Célzottabb, lopakodó támadások; minél nagyobb pusztítás - jellemzi a múlt évet a Check Point Research 2019-es jelentése. Akár kiberbűnözők, akár kormányok álltak a háttérben, a támadások célja mindig a kémkedés és haszonszerzés volt. Ráadásul a netes bűnözés demokratizálódásának korát éljük: aki akar, hozzájuthat a neki tetsző rosszindulatú kódokhoz, a Malware-as-a-Service (MaaS) tárt kapukkal várja. A legsérülékenyebb pontoknak, a dolgok internetének, a mobiltechnológiáknak és a felhőknek köszönhetően a védelem könnyebben kap mattot, a támadók pedig zsákszámra vihetik a személyes adatokat.
Világhírű támadások
Fussunk végig röviden a főbb tavalyi incidenseken! Az év elején 534 millió dollárt loptak el Japán legnagyobb kriptovaluta-tőzsdéjéről; több mint 7 millió felhasználó töltötte le a játékokat fertőző AdultSwine malware-t; Atlanta városa egy hétre megbénult a városi rendszerek elleni támadástól (a helyreállítás 2,7 millió dollárba került); két amerikai kereskedőháztól 5 millió hitelkártya adatait nyúlták le; a koppenhágai kerékpárkölcsönző egy hétre leállt a rendszer feltörése miatt. Júniusban törtek be a dél-koreai Coinrail kriptovaluta-tőzsdére, amitől a Bitcoin árfolyama azonnal 10 százalékot zuhant, itt 35 millió dollár értékben tűnhetett el kriptopénz. Szingapúrban júliusban 1,5 millió beteg (köztük a miniszterelnök) adataira tették rá a kezüket a betörők; a British Airways mobilalkalmazásán keresztül 400 ezer utas hitelkártya-adatait csenték el. A Facebookról 30 millió felhasználó telefonszáma és személyes adata szivárgott ki; víz- és csatornaműveket ért támadás az Egyesült Államokban; a Marriott szállodalánc 500 millió ügyfelének adatai kerültek rossz kezekbe; a Los Angeles Times, a Wall Street Journal és a New York Times kiadójánál okoztak csúszást a behatolók.
Nem vesztek ki a hagyományos módszerek sem. Évekkel ezelőtt befoltozott szoftvereken találtak újabb lyukat nem egy esetben; túlterheléses (DDoS) támadás érte a téli olimpiai játékok hivatalos weboldalát, wifi- és televíziós közvetítőrendszerét; az Egyesült Államok legalább két demokrata párti jelöltjének kampányoldalát fektették ki. Adathalászok garázdálkodtak Palesztinában, Észak-Korea saját fejlesztésű antivírusszoftveréről, a SiliVaccine-ről nemcsak az derült ki, hogy a Trend Micro víruskereső motorjának másolatát tartalmazza, hanem az is, hogy furcsa viselkedést mutat az észak-koreai eseményekről tudósító újságírók megcélzott számítógépein. Miután a kémbotrányok miatt elmérgesedett a viszony Oroszország és Nagy-Britannia között, híre kelt, hogy egy, az energiaszolgáltatókat 2012 óta támadó orosz hackercsoport vett célba közműveket a szigetországban. Kínaiak pedig az USA haditengerészetétől lovasítottak meg 64 gigabájt fegyverzeti dokumentációt - és ezek csak a legismertebb esetek.
Ami már biztosan lesz
Idén sem számíthatunk a kriptopénzbányászok tétlenkedésére, jósolja a Check Point Research, ahogy a többi említett támadásforma sem foszlik köddé. Tavaly megtanulták, hogy könnyű lenyúlni mások virtuális pénzét, és ettől vérszemet kaptak. A bányászó algoritmusokat szoftverfrissítésekben is el tudják rejteni, és akár többlépcsős támadásokra is képesek lesznek. Honlapok tízezrei vannak a célkeresztben.
Kártékony kódokkal tavaly minden eddiginél többet kaszáltak a rosszfiúk. Az előző évekhez képest a különbség az, hogy több volt a célzott támadás, ami viszont talán éppen a nagyobb általános éberségnek, készenlétnek köszönhető. Több figyelmet fordítanak a szervezetek a biztonsági mentésre és az olcsón vagy ingyen beszerezhető titkosító algoritmusokra. Cserében a támadók nagyobb összegű vámot vetnek ki a célszemélyre, mint amennyit tömeges méretű akciókkal tudnának kasszírozni. Ráadásul ez a stratégia arra is jó, hogy az incidensek zöme ne jusson el a nyilvánosságig. Éppen ez történt az említett amerikai napilapokkal: a Ryuk ténykedéséről szóló cikkek megjelenését a Ryuk igyekezett megtorpedózni. Ugyanez a csoport állt az észak-karolinai víz- és csatornázási művek ellen indított akció mögött.
Tavaly vált a kiberbűnözők kedvelt játszóterévé a magánfelhő. A rengeteg érzékeny adat és a hatalmas számítási kapacitás mágnesként vonzotta őket. Új megoldásokkal, eszközökkel, fertőzésekkel kellett szembesülnünk. Ezek egy része azonban félrekonfigurálásnak, gyenge házirendnek köszönhető. Ezek miatt szivárgott ki egy fitneszcég milliónyi ügyfelének adata az AWS-ről és az American Express India 700 ezer ügyfelének kártyaadata egy rosszul biztosított MongoDB szerverről. Minél nagyobbra hízik a felhő, annál jobban vonzza a figyelmet, ezért a biztonsági intézkedésekkel sem árt követni a változásokat.
