Με την πάροδο των χρόνων εμφανίζονται όλο και περισσότερες αλλά και πιο προηγμένες απειλές στον κυβερνοχώρο. Πολλές φορές κρατικοί χάκερς πραγματοποιούν κυβερνοεπιθέσεις, με απώτερο στόχο το κέρδος των χωρών τους. Πού εστιάζουν όμως περισσότερο κατά τις επιθέσεις τους; Πλέον, οι κρατικοί χάκερς επικεντρώνονται περισσότερο στην κλοπή credentials παρά στην κλοπή χρημάτων. Γιατί όμως συμβαίνει αυτό;
Μιλώντας σε μια virtual ενημέρωση, ο Jens Monrad, επικεφαλής του Mandiant Threat Intelligence EMEA στην FireEye, επικεντρώθηκε σε επιθέσεις που πραγματοποιούνται από τη Ρωσία, το Ιράν και την Κίνα, καθώς και στις διάφορες δραστηριότητές αυτών των χωρών. Ο Monrad ανέφερε πως οι επιθέσεις πραγματοποιούνται εύκολα λόγω του κοινού ψηφιακού αποτυπώματος του χρήστη, το οποίο μπορεί να επιτρέψει σε έναν εισβολέα να αποσπάσει αντικείμενα τα οποία σχετίζονται με το θύμα και να τα χρησιμοποιήσει σε ένα σενάριο social engineering.
Εξήγησε, ακόμη, πως η ανίχνευση malware από την FireEye εστιάζει στην κλοπή credentials και την κλοπή πληροφοριών, ανεξάρτητα από το ποιο μπορεί να είναι το κίνητρο μιας επίθεσης – εάν κάποιος μπορέσει να κλέψει ή να αγοράσει κλεμμένα credentials – θα κάνει “λιγότερο θόρυβο” κατά την επιχείρησή του. Τα credentials μπορεί να διαφέρουν – από οτιδήποτε απαιτεί username και κωδικό πρόσβασης, μέχρι βάσεις δεδομένων ή πρόσβαση σε cloud περιβάλλοντα.
Ο Monrad επεσήμανε επίσης πως από την οπτική του κυβερνοεγκλήματος ή ακόμη και ως μέρος της εκστρατείας του κράτους-έθνους, η αγορά αυτών των credentials μπορεί να δώσει σε κάποιον τη δυνατότητα να εισβάλλει αθόρυβα σε ένα σύστημα. Εάν πρόκειται για έναν κυβερνοεγκληματία που αναπτύσσει ransomware μετά από μία παραβίαση, αυτό θα του διασφαλίσει την επιτυχία των εισβολών του.
Αυτός ακριβώς είναι ο λόγος που η Mandiant επικεντρώνεται στην κλοπή credentials, καθώς θεωρεί πρόκληση για τους οργανισμούς να ελέγχουν τα credentials τους, να παρακολουθούν τα κλεμμένα credentials και να διασφαλίζουν ότι χρησιμοποιούν την καλύτερη καθοδήγηση σχετικά με τους κωδικούς πρόσβασης και την επιβολή του MFA.
Επιπλέον, σε ερώτηση σχετικά με το εάν η έρευνα της εταιρείας είχε λάβει υπόψη τα κράτη που στοχεύουν απευθείας στην κλοπή χρημάτων κατά τις κυβερνοεπιθέσεις τους, όπως η Βόρεια Κορέα, ο Monrad παραδέχτηκε ότι όπου εμπλέκεται η Βόρεια Κορέα, στόχος είναι το άμεσο χρηματικό κέρδος.
Συμπλήρωσε επίσης ότι εξακολουθούν να πραγματοποιούνται καθαρά “οικονομικές επιθέσεις”, ενώ εκτελούνται και πιο τυπικές κυβερνοεπιθέσεις, κατά τις οποίες ο εισβολέας προσπαθεί να κερδίσει μεγάλα χρηματικά ποσά, αλλά το μεγαλύτερο παιχνίδι με την κλοπή credentials είναι πλέον κοινό, και από την οπτική του κυβερνοεγκλήματος, η αξία των επιθέσεων που έχουν στόχο την κλοπή χρημάτων μειώνεται, καθώς περισσότερα κερδίζουν οι κυβερνοεγκληματίες πουλώντας πρόσβαση σε desktop, παρά έχοντας ως στόχο την απευθείας κλοπή χρημάτων.
Τέλος, ο Monrad ανέφερε πως αυτή η αλλαγή της εστίασης των επιθέσεων από την κλοπή χρημάτων στην κλοπή credentials παρατηρείται σε μεγάλο βαθμό, με εξαίρεση την περίπτωση της Βόρειας Κορέας, σημειώνοντας ότι οι χάκερς ενδιαφέρονται περισσότερο να αλληλεπιδράσουν με τα συστήματα και τους μηχανισμούς τραπεζικών μεταφορών, και συγκεκριμένα με το σύστημα SWIFT, για παράδειγμα.
