16/5/17

ΝΥ: Παγκόσμια κυβερνοεπίθεση με κλεμμένο λογισμικό από την NSA






Οι χάκερ που εκμεταλλεύτηκαν κακόβουλο λογισμικό που έχει κλαπεί από την Εθνική Υπηρεσία Ασφαλείας πραγματοποίησαν επιζήμιες κυβερνοεπιθέσεις την Παρασκευή που έπληξαν δεκάδες χώρες παγκοσμίως, αναγκάζοντας το σύστημα δημόσιας υγείας της Βρετανίας να διώξει ασθενείς, "παγώνοντας" υπολογιστές στο ρωσικό υπουργείο Εσωτερικών και καταστρέφοντας δεκάδες χιλιάδες υπολογιστές αλλού.

Οι επιθέσεις αποτελούν μια έντονη παγκόσμια προσπάθεια εκβιασμού από το διαδίκτυο και υπογραμμίζουν τις ευπάθειες της ψηφιακής εποχής. Το κακόβουλο λογισμικό που μεταδόθηκε μέσω email, κλείδωσε τα συστήματα ηλεκτρονικών υπολογιστών στα βρετανικά νοσοκομεία από τους και οι χάκερς απαίτησαν λύτρα για να 'έχουν ξανά πρόσβαση οι χρήστες - με την απειλή ότι τα δεδομένα θα καταστραφούν αν δεν ικανοποιηθούν οι απαιτήσεις του.

Μέχρι το βράδυ της Παρασκευής, οι επιθέσεις είχαν εξαπλωθεί σε περισσότερες από 74 χώρες, σύμφωνα με τις εταιρείες ασφαλείας που παρακολουθούσαν την εξάπλωση. Η Kaspersky Lab, μια ρωσική εταιρεία ασφάλειας στον κυβερνοχώρο, δήλωσε ότι η Ρωσία δέχθηκε το χειρότερο πλήγμα, και ακολουθούν η Ουκρανία, η Ινδία και η Ταϊβάν. Αναφορές επιθέσεων προέρχονται επίσης από τη Λατινική Αμερική και την Αφρική.

Πρόκειται για τη μεγαλύτερη επίθεση ransomware και το εύρος των ζημιών είναι δύσκολο να μετρηθεί. Δεν είναι σαφές εάν τα θύματα πλήρωναν τα λύτρα, τα οποία ξεκίνησαν από περίπου 300 δολάρια για να ξεκλειδώσουν μεμονωμένους υπολογιστές ή ακόμη και αν αυτοί που πλήρωσαν ανακτούσαν πρόσβαση στα δεδομένα τους. Οι ειδικοί ασφαλείας περιέγραψαν τις επιθέσεις ως το ψηφιακό ισοδύναμο μιας τέλειας καταιγίδας. Ξεκίνησαν με ένα απλό μήνυμα ηλεκτρονικού "ψαρέματος" (phishing), παρόμοιο με αυτό που χρησιμοποίησαν ρώσοι χάκερς στις επιθέσεις κατά της Εθνικής Επιτροπής των Δημοκρατικών και άλλων στόχων πέρυσι. Στη συνέχεια, εξαπλώθηκαν γρήγορα μέσω των συστημάτων των θυμάτων, χρησιμοποιώντας μια μέθοδο χάκινγκ που η NSA πιστεύει ότι έχει αναπτυχθεί ως μέρος των κυβερνοόπλων της. Τέλος, κρυπτογράφησαν τα συστήματα ηλεκτρονικών υπολογιστών των θυμάτων, αποκλείοντάς τους από κρίσιμα δεδομένα, όπως τα αρχεία ασθενών στη Βρετανία.