Pillanatnyilag az Apple operációs rendszere számít a legbiztonságosabbnak, de sokan még a beépített többszörös védelmet sem tartják elégségesnek. A felhasználói tábor bővülése miatt a személyes adatok megszerzése egyre édesebb falatnak ígérkezik. Az iOS-t mind több támadás éri, tavaly egyetlen hónap alatt három jelszómegkerülésről szerzett tudomást a Check Point Research, amellyel bármely iPhone modellen tárolt fényképhez és címlistához hozzájuthattak a behatolók. A felhasználó tudomása nélkül meg lehet szerezni az uralmat a telefon felett, amikor azt szinkronizálják a Mac laptopokkal vagy munkaállomásokkal, a FallChill féreg pedig képernyőképeket küld az iPhone-okról.
Nem eléggé óvatosak az Android fejlesztői sem. A hátrahagyott lyukak miatt utólagos védelmi intézkedésekre kényszerülnek a felhasználók.
Ahogy várható volt, lecsaptak az IoT-eszközökre is, kihasználva, hogy sokan meghagyják a gyári beállításokat. A népszerű DJI drónok sebezhetősége miatt az ezek által gyűjtött érzékeny adatok kiszivárgására lehet számítani, azaz kritikus infrastruktúrákat vehetnek célba a behatolók.
Immár nem is próbálják kendőzni aktivitásukat a kormányzati hátterű kibertámadók. Noha nyíltan többnyire nem vállalják fel tetteiket, egyre agresszívabban és provokatívabban lépnek fel. Ukrajnát orosz csoportok vették tűz alá, Észak-Korea a WannaCry vírussal, a SWIFT pénzügyi rendszer és a Sony elleni támadással tette le névjegyét, Irán nemzetközi és belföldi érdekeltségeket bombázott adathalász levelekkel, és a keleti félteke várhatóan idén sem mutat majd kedvesebb arcot.
Az alvilág felosztása
Miután egyre több üzlet, egyre több pénz került fel a világhálóra, a puszta ártó szándékot felváltotta a haszonszerzés mohó vágya. A bűnözők pedig leosztották egymás között a szerepeket. Programozók fejlesztik a kártékony kódokat, kereskedők adják-veszik a lopott adatokat, technikusok üzemeltetik a betöréshez használt IT-infrastruktúrát, hackerek kutatnak sérülékenységek után, az újfajta trükkök kimunkálására csalók szakosodtak, a lopott árut profi hosztolók őrzik, a piramis tetején pedig a mindezt irányító bandavezérek tanyáznak. A sötét weben a fegyverektől a kábítószerig és a MaaS-kódokig szinte minden kapható. A hacker-fórumokon saját fejlesztéseiket népszerűsítik, megbízásokról csevegnek, és tanulnak egymástól. Egy szál magában már nemigen vág bele nagyobb akcióba senki. Falkában támadnak, a hasznot már nem is a vírus vagy féreg kifejlesztője vágja zsebre.
Hiába vadászták le 2017-ben a Hansa Market és az Alpha Bay piactereket, a macska-egér játék nem ért véget; az alvilági szereplők felbukkantak máshol, titkosított csatornákon. Az orosz kötődésű Dark Jobs, Dark Work, Black Market egyenként több ezer, az iráni Amir Hack százezer tagot számlál. De nemcsak tagokat toboroznak, hanem lopott dokumentumokat, bankkártyaadatokat és hacker-készleteket is árulnak, így szinte bárkiből kiberbűnözőt csinálhatnak. Átlagosan 20-50 dollár közötti áron kapható adathalász készlet, de ingyenes is akad. Lehet botnetet bérelni például az eredetileg európai banki ügyfelekre specializált Emotettől, vagy a Ramnittól - mindkettő profilt váltott. A GandCrab az egyik jó példa arra, hogyan profitálhatnak zsarolóprogramból teljesen kezdők is: a fejlesztők a bevétel 40 százalékát kérik, a többit megtarthatja a felhasználó.
Sosem volt még egyszerűbb beszállni az üzletbe: kirúgott alkalmazottból és unatkozó kamaszból egyaránt pillanatok alatt netes zsaroló lehet, és még csak informatikai tudás sem kell hozzá.
2019-ben folytatódik
Ahogy érettebbé válik a kiberbűnözői ipar, a szereplők a haszon maximalizálására törekszenek. A koronaékszereket igyekeznek megkaparintani, az aprópénzért már nem fognak lehajolni. A kriptobányászok rámennek a nagyobb CPU-kapacitásra, a zsarolók ott támadnak, ahol több váltságdíjat szimatolnak. A Check Point elemzői a felhős infrastruktúrák és az IoT-eszközök elleni támadások számának emelkedésére számítanak. A trójai programok, billentyűzetnaplózók és zsarolóprogramok kombinációja olyan eszközt adhat a rosszfiúk kezébe, amellyel az eddigieknél is busásabb bevételre tehetnek szert.
Egyes részlegek, alkalmazottak lesznek célzott támadások áldozatai, postafiókok feltörésével igyekeznek majd eltéríteni a pénzmozgást. Minél fontosabb szerepet tölt be a mesterséges intelligencia és a gépi tanulás, annál vonzóbb célponttá válik. Már eddig is láthattuk, hogy a big data és a közösségi hálók manipulálása választásokat dönthet el, és ez így is marad. Azzal, hogy a vállalatok a felhőbe költöztetik folyamataikat, nem adják át a felelősséget a szolgáltatónak, adataikra továbbra is nekik kell vigyázniuk, és a jó oldalon is vannak erős fegyverek, figyelmeztet a jelentés.