Ροή
«Δεχτήκαμε κυβερνοεπίθεση - Διακόπτουμε τις εργασίες για παν ενδεχόμενο - Λυπούμαστε για την ταλαιπωρία». Αυτό ήταν εν συντομία το μήνυμα που εστάλη στις 4:00 τα ξημερώματα της Δευτέρας 21 Μαρτίου στα μέσα μαζικής ενημέρωσης από τα ΕΛΤΑ, τον δημόσιο οργανισμό που αποτελεί τον καθολικό πάροχο των ταχυδρομικών υπηρεσιών της χώρας και ο οποίος έπεσε θύμα κυβερνοεπίθεσης την προηγούμενη εβδομάδα.
Η απειλή χτύπησε την «πόρτα», ή μάλλον βρήκε την κερκόπορτα των συστημάτων των ΕΛΤΑ, λίγο μετά τις 7:00 το απόγευμα της προηγούμενης Κυριακής (20/03) και σύμφωνα με τις υπάρχουσες πληροφορίες έγινε άμεσα αντιληπτή. Σε αντίθεση με τις παλαιότερες κυβερνοεπιθέσεις σε ελληνικούς οργανισμούς που έχουν δει το φως της δημοσιότητας μάλιστα, δεν είχε ως στόχο να ρίξει προσωρινά την ιστοσελίδα των ΕΛΤΑ ή να προβάλλει μέσω αυτής κάποιο ευφάνταστο μήνυμα. Σύμφωνα με ανεπιβεβαίωτες πληροφορίες, η επίθεση στα ΕΛΤΑ είχε στόχο την καταβολή λύτρων - χωρίς αυτό να σημαίνει ότι ο στόχος επετεύχθη.
Πώς πραγματοποιήθηκε η επίθεση
«Η στοχευμένη κυβερνοεπίθεση που είχε στόχο την κρυπτογράφηση των κρίσιμων συστημάτων για την επιχειρησιακή λειτουργία των ΕΛΤΑ, ξεκίνησε από κακόβουλο λογισμικό μηδενικού χρόνου, το οποίο εγκαταστάθηκε σε σταθμό εργασίας και με την τεχνική https reverse shell συνδέθηκε σε υπολογιστικό σύστημα το οποίο ελεγχόταν από ομάδα κυβερνοεγκληματιών» επεσήμανε χαρακτηριστικά η ανακοίνωση των ΕΛΤΑ. Ενημέρωνε δηλαδή το ελληνικό κοινό, ότι κάποιος χρήστης κατέβασε εν αγνοία του ένα κακόβουλο περιεχόμενο (malware) το οποίο δεν είναι εύκολα ανιχνεύσιμο από παραδοσιακές λύσεις ασφαλείας, αφού οι κακόβουλοι κυβερνοεγκληματίες για τον σκοπό αυτό μεταλλάσσουν συνεχώς τον κώδικα του (zero day). «Αν δεν υπάρχουν εξειδικευμένες λύσεις τα αρχεία αυτά εκτελούνται από τους χρήστες γιατί δεν καταλαβαίνουν την προέλευσή τους, μπορεί να φαίνεται για παράδειγμα ότι λαμβάνουν ένα email από μια ηλεκτρονική διεύθυνση που ήδη επικοινωνούν ή μια προσφορά που φαντάζει πέρα από ενδιαφέρουσα και άκακη» αναφέρει ειδικός ασφαλείας που απασχολείται σε μια από τις μεγαλύτερες εταιρείες cybersecurity, στο insider.gr. Με τον τρόπο αυτό κατάφερε το κακόβουλο λογισμικό να εντρυφήσει στο σύστημα των ΕΛΤΑ - άγνωστο σε τι βαθμό - και να ελέγχεται απομακρυσμένα από ομάδα κυβερνοεγκληματιών.
