Συμμορίες ransomware που ζητούν διαδικτυακά λύτρα, επιθέσεις σε κρίσιμα δίκτυα, απάτες μέσω email, κρατικά χρηματοδοτούμενοι κατάσκοποι: οι ομάδες χάκερ εμφανίζονται σε όλα τα σχήματα και μεγέθη.
Η πρόσφατη διακοπή παροχής ηλεκτρικού ρεύματος σε Ισπανία και Πορτογαλία – παρότι ακόμα τα αίτια ερευνώνται – έφερε πάλι στο φως τους κινδύνους κυβερνοεπιθέσεων.
Οι πιο επικίνδυνοι χάκερ που δεν έχετε ξανακούσει
Αλλωστε δεν είναι λίγες οι πρόσφατες περιπτώσεις σε Ολλανδία, Εσθονία, ΗΠΑ και Ιράν που συνέβησαν και μάλιστα με σημαντικές επιπτώσεις. Στην Ευρωπαϊκή Ενωση οι κυβερνοεπιθέσεις έχουν διπλασιαστεί τα τελευταία τρία χρόνια. Υπάρχουν πολλές ομάδες κυβερνοπειρατών και υπάρχουν και κάποιες ξεχωριστές, που πραγματικά αξίζει να γνωρίζουμε: Μια ομάδα της Βόρειας Κορέας που ειδικεύεται σε κλοπές κρυπτονομισμάτων.
Gamaredon – Χακάροντας αδιάκοπα την Ουκρανία
Την τελευταία δεκαετία, αυτή η ομάδα χάκερ της ρωσικής FSB – στην οποία συμμετέχουν «προδότες» ουκρανοί αξιωματικοί των υπηρεσιών πληροφοριών – πραγματοποιεί μπαράζ επιθέσεων στην Ουκρανία. Οι ρώσοι κρατικοί χάκερ, ίσως περισσότερο από άλλους, τείνουν να επιδεικνύονται. Η διαβόητη μονάδα Sandworm εντός της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών GRU, για παράδειγμα, έχει προκαλέσει πρωτοφανείς διακοπές ρεύματος και έχει διασπείρει έναν καταστροφικό, αυτοαναπαραγόμενο κώδικα. Η ομάδα Turla της FSB χακάροντας δορυφορικές συνδέσεις έχει κατορθώσει να κλέψει τα δεδομένα των θυμάτων από το Διάστημα. Αλλά μια ομάδα που εργάζεται για λογαριασμό του Κρεμλίνου έχει στόχο κυρίως την Ουκρανία: Armageddon ή Gamaredon. «Είναι η πιο ενεργή ομάδα χάκερ που συνδέεται με το κράτος και επιτίθεται σε ουκρανικούς οργανισμούς, κλέβοντας χιλιάδες αρχεία σε καθημερινή βάση» λέει ο Ρόμπερτ Λιπόφσκι, ερευνητής κακόβουλου λογισμικού στη σλοβακική εταιρεία κυβερνοασφάλειας ESET.
Σύμφωνα με την ουκρανική κυβέρνηση, οι χάκερ της Gamaredon έχουν έδρα την Κριμαία, την ουκρανική χερσόνησο που καταλήφθηκε από τη Ρωσία το 2014. Μερικοί από αυτούς εργάζονταν προηγουμένως για λογαριασμό των υπηρεσιών ασφαλείας της Ουκρανίας πριν αλλάξουν στρατόπεδο. Οι τεχνικές τους, εξηγεί ο Λιπόφσκι, αποτελούνται σχεδόν από σχετικά απλές επιθέσεις spearphishing – αποστολή στα θύματα πλαστογραφημένων μηνυμάτων με συνημμένα που περιείχαν κακόβουλο λογισμικό – καθώς και κακόβουλο κώδικα που μπορεί να μολύνει μονάδες USB και να εξαπλωθεί από μηχάνημα σε μηχάνημα. Στοχεύουν κάθε ουκρανικό οργανισμό – καθώς και συμμάχους της Ουκρανίας στην Ανατολική Ευρώπη – σε καθημερινή βάση. Η Gamaredon έχει αποδειχθεί ένας σοβαρός και συχνά υποτιμημένος αντίπαλος, παρατηρεί ο Τζον Χάλτκιστ, αναλυτής της Google’s Threat Intelligence Group. «Συχνά δεν συνειδητοποιούμε πόσο μεγάλο ρόλο παίζει η επιμονή στις κυβερνοεπιθέσεις. Είναι αμείλικτοι. Και αυτό από μόνο του αποτελεί ένα είδος υπερδύναμης».
