Spionajul cibernetic cu botnet

 

Botnet-urile, grupurile de dispozitive infectate controlate ilegal de pe Internet, au o istorie de câteva decenii deja. Acest istoric arată o evoluție a tehnicilor de infecție, domeniul de aplicare al dispozitivelor țintă și utilizarea acestora. Astfel, noua direcție este utilizarea unor tehnici sofisticate de scurgere de date de către grupurile de hackeri sponsorizate de stat.

Crearea și menținerea nivelului de securitate așteptat de companii este un efort complicat și greoi, care necesită decizii cu privire la utilizarea optimă a resurselor disponibile. Prin urmare, este nevoie de intrări precise pentru a face disponibile ieșiri precise când, unde și cum să le folosească și în ce scop. Una dintre sarcinile obligatorii esențiale este de a cunoaște agenții amenințărilor, capacitățile acestora și instrumentele aplicate, deoarece aceștia sunt sursa amenințărilor (și a riscurilor).

În zona securității informațiilor, riscurile apar în lumea fizică și în lumea logică, care pot fi în interrelație. În ceea ce privește acest fapt, agenții de amenințare pot fi clasificați ca (1) umani, (2) de mediu, (3) naturali și (4) inteligență artificială (abreviată ca AI). Diferiții agenți de amenințare apar ca un atacator dacă o amenințare se materializează. În lumea cibernetică, amenințările apar întotdeauna asupra oamenilor, pe măsură ce creează și folosesc instrumente. Cu toate acestea, pe măsură ce AI evoluează, se transformă într-un agent de amenințare. Prin urmare, în securitatea cibernetică, un atacator este o persoană reală, un grup de ființe umane sau o entitate AI care tinde să provoace daune prin întreruperea completă sau parțială a serviciului unui sistem vizat sau să provoace vătămări directe în lumea fizică (de exemplu, în sistemele de control industrial) sau pentru a obţine informaţii neautorizate.

Dintr-o perspectivă organizațională, există agenți de amenințări umani externi și din interior care pot fi rău intenționați (care acționează în mod deliberat) sau care acționează neintenționat (de exemplu, ca o cauză a lipsei de cunoștințe).

Conform lui Siciliano (2011), un expert în securitate IT la McAfee, care a clasificat actori rău intenționați calificați din punct de vedere tehnic pentru lumea cibernetică, există (1) hackeri Black Hat, (2) Script Kiddies (haxori), (3) Hacktiviști, (4) Hackeri sponsorizati de state, (5) Hackeri spioni și (6) Teroriști cibernetici. Ei sunt marcați ca atacatori.

Pentru un atacator, trebuie să alegeți ce unealtă sau instrumente dorește să folosească. Există instrumente disponibile pentru utilizare, de la cele simple la cele remarcabil de robuste și profesionale. Datorită unui studiu creat și publicat de Trend Micro (2012), existau deja diverse posibilități pentru atacatorii de pe piața neagră de pe Darknet:

• Este posibil ca serverele dedicate să fi fost închiriate cu mai multe capacități și protecție pentru scopuri diferite (0,50 USD–2,000 USD) (Trend Micro 2012, p. 3),
• Serviciul DDoS vizat (Distributed Denial of Service) era disponibil pentru o zi (30 USD–70 USD) sau chiar pentru un interval de o lună (1.200 USD) (Trend Micro 2012, p. 8),
• Trimiterea de mesaje spam într-un e-mail, SMS, ICQ și Skype pentru ținte (de exemplu, „servicii de e-mail ieftine” au trimis 1.000.000 de e-mailuri pentru 10 USD) (Trend Micro 2012, p. 11),
• Este posibil ca posibilitățile infrastructurii botnet să fi fost utilizate, de exemplu, în cazul a 2000 de boți pentru 200 USD (Trend Micro 2012, p. 12).