«Για λόγους πρόληψης και ασφαλείας και μέχρι να ολοκληρωθούν όλες οι επιβεβλημένες ενέργειες αποφασίστηκε η απομόνωση ολόκληρου του Data Center της εταιρείας», γεγονός που προκάλεσε παύση διεκπεραίωσης εργασιών στο μεγαλύτερο μέρος των υπηρεσιών των ΕΛΤΑ, για δύο ημέρες, όχι ωστόσο και της θυγατρικής ΕΛΤΑ courier, τα συστήματα της οποίας φάνηκε να μένουν αλώβητα. Έκτοτε οι υπηρεσίες επανέρχονται σταδιακά. Με στόχο την «επίλυση του τεχνικά δύσκολου προβλήματος» δε, εξετάστηκαν κι εξετάζονται ακόμα, «ένα προς ένα περισσότερα από 2.500 τερματικά συστήματα για λόγους ΙΤ ασφαλείας, ενώ ταυτόχρονα εγκαθίστανται και προγράμματα agents» όπως συνέχιζε η ανακοίνωσή.
Τα ερωτήματα για την συνέχεια
Παρότι φειδωλές, οι μέχρι τώρα πληροφορίες από πλευράς των ΕΛΤΑ, παραπέμπουν στο ότι η κυβερνοεπίθεση είχε την μορφή «ransomware», ένα είδος επίθεσης που αυξάνεται ραγδαία παγκοσμίως. Πίσω από αυτήν μάλιστα, ενδέχεται να κρύβεται η γνωστή «συμμορία» κυβερνοεγκληματιών Vice Society, όπως όπως συμπεραίνει ειδικός της κυβερνοασφάλειας που μίλησε στο insider.gr και επιθυμεί να παραμείνει ανώνυμος. Πρόκειται για μια ομάδα αδίστακτων και πολύ ικανών κυβερνοεγκληματιών, οι οποίοι έχουν στο παρελθόν επιτεθεί και σε άλλες μεγάλες ιδιωτικές και δημόσιες επιχειρήσεις με στόχο τα λύτρα. «Αν οι εικασίες επιβεβαιωθούν, και κρύβονται πράγματι αυτοί πίσω από την επίθεση, η πιθανότητα αποκρυπτογράφησης χωρίς την πληρωμή των λύτρων είναι σχεδόν μηδενική, ενώ δεν αποκλείεται να έχουν ανακτηθεί και δεδομένα του οργανισμού, τα οποία θα μπορούσαν να δημοσιευτούν σε δεύτερη φάση για εκδίκηση. Η μόνη σωτηρία είναι τα Ελληνικά Ταχυδρομεία να είχαν καλά back-ups και να πρόλαβαν την επίθεση» όπως τονίζει. «Ένα άλλο θέμα ωστόσο είναι και το τι γίνεται από εδώ και πέρα, τώρα δηλαδή που δημοσιεύτηκε το γεγονός. Είτε η underground αγορά πιστεύει ότι ο οργανισμός είναι «low hanging fruit», ότι αποτελεί δηλαδή εύκολο στόχο, ειδικά τώρα που όλοι οι πόροι του είναι δεσμευμένοι στο τρέχον περιστατικό, είτε τον αφήνουν ήσυχο διότι θεωρούν ότι είναι σε επαγρύπνηση και ότι θα λάβει άμεσα, σημαντικά και σύγχρονα μέτρα προστασίας».
Το σίγουρο είναι ότι σε επιθέσεις τύπου ransomware, οι κυβερνοεγκληματίες αποκτούν πρόσβαση στα δεδομένα ενός οργανισμού ή μιας επιχείρησης, τα κρυπτογραφούν και στη συνέχεια απαιτούν λύτρα (συνήθως σε μορφή κρυπτονομισμάτων) για να επιστρέψουν τον έλεγχο στον ιδιοκτήτη τους.