TraderTraitor – Ληστείες κρυπτονομισμάτων από τη Βόρεια Κορέα
Στις 21 Φεβρουαρίου, άρχισε να ξετυλίγεται η μεγαλύτερη ληστεία κρυπτονομισμάτων που έγινε ποτέ. Χάκερ απέκτησαν τον έλεγχο ενός πορτοφολιού κρυπτονομισμάτων που ανήκε στο δεύτερο μεγαλύτερο χρηματιστήριο κρυπτονομισμάτων στον κόσμο, το Bybit, και έκλεψαν ψηφιακά tokens αξίας σχεδόν 1,5 δισ. δολαρίων. Γρήγορα μετέτρεψαν τα χρήματα σε δεκάδες πορτοφόλια κρυπτονομισμάτων και υπηρεσίες για να προσπαθήσουν να αποκρύψουν τη δραστηριότητα, πριν αρχίσουν να εξαργυρώνουν τα κλεμμένα χρήματα. Η εντυπωσιακή ψηφιακή επιδρομή είχε όλα τα χαρακτηριστικά μιας από τις ελίτ υποομάδες χάκερ της Βόρειας Κορέας – το FBI απέδωσε την ευθύνη στους βορειοκορεάτες χάκερ γνωστούς ως TraderTraitor. Πριν από τη ληστεία του Bybit, η ομάδα TraderTraitor είχε ήδη συνδεθεί με άλλες κλοπές κρυπτονομισμάτων υψηλού προφίλ και παραβιάσεις λογισμικού αλυσίδας εφοδιασμού.
Οι χάκερ της Βόρειας Κορέας – μαζί με εκείνους από την Κίνα, τη Ρωσία και το Ιράν – θεωρούνται σταθερά ως μια από τις πιο εξελιγμένες και πιο επικίνδυνες κυβερνοαπειλές για τις δυτικές δημοκρατίες. Ενώ όλες αυτές οι χώρες ασχολούνται με κατασκοπεία και κλοπή ευαίσθητων δεδομένων, οι κυβερνοεπιχειρήσεις της Βόρειας Κορέας συνοδεύονται από δικούς τους ξεχωριστούς στόχους: να βοηθήσουν στη χρηματοδότηση των πυρηνικών προγραμμάτων της χώρας του Κιμ Γιονγκ Ουν. Ολο και πιο συχνά, αυτό σημαίνει κλοπή κρυπτονομισμάτων. Σύμφωνα με το FBI, ως μέρος της ομάδας Lazarus, έχουν κλέψει δισεκατομμύρια σε κρυπτονομίσματα από ανταλλακτήρια και εταιρείες σε όλο τον κόσμο. Η TraderTraitor αποτελεί μέρος της ευρύτερης ομάδας Lazarus, η οποία διοικείται από το Reconnaissance General Bureau, την υπηρεσία πληροφοριών της Βόρειας Κορέας. «Χρησιμοποιούν μια ποικιλία δημιουργικών τεχνικών για να μπουν στο blockchain, τα κρυπτονομίσματα, οτιδήποτε έχει να κάνει με πλατφόρμες, φόρουμ συναλλαγών» εξηγεί η Σέροντ ντεΓκρίπο, διευθύντρια στρατηγικής πληροφοριακών απειλών στη Microsoft. «Η TraderTraitor, γνωστή και με το όνομα Jade Sleet, είναι μια από τις πιο εξελιγμένες ομάδες σε αυτό το κλιμάκιο».