Η σύνδεση με την NSA είναι ιδιαίτερα τρομακτική. Από το περασμένο καλοκαίρι, μια ομάδα που ονομάζεται "Shadow Brokers" άρχισε να δημοσιεύει εργαλεία λογισμικού που προέρχονταν από το απόθεμα της κυβέρνησης των Ηνωμένων Πολιτειών για την καταπολέμηση των κυβερνοεπιθέσεων. Οι επιθέσεις την Παρασκευή φαίνεται να είναι η πρώτη φορά που ένα κυβερνοόπλο που αναπτύχθηκε από την NSA, χρηματοδοτήθηκε από αμερικανούς φορολογούμενους και έκλεψε ένας αντίπαλός της, χρησιμοποιείται από κυβερνοεγκληματίες εναντίον ασθενών, νοσοκομείων, επιχειρήσεων, κυβερνήσεων και απλών πολιτών.
Κάτι παρόμοιο συνέβη με τα υπολείμματα του σκουληκιού "Stuxnet" που οι Ηνωμένες Πολιτείες και το Ισραήλ χρησιμοποιούσαν κατά του πυρηνικού προγράμματος του Ιράν σχεδόν πριν από επτά χρόνια. Στοιχεία αυτών των εργαλείων εμφανίζονται συχνά σε άλλες, λιγότερο φιλόδοξες επιθέσεις.

Οι Ηνωμένες Πολιτείες δεν επιβεβαίωσαν ποτέ αν τα εργαλεία που δημοσιεύθηκαν από τους Shadow Brokers ανήκαν στην NSA ή σε άλλες υπηρεσίες πληροφοριών, αλλά οι πρώην αξιωματούχοι των μυστικών υπηρεσιών δήλωσαν ότι τα εργαλεία φάνηκε να προέρχονται από τη μονάδα της NSA "Tailored Access Operations", η οποία διεισδύει σε ξένα δίκτυα υπολογιστών. (Η μονάδα έχει μετονομαστεί από τότε).

Οι επιθέσεις την Παρασκευή είναι πιθανό να προκαλέσουν σημαντικά ερωτήματα σχετικά με το κατά πόσον ο αυξανόμενος αριθμός χωρών που αναπτύσσουν και αποθηκεύουν κυβερνοόπλα μπορούν να αποφύγουν το να στραφούν αυτά τα ίδια εργαλεία εναντίον των πολιτών τους. Έδειξαν επίσης πόσο εύκολα μπορεί να κλαπούν κυβερνοόπλα, ακόμη και χωρίς να κλείσει το ηλεκτρικό δίκτυο ή το δίκτυο κινητής τηλεφωνίας μιας χώρας.

Στη Βρετανία, τα νοσοκομεία αποκλείστηκαν από τα συστήματά τους και οι γιατροί δεν μπορούσαν να έχουν πρόσβαση σε αρχεία ασθενών. Οι αίθουσες έκτακτης ανάγκης αναγκάστηκαν να στείλουν αλλού τους ανθρώπους που αναζητούσαν επείγουσα φροντίδα.
Στη Ρωσία, το ισχυρό υπουργείο Εσωτερικών της χώρας, αφού αρνήθηκε να αναφέρει ότι οι υπολογιστές του είχαν γίνει στόχος, επιβεβαίωσε σε δήλωσή του ότι "περίπου 1.000 υπολογιστές μολύνθηκαν", κάτι το οποίο περιέγραφε ως λιγότερο από το 1% του συνόλου. Το υπουργείο, το οποίο επιβλέπει τις αστυνομικές δυνάμεις της Ρωσίας, δήλωσε ότι οι τεχνικοί περιόρισαν την επίθεση. Κάποιοι αξιωματούχοι των μυστικών υπηρεσιών αμφέβαλαν σχετικά με την ανακοίνωση αυτή επειδή υποπτεύονται ρωσική συμμετοχή στην κλοπή των κυβερνοόπλων της NSA.

Ωστόσο, ο James Lewis, ειδικός στον κυβερνοχώρο στο Κέντρο Στρατηγικών και Διεθνών Σπουδών στην Ουάσινγκτον, δήλωσε ότι υποψιάζεται πως εγκληματίες που δρουν από την Ανατολική Ευρώπη ενεργώντας μόνοι τους ήταν υπεύθυνοι. "Αυτό δεν μοιάζει με κρατική δραστηριότητα, δεδομένων των στόχων που επλήγησαν", είπε. Αυτοί οι στόχοι περιελάμβαναν εταιρικά συστήματα πληροφορικής σε πολλές άλλες χώρες - συμπεριλαμβανομένης της FedEx στις Ηνωμένες Πολιτείες, ενός από τους κορυφαίους διεθνείς μεταφορείς παγκοσμίως, καθώς και της ισπανικής Telefónica και της ρωσικής εταιρίας τηλεπικοινωνιών MegaFon.