Odată cu aplicarea instrumentelor, un motiv principal al agenților de amenințare este distrugerea. Inspectând structura Internetului (ca majoritatea rețelelor), acesta tinde să reprezinte caracteristicile rețelelor fără scală (Barabási și Bonabea 2003). Principalul avantaj al unei astfel de rețele este acela de a fi robustă pentru a supraviețui eșecurilor aleatorii, deoarece este mai probabil să rămână completă și să nu se destrame, în timp ce principalul dezavantaj este acela de a fi mai vulnerabilă la atacuri direcționate (Barabási 2001). Dacă sunt eliminate suficiente noduri cu un număr mare de noduri conectate, rețeaua cade în părți disjunse. Aceste partiții pot funcționa mai departe, dar întreaga rețea încetează să funcționeze ca unitate funcțională. Datorită acestor fapte, atacurile direcționate pot avea, de asemenea, un impact uriaș asupra infrastructurii naționale de informații critice pentru a provoca prejudicii unui stat sau unei entități internaționale.

Pe lângă distrugere, un alt obiectiv comun al atacurilor cibernetice este obținerea de informații neautorizate printr-o tehnică convențională aplicată de atacatori pentru a culege informații pentru metode ilegale, de exploatare. Acțiunea de a colecta informații clasificate sau secrete comerciale fără permisiunea proprietarului se numește spionaj cibernetic. Scopul său poate fi o o colectare de beneficii, care poate fi de război, economică, financiară, politică, în funcție de natura sa. Există un fapt clar că datele furate pot conține informații tehnice confidențiale, precum și date personale, care sunt arătate de un studiu creat de Ponemon Institute, LLC și susținut de IBM Security (Ponemon Institute LLC 2017). Acest tip de date poate fi vândute pe piața neagră, în timp ce o penetrare a datelor cauzează o pierdere definitivă pentru controlorii și procesatorii de date.

Potrivit Raportului peisajului amenințărilor din 2018 al Agenției Uniunii Europene pentru Securitatea Rețelelor și Informaționale (ENISA), „spionajul cibernetic este mai mult un motiv decât o amenințare cibernetică. A fost menținută în principal pentru că reunește aproape toate celelalte amenințări cibernetice” (ENISA 2019, p. 25). „Vizează de obicei sectoare industriale, infrastructuri critice și strategice din întreaga lume, inclusiv entități guvernamentale, căi ferate, furnizori de telecomunicații, companii energetice, spitale și bănci” (ENISA 2019, p. 107).

Cele mai multe dintre atacurile cibernetice împotriva sistemelor informaționale, serviciilor sau infrastructurii informaționale critice provin din diferite rețele, așa-numitele Botnet, realizate din puncte terminale sau dispozitive de rețea infectate. O rețea bot tinde să declanșeze diverse atacuri, cum ar fi refuzul distribuit de serviciu (DDoS) și spam-ul în scopuri precum eliminarea țintei sale sau spionajul cibernetic.

Pentru spionajul cibernetic, există diverse tehnici de exfiltrare a datelor, cum ar fi un keylogger, captură de ecran, captură de cameră, adware, troieni, software de furt de informații și chiar cookie-uri pentru a captura date (personale), care sunt totuși instrumente perfecte. Capacitățile oferite de instrumentele menționate anterior, sunt controlate în mod obișnuit de Botnet-uri. O gamă largă de platforme sunt afectate de aceste riscuri: Microsoft Windows, Linux, Mac OS, chiar și mediile mobile, precum și dispozitivele de rețea și dispozitivele Internet of Things (IoT).

Referințe

• Barabási Albert László, 2001. The physics of the web. Physics World, pp. 33–38.
• Barabási Albert László és Eric Bonabea, 2003. http://barabasi.com/f/124.pdf.
• ENISA, 2019. ENISA Threat Landscape Report 2018. https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018/at_download/fullReport.
• Ponemon Institute LLC, 2017. 2017 Cost of Data Breach Study. https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=SEL03130WWEN
• Siciliano, R. 2011. 7 Types of Hacker Motivations. http://blogs.mcafee.com/consumer/identity-theft/7-types-of-hacker-motivations.
• Trend Micro, 2012. Trend Micro Inc., Russian Underground 101 (Research Paper 2012). https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf

Sursa: Bederna, Z., Szadeczky, T. Cyber espionage through Botnets. Secur J 33, 43–62 (2020). https://doi.org/10.1057/s41284-019-00194-6, licența CC BY 4.0. Traducere și adaptare © 2023 Nicolae Sfetcu