Black Basta – Λύτρα και αποκαλύψεις
Η ιεραρχία των συμμοριών ransomware αλλάζει και εξελίσσεται συνεχώς, με τις πιο επιθετικές και απερίσκεπτες ομάδες να αποκομίζουν μεγάλα κέρδη από ευάλωτους στόχους – αλλά συχνά τελικά εξαφανίζονται. Η ρωσόφωνη ομάδα Black Basta είναι το τελευταίο παράδειγμα της τάσης που έχει σταματήσει τους τελευταίους μήνες λόγω των εξουδετερώσεων από τις αρχές επιβολής του νόμου και μιας καταστροφικής διαρροής. Αλλά ύστερα από μερικές ήσυχες εβδομάδες, οι ερευνητές προειδοποιούν ότι, αντί να έχουν πεθάνει και να έχουν εξαφανιστεί, οι εμπλεκόμενοι με την Black Basta θα επανεμφανιστούν σε άλλες κυβερνοεγκληματικές ομάδες – ή ενδεχομένως να έχουν ήδη εμφανιστεί – για να ξεκινήσουν τον κύκλο για άλλη μια φορά.
Από την εμφάνισή της τον Απρίλιο του 2022, η ρωσόφωνη Black Basta έχει κερδίσει εκατοντάδες εκατομμύρια δολάρια από λύτρα σε μια σειρά από εταιρικά θύματα στον τομέα της υγειονομικής περίθαλψης, των κρίσιμων υποδομών και άλλων βιομηχανιών υψηλού διακυβεύματος. Η ομάδα χρησιμοποιεί διπλό εκβιασμό για να πιέσει τους στόχους να πληρώσουν λύτρα – κλέβοντας δεδομένα και απειλώντας να αφήσει να διαρρεύσουν, ενώ παράλληλα κρυπτογραφεί τα συστήματα ενός στόχου για να τον κρατά όμηρο. Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ προειδοποίησε πέρυσι ότι η Black Basta είχε εξαπολύσει μια σειρά από επιθέσεις που στόχευαν περισσότερους από 500 οργανισμούς στη Βόρεια Αμερική, την Ευρώπη και την Αυστραλία.
Τους τελευταίους μήνες η ομάδα φαίνεται να έχει σταματήσει τη λειτουργία της, αλλά οι ερευνητές προειδοποιούν ότι αυτό συμβαίνει συχνά και ήδη υπάρχουν κάποια σημάδια επανεμφάνισης σε συνεργασία με άλλες ομάδες του κυβερνοεγκλήματος. Λόγος της διακοπής φαίνεται να είναι η διεθνής εξάρθρωση του botnet Qakbot το 2023 αλλά και μια σημαντική διαρροή εσωτερικών δεδομένων της ομάδας – αρχεία καταγραφής συνομιλιών και επιχειρησιακές πληροφορίες.