Μπορεί να χρειαστούν μήνες για να βρεθεί ποιος ήταν πίσω από τις επιθέσεις - ένα μυστήριο που μπορεί και να μην λυθεί ποτέ. Ωστόσο, προκάλεσε ανησυχία σε εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο παγκόσμια, αντανακλώντας τις τεράστιες ευπάθειες στις εισβολές στο Διαδίκτυο που αντιμετωπίζουν μη συνδεδεμένα δίκτυα συστημάτων υπολογιστών.

Δεν υπάρχει κανένας αυτόματος τρόπος για να "επιδιορθώσουν" τις αδυναμίες τους σε όλο τον κόσμο. "Όταν οι άνθρωποι ρωτούν τι μας ανησυχεί, είναι ακριβώς αυτό", δήλωσε ο Chris Camacho, επικεφαλής στρατηγικής στην Flashpoint, μια εταιρεία ασφαλείας της Νέας Υόρκης που παρακολουθεί τις επιθέσεις. Ο Camacho είπε ότι ήταν ιδιαίτερα ανήσυχος για το πώς οι επιθέσεις εξαπλώνονται μέσω εταιρικών, νοσοκομειακών και κυβερνητικών δικτύων.

Ένας άλλος ειδικός στον τομέα της ασφάλειας, ο Rohyt Belani, διευθύνων σύμβουλος της PhishMe, μιας εταιρείας ασφάλειας ηλεκτρονικού ταχυδρομείου, δήλωσε ότι η δυνατότητα κακόβουλου λογισμικού "σκουληκιών" ήταν μια σημαντική αλλαγή από τις προηγούμενες επιθέσεις με λύτρα. "Μοιάζει σχεδόν με την ατομική βόμβα του ransomware", δήλωσε ο Belani, προειδοποιώντας ότι η επίθεση "μπορεί να είναι σημάδι των μελλοντικών ζημιών".

Το όπλο που επέλεξαν οι χάκερς την Παρασκευή ήταν το Wanna Decryptor, μια νέα παραλλαγή του ransomware της WannaCry, το οποία κρυπτογραφεί τα δεδομένα των θυμάτων, τα αποκλείσει από τα συστήματά τους και απαιτεί λύτρα.
Οι ερευνητές δήλωσαν ότι οι επιπτώσεις και η ταχύτητα των επιθέσεων της Παρασκευής δεν είχαν παρατηρηθεί εδώ και μια δεκαετία σχεδόν, όταν ο σκουλήκι υπολογιστών Conficker μόλυνε εκατομμύρια κυβερνητικούς, επιχειρησιακούς και προσωπικούς υπολογιστές σε περισσότερες από 190 χώρες, απειλώντας να υπερνικήσει τα δίκτυα υπολογιστών που ελέγχουν την υγειονομική περίθαλψη, την εναέρια κυκλοφορία και τα τραπεζικά συστήματα κατά τη διάρκεια αρκετών εβδομάδων.

Ένας λόγος που το ransomware της Παρασκευής ήταν σε θέση να εξαπλωθεί τόσο γρήγορα ήταν ότι το κλεμμένο εργαλείο χάκινγκ της NSA, γνωστό ως "Eternal Blue", επηρέασε μια ευπάθεια στους διακομιστές των Microsoft Windows. Ώρες μετά την κυκλοφορία του εργαλείου τον περασμένο μήνα από τους Shadow Brokers, η Microsoft διαβεβαίωσε τους χρήστες ότι είχε ήδη συμπεριλάβει μια ενημερωμένη έκδοση κώδικα για την υποκείμενη ευπάθεια σε μια ενημερωμένη έκδοση λογισμικού τον Μάρτιο.

