Ο τελευταίος απολογισμός της παγκόσμιας κυβερνοεπίθεσης με το επικίνδυνο κακόβουλο λογισμικό WannaCry δείχνει ότι έχουν μολυνθεί πάνω από 200.000 συστήματα σε τουλάχιστον 150 χώρες σε όλο τον κόσμο. Σύμφωνα με το «Ευρωπαϊκό Κέντρο για το Έγκλημα στον Κυβερνοχώρο» (European Cybercrime Centre – EC3) της Europol, πρόκειται για μια πρωτοφανούς κλίμακας επίθεση, της οποίας η διακρίβωση και ο εντοπισμός των δραστών (attribution) θα απαιτήσει περίπλοκες μεθόδους εξέτασης ψηφιακών αποτυπωμάτων.
Το πρώτο κρούσμα της επίθεσης καταγράφηκε στο Λονδίνο την Παρασκευή 12 Μαΐου 2017. Μεταξύ των στόχων συγκαταλέγονται 16 νοσοκομεία της Μ. Βρετανίας, η εταιρεία τηλεπικοινωνιών Telefonica στην Ισπανία, η εταιρεία Gas Natural και η ηλεκτρική εταιρεία Iberdrola.
Σύμφωνα με την SANS, το WannaCry συγκαταλέγεται στις ψηφιακές απειλές τύπου Ransomware, ενώ για την επίτευξη της περαιτέρω εξάπλωσης του περιλαμβάνει και ένα πακέτο κακόβουλου κώδικα τύπου Worm. Για τη δημιουργία του WannaCry, αναφέρθηκε ότι οι δράστες εκμεταλλεύθηκαν ένα κομμάτι κώδικα του εργαλείου Eternal Blue που φέρεται να χρησιμοποιούσε η Αμερικάνικη μυστική υπηρεσία NSA για την απομακρυσμένη παρείσφρηση σε συστήματα και το οποίο αποκαλύφθηκε τον περασμένο μήνα (Απρίλιο) από την ψηφιακή συμμορία “Shadow Brokers”.
Το πρώτο κρούσμα της επίθεσης καταγράφηκε στο Λονδίνο την Παρασκευή 12 Μαΐου 2017. Μεταξύ των στόχων συγκαταλέγονται 16 νοσοκομεία της Μ. Βρετανίας, η εταιρεία τηλεπικοινωνιών Telefonica στην Ισπανία, η εταιρεία Gas Natural και η ηλεκτρική εταιρεία Iberdrola.
Σύμφωνα με την SANS, το WannaCry συγκαταλέγεται στις ψηφιακές απειλές τύπου Ransomware, ενώ για την επίτευξη της περαιτέρω εξάπλωσης του περιλαμβάνει και ένα πακέτο κακόβουλου κώδικα τύπου Worm. Για τη δημιουργία του WannaCry, αναφέρθηκε ότι οι δράστες εκμεταλλεύθηκαν ένα κομμάτι κώδικα του εργαλείου Eternal Blue που φέρεται να χρησιμοποιούσε η Αμερικάνικη μυστική υπηρεσία NSA για την απομακρυσμένη παρείσφρηση σε συστήματα και το οποίο αποκαλύφθηκε τον περασμένο μήνα (Απρίλιο) από την ψηφιακή συμμορία “Shadow Brokers”.
Δράση
Η αρχική επίθεση του κακόβουλου λογισμικού WannaCry, εικάζεται ότι ξεκίνησε, μετά την επιτυχημένη ολοκλήρωση μιας πολύ καλά οργανωμένης επίθεσης, τύπου “Phishing email” (παραπλανητικό μήνυμα ηλεκτρονικού ταχυδρομείου), στο πληροφοριακό σύστημα του Εθνικού Συστήματος Υγείας της Βρετανίας. Αν ο ισχυρισμός αυτός είναι αληθής, μπορεί να ειπωθεί ότι το WannaCry ανήκει στην κατηγορία κακόβουλου λογισμικού Trojan Horse.