Το αν ζητήθηκαν ή όχι λύτρα ακόμα δεν έχει αποσαφηνιστεί, ούτε και το αν ανακτήθηκαν δεδομένα των ΕΛΤΑ από τους κυβερνοεγκληματίες, με πηγές προσκείμενες στην εταιρεία να επισημαίνουν ότι «μέχρι στιγμής δεν έχει διαπιστωθεί κάτι σχετικό». Ακόμα κι αν δεν ζητήθηκαν, ή δεν καταβλήθηκαν λύτρα όμως, η φύση της επίθεσης καθιστά επίπονη, αν όχι επίφοβη, την αποκατάσταση των συστημάτων.
Σύμφωνα με τον κ. Χάρη Ηλιόπουλο, εκ των πιο γνωστών στελεχών στην παγκόσμια αγορά της κυβερνοασφάλειας, με 25ετή εμπειρία στην αντιμετώπιση κυβερνοαπειλών, «το πότε ακριβώς και το πώς έγινε η επίθεση και μέχρι που και σε ποιο βαθμό επεκτάθηκε η πρόσβαση των κυβερνοεγκληματιών, είναι το βασικό ερώτημα που πρέπει να απαντηθεί. Εξίσου βασικό είναι να προσδιοριστεί και από ποιον προήλθε η επίθεση, ούτως ώστε να εκτιμηθούν οι δυνητικοί κίνδυνοι για το μέλλον». Όπως εξηγεί «τέτοιου τύπου επιθέσεις μπορεί να πραγματοποιούνται από κυβερνοεγκληματίες για να κλειδώσουν τα αρχεία κάποιου οργανισμού και να ζητήσουν λύτρα για την ανάκτηση της πρόσβασης» - για να το πούμε απλά για το ξεκλείδωμά τους. Αν οι αρχικές προσπάθειες αποτύχουν αλλά οι κυβερνοεγκληματίες έχουν αποκτήσει πρόσβαση σε δεδομένα πελατών ή συνεργαζόμενων εταιρειών μπορούν σε δεύτερο χρόνο να εκβιάσουν εκ νέου τον οργανισμό, ζητώντας λύτρα για να μην διαρρεύσουν τα δεδομένα αυτά στο διαδίκτυο.
Αυτή βέβαια είναι η μια περίπτωση και οι υποκατηγορίες της. Ένα άλλο ενδεχόμενο είναι η προσβαση να μην πραγματοποιήθηκε από την ομάδα κυβερνοεγκληματιών που στόχευε απευθείας τα Ελληνικά Ταχυδρομεία, αλλά μέσω των λεγόμενων Initial Access Brokers, ένα ανερχόμενο είδος εγκληματιών στον κυβερνοχώρο το οποίο προχωρά στην παραβίαση εταιρικών δικτύων όχι «για ιδία χρήση» αλλά για την πώληση της παράνομης πρόσβασης πια - της κερκόπορτας δηλαδή των συστημάτων - σε άλλους επίδοξους κυβερνοεγκληματίες επισημαίνει ο Χάρης Ηλιόπουλος.
Η πώληση πραγματοποιείται μέσω διαδικτύου και μπορεί να κοστίζει περίπου 7.000 δολάρια ημερησίως, σύμφωνα με εκτίμηση της Digital Shadows. Σύμφωνα με σχετική έρευνα της infosec biz υπάρχουν περίπου 500 τέτοια «markeplaces» μέσω των οποίων πραγματοποιούνται αγοραπωλησίες παράνομης πρόσβασης δικτύων που έχουν χακαριστεί. Παρότι μάλιστα οι αγορές παράνομης πρόσβασης δεν είναι νέες, το τελευταίο διάστημα γνωρίζουν μεγάλη άνοδο, χάρη στην αύξηση της εξ αποστάσεως εργασίας και την «εμπορική επιτυχία» του ransomware. Μόνο το 2020 παρατηρήθηκε αύξηση κατά 700% στον αριθμό των προσπαθειών πρόσβασης μέσω RDP ( πρόσβαση μέσω πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας) οι οποίες τιμολογούνται περίπου 9.800 δολάρια την ημέρα.