Αλλά η Microsoft, η οποία επαινεί τακτικά ερευνητές που ανακαλύπτουν τρύπες στα προϊόντα της, περιέργως δεν ανέφερε ποιος ήταν υπεύθυνος για το θέμα. Πολλοί υποψιάστηκαν ότι η ίδια η κυβέρνηση των Ηνωμένων Πολιτειών το είχε πει στη Microsoft, όταν η NSA συνειδητοποίησε ότι η μέθοδος χάκινγκ που εκμεταλλεύτηκε την ευπάθεια είχε κλαπεί.

Ακτιβιστές που ασχολούνται με τα προσωπικά δεδομένα δήλωσαν ότι, αν συνέβαινε αυτό, η κυβέρνηση θα ήταν υπεύθυνη για το γεγονός ότι τόσες πολλές εταιρείες παρέμειναν ευάλωτες στις επιθέσεις της Παρασκευής. Χρειάζεται χρόνος για να αναπτύξουν οι εταιρείες συστήματα σε όλο τον κόσμο και η ενημέρωση της Microsoft για την τρύπα μόνο μετά την κλοπή του εργαλείου χάκινγκ της NSA θα άφηνε πολλά νοσοκομεία, επιχειρήσεις και κυβερνήσεις ευάλωτε, λένε οι ακτιβιστές. "Θα ήταν βαθιά ανησυχητικό αν η NSA γνώριζε για αυτό το θέμα ευπάθειας αλλά δεν το αποκάλυπτε στη Microsoft παρά μόνο αφού κλάπηκε ", δήλωσε ο Patrick Toomey, δικηγόρος της Ένωσης Αμερικανών Πολιτικών Ελευθεριών. "Αυτές οι επιθέσεις υπογραμμίζουν το γεγονός ότι τα τρωτά σημεία θα αξιοποιηθούν όχι μόνο από τις υπηρεσίες ασφαλείας μας, αλλά και από τους χάκερ και τους εγκληματίες σε όλο τον κόσμο".

Κατά τη διάρκεια της διοίκησης Ομπάμα, ο Λευκός Οίκος δημιούργησε μια διαδικασία για την ανασκόπηση των τρωτών σημείων του λογισμικού που ανακαλύφθηκαν από τις υπηρεσίες πληροφοριών και για να προσδιοριστεί ποιες θα πρέπει να "αποθηκευτούν" για μελλοντικές επιθετικές ή αμυντικές κυβερνοεπιχειρήσεις και ποιες θα πρέπει να αναφέρονται στις εταιρείες έτσι ώστε να μπορούν να διορθωθούν. Πέρυσι η κυβέρνηση δήλωσε ότι μόνο ένα μικρό τμήμα διατηρήθηκε από την κυβέρνηση. Αλλά αυτή η ευπάθεια φαινόταν να είναι ένα από αυτά τα τμήματα, και βγήκε στην επιφάνεια πρόσφατα, υποδηλώνοντας ότι η NSA μπορεί να είχε συμπεράνει ότι τι εργαλείο είχε κλαπεί και γι' αυτό να προειδοποίησε τη Microsoft. Αλλά αυτό ήταν σαφώς πολύ μικρό και έγινε πολύ αργά.

Την Παρασκευή, οι χάκερς εκμεταλλεύτηκαν το γεγονός ότι οι ευάλωτοι στόχοι -ιδιαίτερα τα νοσοκομεία- δεν είχαν ακόμη επιδιορθώσει τα συστήματά τους, είτε διότι είχαν αγνοήσει τις συμβουλές της Microsoft είτε επειδή χρησιμοποιούσαν παρωχημένο λογισμικό το οποίο η Microsoft δεν υποστηρίζει πλέον ούτε ενημερώνει. Το κακόβουλο λογισμικό κυκλοφόρησε μέσω ηλεκτρονικού ταχυδρομείου. Οι στόχοι έστειλαν ένα κρυπτογραφημένο, συμπιεσμένο αρχείο το οποίο, μόλις φορτώθηκε, επέτρεψε στο ransomware να διεισδύσει στους στόχους του. Το γεγονός ότι τα αρχεία ήταν κρυπτογραφημένα εξασφαλίζει ότι το ransomware δεν θα ανιχνεύεται από τα συστήματα ασφαλείας μέχρι να τα ανοίξουν οι εργαζόμενοι, επιτρέποντας κατά λάθος το ransomware να αναπαραχθεί στα δίκτυα των εργοδοτών τους.