CyberAv3ngers – Ιρανοί χάκερ που χτυπούν δίκτυα ύδρευσης και αερίου
Ο αδιάκοπος κυβερνοπόλεμος μεταξύ Ισραήλ και Ιράν, που ξεκινά από τον ρόλο του Ισραήλ στη δημιουργία και ανάπτυξη του κακόβουλου λογισμικού Stuxnet που σαμποτάρισε το πρόγραμμα πυρηνικών όπλων του Ιράν, είναι, ίσως, η μακροβιότερη σύγκρουση στην εποχή του κρατικά χρηματοδοτούμενου hacking. Αλλά από την τρομοκρατική επίθεση της Χαμάς στις 7 Οκτωβρίου και την εισβολή αντιποίνων του Ισραήλ στη Γάζα, ένας νέος παράγοντας σε αυτή τη σύγκρουση απειλεί όχι μόνο τις ψηφιακές υποδομές στο Ισραήλ, αλλά και τα κρίσιμα συστήματα στις ΗΠΑ και σε όλο τον κόσμο. Η ομάδα γνωστή ως CyberAv3ngers έχει αποδειχθεί, τον τελευταίο ενάμιση χρόνο, ότι είναι ο πιο ενεργός χάκερ της ιρανικής κυβέρνησης και επικεντρώνεται σε βιομηχανικά συστήματα ελέγχου. Οι στόχοι της περιλαμβάνουν δίκτυα ύδρευσης, λυμάτων, πετρελαίου και φυσικού αερίου καθώς και πολλά άλλα είδη κρίσιμων υποδομών. Εναν μήνα μετά την επίθεση της Χαμάς, οι ιρανοί χάκερ απέκτησαν πρόσβαση σε περισσότερες από 100 συσκευές που πωλούνται από την ισραηλινή εταιρεία Unitronics – βιομηχανικά συστήματα ελέγχου που χρησιμοποιούνται συνήθως σε εγκαταστάσεις ύδρευσης και λυμάτων. «Κάθε εξοπλισμός που είναι “κατασκευασμένος στο Ισραήλ” είναι νόμιμος στόχος του CyberAv3ngers!» έγραφε μια ανάρτηση από τον λογαριασμό X της ομάδας. Οι χάκερ στην πραγματικότητα ξαναέγραψαν τη λεγόμενη «λογική της σκάλας» των συσκευών, τον κώδικα που διέπει τη λειτουργικότητά τους. Ως αποτέλεσμα, διακόπηκε η παροχή υπηρεσιών σε πολλές εταιρείες ύδρευσης στο Ισραήλ και την Ιρλανδία αλλά και σε βιομηχανικά συστήματα στις ΗΠΑ. Είναι γνωστή η κόντρα της CyberAv3ngers με μια εξαιρετικά επιθετική ομάδα χάκερ που πιστεύεται ότι εργάζεται για λογαριασμό του ισραηλινού στρατού, την Predatory Sparrow που στοχοποιεί επανειλημμένα ιρανικά συστήματα κρίσιμων υποδομών.
Typhoon Ή APT41 – Το κινεζικό δίκτυο με πολλές ομάδες χάκερ
Καθώς η Κίνα συνεχίζει την ψηφιακή της δράση σε όλο τον κόσμο, οι ερευνητές προειδοποιούν ότι η δραστηριότητα hacking από ομάδες της εξελίσσεται, με μια ταυτόχρονη προσπάθεια να θολώνει η πραγματική ταυτότητα των επιτιθέμενων, καθώς μπερδεύονται τα όρια μεταξύ κυβερνοεγκληματικών και κρατικού. Πέρυσι, αποκαλύψεις συγκλόνισαν την ομοσπονδιακή κυβέρνηση των ΗΠΑ ότι η κινεζική ομάδα hacking γνωστή ως Salt Typhoon είχε παραβιάσει τουλάχιστον εννέα μεγάλες αμερικανικές τηλεπικοινωνιακές εταιρείες. Η επίθεση της ομάδας συνεχίστηκε και φέτος στις ΗΠΑ και σε άλλες χώρες. Εν τω μεταξύ, η ομάδα hacking Volt Typhoon που συνδέεται με το Πεκίνο συνέχισε να επιτίθεται σε κρίσιμες υποδομές και επιχειρήσεις κοινής ωφέλειας των ΗΠΑ σε όλο τον κόσμο. Παράλληλα, η διαβόητη ομάδα χάκερ γνωστή ως Brass Typhoon – που ονομάζεται επίσης APT 41 ή Barium – συνεχίζει να λειτουργεί με στόχευση σε διάφορες χώρες και ιδιαίτερα στην Ταϊβάν, κυρίως στη βιομηχανία ημιαγωγών και στα δίκτυα ηλεκτρικής ενέργειας. Τον τελευταίο χρόνο, η ομάδα έχει θέσει σε κίνδυνο διεθνείς οργανισμούς στους τομείς της τεχνολογίας και της αυτοκινητοβιομηχανίας, των υλικών, της ναυτιλίας και της εφοδιαστικής αλυσίδας και των μέσων ενημέρωσης, χρησιμοποιώντας νέο και εξελιγμένο κακόβουλο λογισμικό σε μια σειρά από συνεχείς εκστρατείες.