Οι μέχρι σήμερα πληροφορίες καταδεικνύουν ότι τα βασικά τμήματα του κακόβουλου κώδικα του Wannacry είναι τα εξής:
Οι μέχρι σήμερα πληροφορίες καταδεικνύουν ότι τα βασικά τμήματα του κακόβουλου κώδικα του Wannacry είναι τα εξής:
- το πρώτο τμήμα επιτυγχάνει την εξάπλωση-διάδοσή του σε τοπικό δίκτυο. Για το σκοπό αυτό, εκμεταλλεύεται μια ευπάθεια του πρωτοκόλλου “Server Message Block” (SMB) των Windows, γνωστή ως EternalBlue. Το συγκεκριμένο πρωτόκολλο επιτρέπει τη διαχείριση απομακρυσμένων αρχείων, σαν να επρόκειτο για τοπικά. Αυτός είναι και ο λόγος της ταχύτατης εξάπλωσης του συγκεκριμένου κακόβουλου λογισμικού, αφού μετά τη διάδοσή του σε ένα καινούριο μηχάνημα, εκτελείται αυτόματα, χωρίς να απαιτείται δηλαδή ενέργεια από κάποιον χρήστη. Με βάση αυτό το χαρακτηριστικό, μπορεί να ειπωθεί ότι ανήκει στην κατηγορία των Net Worms.
- το δεύτερο τμήμα αναλαμβάνει την κρυπτογράφηση των αρχείων δεδομένων (ήχου, εικόνας, βίντεο, αρχεία Office) του συστήματος-στόχου και στη συνέχεια ζητά από τον χρήστη την πληρωμή λύτρων (σε νόμισμα bitcoin), ώστε να αποκρυπτογραφηθούν κατόπιν τα αρχεία. Με βάση την συμπεριφορά αυτή, το WannaCry μπορεί να ταξινομηθεί στην κατηγορία των Ransomware.
- το τρίτο τμήμα κώδικα λειτουργεί ως δικλίδα ασφαλείας για την εξάπλωσή του. Συγκεκριμένα, ελέγχει την ύπαρξη μιας ιστοσελίδας με συγκεκριμένο όνομα (domain name). Όσο δεν έχει καταχωρηθεί το domain αυτής της ιστοσελίδας, τόσο το λογισμικό συνεχίζει την εξάπλωσή του. Στην αντίθετη περίπτωση, σταματά να εξαπλώνεται. Υπάρχουν βέβαια αναφορές, για εκδόσεις του WannaCry, οι οποίες ανταποκρίνονται σε διαφορετικά ονόματα ιστοσελίδων, ακόμα και για εκδόσεις οι οποίες έχουν απενεργοποιημένο αυτό το κομμάτι του λογισμικού. Με βάση την συμπεριφορά αυτή, το συγκεκριμένο κακόβουλο δείγμα μπορεί να ταυτοποιηθεί και ως Logic Bomb. Στην κυριολεξία θα μπορούσαμε να πούμε ότι αποτελεί Reverse Logic Bomb, δεδομένου ότι η ικανοποίηση της συνθήκης σταματά τη λειτουργία του (και δεν εκκινεί κάποια λειτουργικότητα, ως συνήθως).
Σημαντικά στοιχεία
Το βασικότερο σημείο το οποίο χρήζει αναφοράς, είναι το γεγονός ότι το WannaCry δεν εκμεταλλεύτηκε κάποια άγνωστη ευπάθεια (zero day exploit), αλλά μια ήδη γνωστή. Το λυπηρό είναι ότι, ενώ από τον Μάρτιο η Microsoft είχε προβεί στην αντιμετώπιση της ευπάθειας αυτής, εκδίδοντας την αναβάθμιση ασφάλειας MS17-010, τα γεγονότα δείχνουν ότι δεν έγινε η εγκατάστασή της σε όλα τα συστήματα. Επίσης, σημαντικό είναι και το γεγονός ότι η λύση της Microsoft αντιμετωπίζει μόνο τον τρόπο με τον οποίο διαδίδεται και αυτοματοποιημένα εκτελείται το κακόβουλο λογισμικό. Αν για κάποιο λόγο εκκινήσει με ενέργεια του χρήστη, όπως η αρχική εκκίνηση μέσω email που περιγράφηκε προηγουμένως, τότε ο μηχανισμός κρυπτογράφησης θα ολοκληρώσει κανονικά την λειτουργία του.