Οι υπάλληλοι της Εθνικής Υπηρεσίας Υγείας της Βρετανίας είχαν προειδοποιηθεί για την απειλή του ransomware νωρίτερα την Παρασκευή. Ήταν όμως πολύ αργά. Καθώς οι διαταραχές συνέβησαν σε τουλάχιστον 36 νοσοκομεία, ιατρεία και εταιρείες ασθενοφόρων σε ολόκληρη τη Βρετανία, η υγειονομική υπηρεσία κήρυξε την επίθεση ως "σημαντικό περιστατικό", προειδοποιώντας ότι οι τοπικές υπηρεσίες υγείας θα μπορούσαν να επηρεαστούν. Ο υπουργός Υγείας της Βρετανίας, Τζέρεμι Χαντ, ενημερώθηκε από εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο, ενώ το γραφείο της Πρωθυπουργού Τερέζα Μάι δήλωσε ότι "δεν γνωρίζουμε κανένα στοιχείο που να υπονομεύει τα δεδομένα των ασθενών".

Κατά τη διάρκεια της ημέρας, δεκάδες εταιρείες σε όλη την Ευρώπη, την Ασία και τις Ηνωμένες Πολιτείες ανακάλυψαν ότι είχαν πληγεί με το ransomware όταν είδαν μηνύματα στις οθόνες των υπολογιστών τους, με τους χάκερς να απαιτούν 300 δολ. για να ξεκλειδώσουν τα δεδομένα τους. Αλλά οι εγκληματίες σχεδίασαν το ransomware τους για να αυξήσουν τα ποσά των λύτρων τους με ένα καθορισμένο χρονοδιάγραμμα και απειλούσαν να σβήσουν τα δεδομένα ομήρων μετά από ένα προκαθορισμένο χρονικό διάστημα αποκοπής, αυξάνοντας τον επείγοντα χαρακτήρα της επίθεσης και αυξάνοντας την πιθανότητα να πληρώσουν τα θύματα.

Μην έχοντας τη δυνατότητα να αποκρυπτογραφούν τα προσωπικά τους δεδομένα, οι ειδικοί ασφαλείας δήλωσαν ότι τα θύματα που δεν είχαν δημιουργήσει αντίγραφα των δεδομένων τους αντιμετώπισαν ένα δίλημμα: είτε να ζήσουν χωρίς τα δεδομένα τους είτε να πληρώσουν. Δεν ήταν σαφές πόσα θύματα τελικά πλήρωσαν. Οι ειδικοί ασφαλείας συμβούλευαν τις εταιρείες να ενημερώσουν αμέσως τα συστήματά τους με την ενημερωμένη έκδοση κώδικα της Microsoft.

Μέχρι οι οργανισμοί να χρησιμοποιήσουν την ενημερωμένη έκδοση κώδικα της Microsoft, τονίζει ο Camacho, πιθανόν να συνεχίσουν να πλήττονται - όχι μόνο με ransomware, αλλά με όλα τα είδη κακόβουλων εργαλείων που μπορούν να χειραγωγήσουν, να κλέψουν ή να διαγράψουν τα δεδομένα τους. "Θα υπάρξουν πολύ περισσότερες από αυτές τις επιθέσεις", είπε. "Θα δούμε αντίγραφα, και όχι μόνο για ransomware, αλλά και άλλες επιθέσεις."

nytimes.com

http://www.antinews.gr/

==========================================

 Ιδιοκτησία πνευματικών δικαιωμάτων του Geopolitics & Daily News - © 2017.

 Το περιεχόμενο του site αποτελεί πνευματική ιδιοκτησία του Geopolitics & Daily News. Οποιαδήποτε πληροφορία (κείμενο, εικόνες, γραφικά) περιέχεται στο site μπορεί να χρησιμοποιηθεί μόνο για προσωπική, μη εμπορική χρήση. Είναι παράνομη η αντιγραφή, αναπαραγωγή, τροποποίηση με οποιονδήποτε τρόπο, μέρους ή του συνόλου των περιεχομένων του site χωρίς προηγούμενη έγγραφη συγκατάθεση ή αναφορά της σελίδας