Ερευνες δείχνουν ότι η Brass Typhoon είναι ενεργή και σε οικονομικά εγκλήματα που στοχεύουν πλατφόρμες διαδικτυακών τυχερών παιχνιδιών, καθώς και στην κατασκοπεία που στοχεύει εταιρείες παραγωγής και ενέργειας. Η συνεχής δραστηριότητά της είναι παράλληλη με τις πρόσφατες, εντυπωσιακές εκστρατείες των Salt and Volt Typhoon, και η ανάλυση δείχνει όλο και περισσότερο ότι οι κρατικά υποστηριζόμενες επιχειρήσεις hacking της Κίνας πρέπει να εξετάζονται συνολικά, όχι μόνο από την άποψη των μεμονωμένων παραγόντων.
Tριάδα Smishing – Κλοπές με απλά μηνύματα
Οι απάτες ακολουθούν ένα παρόμοιο μοτίβο: Ενημερώνεστε ότι πρέπει να πληρώσετε ένα οφειλόμενο «τέλος διοδίων», διαφορετικά ένα δέμα δεν μπορεί να παραδοθεί σωστά. «Το δέμα της USPS έφτασε στην αποθήκη, αλλά δεν μπόρεσε να παραδοθεί λόγω ελλιπών πληροφοριών διεύθυνσης» αναφέρει το μήνυμα. Ενας σύνδεσμος οδηγεί σε έναν ρεαλιστικό ιστότοπο όπου σας ζητείται να εισαγάγετε περισσότερες λεπτομέρειες και να πραγματοποιήσετε μια μικρή πληρωμή – ενώ στο παρασκήνιο, οι κυβερνοεγκληματίες συλλέγουν τα στοιχεία της πιστωτικής σας κάρτας σε πραγματικό χρόνο. Αυτά τα μηνύματα προέρχονται από ομάδες χαλαρά συνδεδεμένων κυβερνοεγκληματιών: συνδικάτα «smishing».
Τα τελευταία τρία χρόνια, αυτοί οι κινέζοι χάκερ έχουν αναπτύξει και λειτουργήσει την κορυφαία επιχείρηση smishing στον κόσμο, στέλνοντας ανεπιθύμητα μηνύματα σε εκατομμύρια ανθρώπους και πιθανότατα κλέβοντας εκατομμύρια δολάρια. Ο όρος «smishing» είναι ένα μείγμα SMS και email phishing, τα οποία προσπαθούν να ξεγελάσουν τους ανθρώπους ώστε να τους δώσουν προσωπικά στοιχεία. Τα μηνύματα κειμένου, ωστόσο, προσθέτουν ένα επίπεδο επείγοντος και μπορεί να αιφνιδιάσουν ακόμα και τους πιο υποψιασμένους. Τώρα, αυτές οι ομάδες προσαρμόζουν γρήγορα τις μεθόδους τους και επεκτείνουν τις απάτες τους, εξηγεί ο Γκραντ Σμιθ, ιδρυτής της εταιρείας επιθετικής κυβερνοασφάλειας Phantom Security, η οποία πέρυσι χάκαρε μια κινεζική ομάδα χάκερ και αποκάλυψε την εσωτερική λειτουργία της. «Αναπτύσσουν συνεχώς τη μορφή των email, τα ενημερώνουν συνεχώς, τα κάνουν να φαίνονται καλύτερα, πιο ασφαλή». Yπολογίζεται ότι σήμερα υπάρχουν επτά «σημαντικές» ομάδες «ηλεκτρονικού ψαρέματος ως υπηρεσία». «Επιτρέπουν παγκόσμιες εκστρατείες ηλεκτρονικού ψαρέματος (phishing) που βασίζονται σε SMS σε μαζική κλίμακα από τις αρχές του 2023 και μετά», καθώς έχουν χρησιμοποιήσει τα τελευταία χρόνια περισσότερα από 200.000 domains.
