitno gonilo zlikovcev, je glavni vzrok za razmah te dejavnosti dejstvo, da preveč žrtev odkupnino tudi plača. Varnostna irma Sophos pravi, da naj bi bilo takšnih četrtina napadenih. Med njimi so celo varnostna podjetja in tista, ki se ukvarjajo z zavarovanji v primeru vdorov. Marca je zavarovalniško podjetje CNA Financial plačalo kar štirideset milijonov dolarjev odkupnine. Takšne vsote neposredno napajajo nadaljnje napade, saj si hekerske skupine s hitrim zaslužkom poleg lamborghinijev privoščijo še boljše napadalno programje in natančnejše informacije o ranljivostih. Za dobro mero pa ustanovijo celo lastne razvojne laboratorije in oddelke za stike z javnostmi ter pomoč strankam na temnem spletu. To ni šala.
Če je bralec dobil občutek, da je to slišati kot boljša storitev od tiste v legalnem IT, se sploh ne moti. Varnostni strokovnjak Kevin Beaumont opozarja, da je dinamika razkrila bolečo resnico: kriminalci so na splošno bolje povezani ter vestnejši od svetovne skupnosti za kibernetsko varnost. Ker je žrtev dovolj, med seboj namreč ne tekmujejo, zato so zelo učinkovito usmerjeni k skupnemu cilju, to je zaslužku z izsiljevanjem, pri čemer si nenehno pomagajo. Po drugi strani varnostna podjetja med seboj tekmujejo za stranke, zato med njimi ni sodelovanja ne pri informacijah o ranljivostih in luknjah v omrežjih ne pri razvoju učinkovitejše programske opreme. Januarja 2019 je izsiljevalski napad LockerGoga prizadel informacijsko podjetje Altran. Dva meseca pozneje je sledil skoraj enak, a še precej odmevnejši napad na podjetje za proizvodnjo aluminija Norsk Hydro – ker so analitiki, ki so poznali podrobnosti prvega napada, te skrivali kot poslovno skrivnost.
Združbe kriminalnih hekerjev izrabljajo dejstvo, da je globalna IT-industrija izjemno razdrobljena in si močno prizadeva nižati stroške. To ima dve pomembni posledici: v kibernetsko varnost se začne izdatno vlagati šele, ko gre kaj narobe, in drugič: uporablja se zelo široka paleta raznolikega programja, kar močno poveča možnost, da bo v nekaterih segmentih omrežja zevala ranljivost.
In to zlikovci kaznujejo s srhljivo hitrostjo. Na predvečer ameriškega dneva neodvisnosti, 2. julija, je skupina REvil sprožila enega svojih najobsežnejših podvigov: z zlorabo ranljivosti v programju irme Kaseya je z ransomwarom napadla skoraj 1500 podjetij hkrati. Ta 0-day (tako označujemo aktivno softversko ranljivost) so v Kaseyi poznali in ga odpravljali, toda REvil jih je prehitel za le nekaj dni.
Boleči ukrepi
Ker je središče industrije ransomware v Rusiji, velik del tarč pa so zahodna podjetja, ima dogajanje že posledice za ameriško-ruske odnose. Predsednika Biden in Putin sta se glede tega že večkrat pogovarjala in po napadu prek Kaseye je Američan tudi prvič zagrozil, da bodo »ZDA stopile v akcijo, če
Rusija ne ukrepa«. Pri tem je imel najverjetneje v mislih neposredne kibernetske napade na kriminalne združbe, saj Rusiji uradno ne more kaj dosti očitati, ker ni dokazov, da bi bile tamkajšnje oblasti v izsiljevalske napade neposredno vpletene. V preteklem tednu je skupina REvil nato nenadoma izginila s spleta in v tem trenutku še ni znano, ali so se potuhnili sami, ali je prišel ukaz od zgoraj, ali pa so bili nemara celo žrtve racije (kar je malo verjetno). Analitiki pa so si edini, da bo Putin situacijo skušal izrabiti sebi v prid in bo v zameno za ustavitev hekerjev od Zahoda zahteval ugodnosti.
Tudi pri drugih ukrepih zoper opisani kriminal so možnosti razmeroma omejene, oziroma bi imele drastične posledice za različne segmente informacijske industrije. Zaradi bistvene vloge kriptovalut v postopkih izsiljevalskih napadov se močno krepijo pozivi, naj se te prepovedo ali bolje regulirajo. Prvi način je malo verjeten. Ne le ker bi z njim izbrisali obstoječi vložek množice ljudi in pod rušo poslali kopico podjetij, kot so kriptomenjalnice, temveč bi bil učinek skoraj gotovo manjši od želenega, saj bi morali to storiti po vsem svetu, sicer bi tuja omrežja blockchain pač prevzela breme inančnih transakcij.
Močnejši nadzor je verjetnejša opcija, toda izvedba bo zahtevna, saj so kriptovalute v osnovi nastale zaradi prizadevanja za deregulacijo. Še največ za zdaj obeta oteževanje pretapljanja kriptokovancev v stvarne valute in preprečevanje pranja denarja. Toda to zahteva tesno mednarodno sodelovanje – in smo spet pri tem, kaj bodo rekli Rusi.
Na kratki rok si verjetno lahko najprej obetamo zavezujoče prepovedi izplačevanja odkupnin in zapovedana razkritja napadov. Mnogo žrtev namreč vdore zamolči, ker je to udarec za njihov ugled. Pa čeprav dajo s tem hekerjem dodaten vzvod za izsiljevanje: plačajte več ali pa še razbobnamo vsemu svetu, da ste podlegli!
Prepoved izplačila bi bila za zlikovce verjetno najbolj boleča, ker bi udarila po bistvu njihovega delovanja – zaslužku. Toda dokler bi obstajale manj odločne države, bi se pač usmerili tja. Obenem določen delež podjetij ne bi preživel. Pri tem obstaja še ena nevarnost: izsiljevalski napadi, katerih tarče so krmilniki industrijskih sistemov. Ko so ugrabljene samo ničle in enice, se še da zavrniti zahteve kriminalcev, pa čeprav s težkim srcem. Ko pa je posredi možnost katastroične okvare elektrarne, smo nenadoma na nevarnejšem teritoriju.
Napad na novo podjetje se zgodi vsakih nekaj minut.
• Prvi kibernetski napadi z izsiljevanjem konec 80. let prejšnjega stoletja.
• Hekerji podatke zašifrirajo z zlobno kodo.
• Razmahnili so se s prihodom kriptovalut, ki onemogočajo sledljivost transakcij.
• Veter v jadra napadom je dejstvo, da vse preveč žrtev plača odkupnino.
Kriminalci so bolje povezani in vestnejši od svetovne skupnosti za kibernetsko varnost. Ker je žrtev dovolj, med seboj namreč ne tekmujejo.
Če gre samo za finančno škodo, podjetje še lahko zavrne izplačilo odkupnine, ko je ogrožena varnost, pa izbire ni več.
Hekerske skupine si poleg lamborghinijev privoščijo še boljše programje in natančnejše informacije pa celo lastne razvojne laboratorije in oddelke za stike z javnostmi ter pomoč strankam.