Η μάστιγα των επιθέσεων των κρίσιμων υποδομών
Βέβαια δεν είναι μόνο τα χρηματιστήρια παράνομης πρόσβασης που αυξάνουν. Με ταχύτατους ρυθμούς, ίσως ταχύτερους κι από την ίδια την ψηφιοποίηση, δείχνουν να αυξάνουν και οι κυβερνοεπιθέσεις στο σύνολό τους. Τον τελευταίο χρόνο δε, φαίνεται οι κυβερνοεγκληματίες να στρέφουν όλο και περισσότερο το βλέμμα τους σε κρίσιμες υποδομές.
Σύμφωνα με τον οργανισμό κυβερνοασφάλειας της ΕΕ, ENISA, ο οποίος κατοικοεδρεύει και στην χώρα μας, από τον Ιανουάριο του 2019 έως και τον Απρίλιο του 2020 εντοπίζονταν 230.000 νέες μολύνσεις από κακόβουλο λογισμικό την ημέρα. Βάσει της αρμόδιας υπηρεσίας της Europol, και της έκθεσης για το σοβαρό και οργανωμένο έγκλημα Threat Assessment η οποία επικαιροποιήθηκε προ μηνών, διαπιστώνεται μια «αξιοσημείωτη» αύξηση του αριθμού των επιθέσεων ransomware σε δημόσια ιδρύματα και μεγάλες εταιρείες. Το συμπέρασμα επισφραγίζουν μεμονωμένα παραδείγματα, όπως οι επιθέσεις που πραγματοποιήθηκαν στον Ευρωπαϊκό Οργανισμό Φαρμάκων και την Ευρωπαϊκή Αρχή Τραπεζών.
Οι ηχηρές περιπτώσεις της προηγούμενης χρονιάς δεν σταματούν εκεί. Ενδεικτικά να αναφέρουμε ότι στα τέλη Μαρτίου 2021, η CNA Financial Corp., μία από τις μεγαλύτερες ασφαλιστικές εταιρείες στις Ηνωμένες Πολιτείες, έπεσε θύμα επίθεσης ransomware. Ως αποτέλεσμα, η εταιρεία αντιμετώπισε προσωρινές διαταραχές στα συστήματα και τα δίκτυά της, την οποία για να επιλύσει – και να ανακτήσει τον έλεγχο των δεδομένων της – χρειάστηκε να πληρώσει 40 εκατ. δολάρια.
Μια αντίστοιχη επίθεση ransomware, η οποία χαρακτηρίστηκε ως μια από τις σημαντικότερες επιθέσεις εναντίων κρίσιμων υποδομών στην ιστορία, πραγματοποιήθηκε λίγο αργότερα στην Colonial Pipeline. Η κυβερνοεπίθεση κατάφερε να κόψει τη ροή καυσίμου σε αγωγούς της Colonial Pipeline, μιας εταιρείας που μεταφέρει περίπου το ήμισυ των προμηθειών καυσίμου της Ανατολικής Ακτής των ΗΠΑ. Η λειτουργία αποκαταστάθηκε σε έξι περίπου ημέρες, ήταν όμως αρκετές για οδηγήσουν, έστω και παροδικά, σε κρίση καυσίμων και σε αύξηση των σχετικών τιμών στις ανατολικές ΗΠΑ.
Τον ίδιο μήνα κυβερνοεγκληματίες απειλούσαν να διαρρεύσουν 250GB δεδομένων των αστυνομικών αρχών της Ουάσιγκτον αν η αρχή δεν πλήρωνε ως λύτρα 4 εκατ. δολάρια. Λίγες μόλις εβδομάδες αργότερα, μια επίθεση ransomware έπληξε την JBS USA Holdings, Inc, έναν από τους μεγαλύτερους παραγωγούς κρέατος στον κόσμο. Η επίθεση αυτή προκάλεσε μεγάλες αναταραχές στην αλυσίδα εφοδιασμού όχι μόνο στις ΗΠΑ, αλλά και στον Καναδά και την Αυστραλία.