Το τρίτο, άξιο αναφοράς σημείο, είναι ότι άπαξ και ολοκληρωθεί η διαδικασία της κρυπτογράφησης, είναι πολύ δύσκολη, αν όχι αδύνατη, η αντιστροφή της. Αρκεί να αναφερθεί ότι τα Windows 7, μπορούν να χρησιμοποιήσουν τον αλγόριθμο AES με δυνατότητα κλειδιού μήκους 16384-bit. Ως εκ τούτου, η αποκρυπτογράφηση ακόμα και με ισχυρές τεχνικές (π.χ. Brute force) έχει ανάξιες λόγου πιθανότητες επιτυχίας. Παρόλα αυτά, διάφοροι φορείς ασφαλείας αναφέρουν ότι εργάζονται και προς αυτήν την κατεύθυνση. Επίσης, βασικό χαρακτηριστικό της επίθεσης είναι ότι, όσο μεγαλύτερο ήταν το δίκτυο στο πληροφοριακό σύστημα του στόχου, τόσο μεγαλύτερη ήταν και η ζημιά που προκλήθηκε. Αυτό το γεγονός βέβαια, οφείλεται στην κατασκευή του συγκεκριμένου λογισμικού, η οποία και του προσδίδει έντονα επιθετική συμπεριφορά.
Το τρίτο, άξιο αναφοράς σημείο, είναι ότι άπαξ και ολοκληρωθεί η διαδικασία της κρυπτογράφησης, είναι πολύ δύσκολη, αν όχι αδύνατη, η αντιστροφή της. Αρκεί να αναφερθεί ότι τα Windows 7, μπορούν να χρησιμοποιήσουν τον αλγόριθμο AES με δυνατότητα κλειδιού μήκους 16384-bit. Ως εκ τούτου, η αποκρυπτογράφηση ακόμα και με ισχυρές τεχνικές (π.χ. Brute force) έχει ανάξιες λόγου πιθανότητες επιτυχίας. Παρόλα αυτά, διάφοροι φορείς ασφαλείας αναφέρουν ότι εργάζονται και προς αυτήν την κατεύθυνση. Επίσης, βασικό χαρακτηριστικό της επίθεσης είναι ότι, όσο μεγαλύτερο ήταν το δίκτυο στο πληροφοριακό σύστημα του στόχου, τόσο μεγαλύτερη ήταν και η ζημιά που προκλήθηκε. Αυτό το γεγονός βέβαια, οφείλεται στην κατασκευή του συγκεκριμένου λογισμικού, η οποία και του προσδίδει έντονα επιθετική συμπεριφορά.
Στόχος της κυβερνοεπίθεσης
Όπως σημείωσε ο Λοράν Εσλόλ, διευθυντής στρατηγικής ασφάλειας στην εταιρεία Symantec, δεδομένου ότι το εύρος της επίθεσης είναι πολύ μεγάλο, μπορούμε να διερωτόμαστε εάν ο στόχος του ήταν το κυβερνοχάος ή η αποκόμιση μεγάλων χρηματικών ποσών από την καταβολή λύτρων.
Το αίτιο της μεγάλης έκτασης
Ο βαθύτερος λόγος στον οποίο οφείλεται η γρήγορη εξάπλωση και η μεγάλη έκταση της επίθεσης, είναι το γεγονός ότι, πολλοί χρήστες, εταιρείες, νοσοκομεία, δημόσιοι και ιδιωτικοί φορείς, δεν πραγματοποιούν συχνά τις απαραίτητες ενημερώσεις στο σύστημα.
Μέτρα και Αντίμετρα
Όπως σε κάθε περίπτωση, έτσι και σε αυτήν, η προστασία από το WannaCry, χωρίζεται σε τρεις κατηγορίες· στα μέτρα πρόληψης, στα αντίμετρα καταστολής και στα αντίμετρα ανάνηψης.
Μέτρα Πρόληψης
- Όσο το δυνατόν ταχύτερη εγκατάσταση ενημερώσεων, είτε του λειτουργικού συστήματος, είτε των εφαρμογών.
- Ενημέρωση των τελικών χρηστών ώστε να μην ανοίγουν παραπλανητικά ή διαφημιστικά μηνύματα και κυρίως να μην εκτελούν αρχεία που δεν γνωρίζουν ή δεν εμπιστεύονται την προέλευσή τους.