Ο ανερχόμενος «κλάδος» των κυβερνοεπιθέσεων και του ransomware
Σύμφωνα με έρευνα της Sungard AS, το 2020 οι χάκερς πραγματοποίησαν 79 επιθέσεις ransomware σε Δήμους και Πολιτείες των ΗΠΑ. Αν και ο αριθμός ήταν μειωμένος κατά 35% σε σχέση με τις αντίστοιχες επιθέσεις που καταγράφηκαν το 2019, είχε σημαντικό αντίκτυπο σε περίπου 71 εκατομμύρια ανθρώπους. Ο μέσος όρος των λύτρων που ζητήθηκαν το 2020 από κυβερνητικούς οργανισμούς ήταν 570.857 δολάρια και υπολογίζεται ότι καταβλήθηκαν συνολικά πάνω από 1,75 εκατομμύρια δολάρια σε χάκερς.
Ωστόσο, βάσει πρόσφατης έκθεσης της Comparitech οι κυβερνοεπιθέσεις κόστισαν στους αμερικανικούς κυβερνητικούς φορείς περίπου 18,88 δισεκατομμύρια δολάρια, αν συνυπολογίσει κανείς και το κόστος αποκατάστασης του συστήματος αλλά και τα κέρδη που απωλέθηκαν από την διακοπή της λειτουργίας διαφόρων υπηρεσιών. Αξίζει να αναφέρουμε ότι μόνο το μέσο κόστος αποκατάστασης συστημάτων από μια επίθεση ransomware διπλασιάστηκε μέσα σε έναν μόλις χρόνο φτάνοντας τα 1,85 εκατ. δολάρια το 2021 από τα 761.106 δολάρια το 2020.
Βάσει της έκθεσης της Comparitech, οι παραβιάσεις κυβερνοασφάλειας επιβαρύνουν τον εκάστοτε κρατικό προϋπολογισμό από 665.000 δολάρια έως 40,53 εκατομμύρια δολάρια κατά μέσο όρο με το μέσο κόστος κυμαίνεται από 60.000 έως 1,87 εκατομμύρια δολάρια.
Οι προβλέψεις για την συνέχεια είναι ακόμα πιο δυσοίωνες. Οι επιθέσεις ransomware εκτιμάται ότι θα επιβαρύνουν ευρύτερα τα θύματα με 265 δισ. δολάρια μέχρι το 2031, δεδομένου ότι η τιμή τους αυξάνει κατά 30% κάθε χρόνο, τα τελευταία 10 χρόνια. Για να γίνει αντιληπτό το προαναφερθέν αρκεί να αναφέρουμε ότι το κόστος αυτό είναι αντίστοιχο με τις απώλειες που κατέγραψε η αεροπορική βιομηχανία τον πρώτο χρόνο της πανδημίας, όπου παρέμενε προσγειωμένο το μεγαλύτερο μέρος του αεροπορικού στόλου παγκοσμίως.
Όσο για την ευρύτερη κατηγορία του cyber crime φαίνεται να μεταλλάσσεται στην πιο κερδοφόρα εγκληματική δραστηριότητα παγκοσμίως. Το έγκλημα στον κυβερνοχώρο εκτιμάται ότι έφτασε τα 6 τρισ. δολάρια το 2021, αν λάβει κανείς υπόψη του ότι μόνο το 10-12% των κυβερνοεπιθέσεων αναφέρεται στις αρχές, αριθμός που ξεπερνά την παράνομη αγορά ναρκωτικών ουσιών, η οποία έχει φτάσει να αντιπροσωπεύει σήμερα το 1% του παγκόσμιου ΑΕΠ.