- Εγκατάσταση και χρησιμοποίηση προγράμματος προστασίας, σε πραγματικό χρόνο,
από κακόβουλο λογισμικό (antivirus). - Δημιουργία αντιγράφων ασφαλείας σε τακτική βάση (back up). Τα αντίγραφα θα πρέπει, είτε να τηρούνται σε αφαιρούμενο αποθηκευτικό μέσο, είτε απομακρυσμένα (π.χ. cloud storage).
Αντίμετρα Καταστολής
- Στην περίπτωση που βρεθεί κάποιο σύστημα τοπικού δικτύου μολυσμένο, άμεση απενεργοποίηση της θήρας 445 (αυτήν χρησιμοποιεί το πρωτόκολλο SMB), μέσω του τείχους προστασίας, για όλο το δίκτυο. Με την κίνηση αυτή μπορεί να αποτραπεί η διάδοση του WannaCry στα υπόλοιπα συστήματα του δικτύου, μέχρι να καταστεί δυνατή η εφαρμογή πιο εξειδικευμένων και ολοκληρωμένων λύσεων.
- Εγκατάσταση της σχετικής ενημέρωσης ασφαλείας της Microsoft σε όλα τα συστήματα του δικτύου. Να τονισθεί ότι, για την συγκεκριμένη περίπτωση, δημιουργήθηκε ενημέρωση για όλες τις εκδόσεις των Windows, ακόμη και γι’ αυτές οι οποίες πλέον δεν υποστηρίζονται.
Αντίμετρα Ανάνηψης
Την παρούσα χρονική στιγμή, δεν υπάρχουν συγκεκριμένα αντίμετρα, για την ανάνηψη από την επίθεση του WannaCry. Η ανάνηψη ουσιαστικά θα πρέπει να επαναφέρει το μολυσμένο σύστημα στην προ της μολύνσεως κατάσταση. Δύο γεγονότα δεν συνηγορούν προς αυτήν την κατεύθυνση. Το πρώτο, όπως αναφέρθηκε και προηγουμένως, είναι η δυσκολία στην αποκρυπτογράφηση των αρχείων. Το δεύτερο, είναι η ελλιπής μέχρις στιγμής ανάλυση του WannaCry για τις ακριβείς μεταβολές (πέραν της κρυπτογράφησης) που επιφέρει σε ένα σύστημα.
Καταβολή Λύτρων
Το ερώτημα για την καταβολή ή όχι των λύτρων, απασχολούσε ανέκαθεν τους εμπλεκόμενους, σε όλες τις μορφές του εκβιασμού, είτε στον πραγματικό, είτε στον ψηφιακό κόσμο. Η επίσημη άποψη των διωκτικών αρχών, αλλά και των φορέων κυβερνοασφάλειας, είναι σε κάθε περίπτωση η μη καταβολή των λύτρων. Την άποψη αυτή την υποστηρίζουν χρησιμοποιώντας τρία επιχειρήματα. Το πρώτο από αυτά, έγκειται στο γεγονός ότι η καταβολή των λύτρων, επιβραβεύει ουσιαστικά την παρανομία και δίνει κίνητρο στους δράστες να την επαναλάβουν, διαιωνίζοντας την κατάσταση. Το δεύτερο είναι πως δεν υπάρχει καμία εγγύηση ότι οι δράστες θα προβούν στην αποκρυπτογράφηση των αρχείων. Το τρίτο επιχείρημα είναι ότι δεν υπάρχει καμία εγγύηση πως, σε μεταγενέστερη χρονική στιγμή, οι ίδιοι δράστες δεν θα προβούν σε καινούρια κρυπτογράφηση. Στην αντίπερα όχθη βρίσκονται τα ίδια τα θύματα, που μόνο τα ίδια γνωρίζουν την κατάσταση στην οποία βρίσκονται. Έτσι αν κρυπτογραφήθηκαν πολύτιμα αρχεία, τα οποία είναι δύσκολο-αδύνατο να δημιουργηθούν από την αρχή, είναι βραχυπρόθεσμα αναγκαία και δεν πάρθηκαν αντίγραφα ασφαλείας, είναι πολύ πιθανό το θύμα να υποκύψει στον εκβιασμό, παρά τις όποιες συστάσεις.
Αθανάσιος Δημητριάδης, Ιωάννης Γαϊτάνης
