Οι πρωτοβουλίες για τη διαφάνεια, οι αναδυόμενες απειλές και η επίδραση της τεχνητής νοημοσύνης στην ασφάλεια στον κυβερνοχώρο, βρέθηκαν στο επίκεντρο του περιεχομένου στο Kaspersky NEXT που πραγματοποιήθηκε στις 26-28 Ιουνίου στη Ζυρίχη.
Αποστολή στη Ζυρίχη
Του Βλάση Αμανατίδη
Έπειτα από πρόσκληση της Kaspersky, είχαμε την ευκαιρία να συμμετέχουμε στην Πανευρωπαϊκή εκδήλωση Kaspersky NEXT που πραγματοποιήθηκε στις 26-28 Ιουνίου στη Ζυρίχη και αποτύπωσε τις νεότερες εξελίξεις στον τομέα της κυβερνοασφάλειας, μεταξύ των οποίων και τις πρωτοβουλίες για τη διαφάνεια που αναπτύσσει η εταιρία με επίκεντρο το European Transparency Centre το οποίο επισκεφτήκαμε. Η εκδήλωση και όλα όσα αναδείχθηκαν μέσα από αυτή, αποτυπώνουν ότι η Kaspersky ενισχύει ακόμα περισσότερο τον παγκόσμιο ρόλο της με στόχο την ενίσχυση της εμπιστοσύνης και της διαφάνειας, ανεξάρτητα από την προέλευση της και όλα όσα απορρέουν.
Στην εκδήλωση – στην οποία ήταν καλεσμένοι δημοσιογράφοι που εκπροσωπούσαν μέσα από τις περισσότερες χώρες της Ευρώπης – είχαμε επίσης την ευκαιρία να επισκεφτούμε το Green Data Center, ένα εντυπωσιακό Data Center στη Ζυρίχη, που στις τεράστιες εγκαταστάσεις του, φιλοξενεί πολλούς και σημαντικούς οργανισμούς και διακρίνεται για τα υψηλά στάνταρ ασφάλειας και τη διαθεσιμότητα που προσφέρει, σε συνδυασμό με την ειδική σχεδίαση των υποδομών του εναρμονισμένη στα πρότυπα της πράσινης, βιώσιμης ανάπτυξης.
Κατά τη διάρκεια της εκδήλωσης, είχαμε παράλληλα την ευκαιρία να παρακολουθήσουμε παρουσιάσεις που ειδικούς αναλυτές της Kaspersky, οι οποίοι ανέδειξαν τα ευρήματα σημαντικών πρόσφατων ερευνών σχετικά με τις τάσεις που επικρατούν στο κυβερνοέγκλημα, τις νέες μεθόδους επιθέσεων ransomware, το περιεχόμενο και τη μεθοδολογία που επικρατεί σήμερα στο Darknet, αλλά και την επίδραση της Τεχνητής Νοημοσύνη, στον ευρύτερο τομέα της ψηφιακής ασφάλειας. Οι συζητήσεις που ακολούθησαν με τους ειδικούς, ήταν ιδιαίτερα διαφωτιστικές για να ανακαλύψουμε τους τρόπους με τους οποίους μια κορυφαία εταιρία όπως η Kaspersky, συλλέγει δεδομένα και πληροφορίες για τις αναδυόμενες απειλές σε ένα τόσο δυναμικό περιβάλλον και δημιουργεί του απαραίτητους μηχανικούς για την προστασία των ΙΤ υποδομών των επιχειρήσεων αλλά και κάθε ιδιώτη.
Ας δούμε παρακάτω πιο αναλυτικά τα βασικά σημεία ενδιαφέροντος αυτής της εκδήλωσης για την οποία αξίζει να αναφέρουμε ότι ήταν άρτια οργανωμένη από τμήμα δημοσιών σχέσεων της Kaspersky και πραγματικά η φιλοξενία όλων όσων συμμετείχαμε ήταν υποδειγματική.
European Transparency Center: Εκεί που χτυπάει η καρδιά της Παγκόσμιας Πρωτοβουλίας Διαφάνειας της Kaspersky
Πρώτος σταθμός της εκδήλωσης, ήταν το Ευρωπαϊκό Κέντρο Διαφάνειας – “European Transparency Centre” που έχει υλοποιήσει η Kaspersky στη Ζυρίχη και στο οποίο περιηγηθήκαμε από τους ανθρώπους της εταιρίας.
Όπως μας ενημέρωσαν οι υπεύθυνοι, το 2023 σηματοδοτεί την ολοκλήρωση της πενταετίας της Παγκόσμιας Πρωτοβουλίας Διαφάνειας (GTI – GLOBAL TRANSPARENCY INITIATIVE) της Kaspersky, ενός κορυφαίου προγράμματος της εταιρείας που στοχεύει να θέσει ένα σημείο αναφοράς στον κλάδο για την αντιμετώπιση των κινδύνων της εφοδιαστικής αλυσίδας. Καθώς η γενική στάση σχετικά με τους κινδύνους που σχετίζονται με τη χρήση λογισμικού τρίτων αυξάνεται και τόσο οι επιχειρήσεις όσο και οι ρυθμιστικές αρχές θέλουν να γνωρίζουν πόσο ασφαλές είναι το λογισμικό που χρησιμοποιούν, η Kaspersky ανακοινώνει τα σχέδιά της να επεκτείνει περαιτέρω την πρωτοβουλία της, διευρύνοντας το δίκτυο των Κέντρων Διαφάνειας παγκοσμίως αλλά και τις επιλογές αναθεώρησης του πηγαίου κώδικα.
Η ζήτηση για μεγαλύτερη ψηφιακή εμπιστοσύνη αυξάνεται εν μέσω μιας ενισχυόμενης τάσης προς την ψηφιακή κυριαρχία, με σημαντικά ορόσημα που καθορίζονται από την εμφάνιση κανονισμών όπως η πρόταση European Cyber Resilience Act. Με στόχο την ανάδειξη της αξιοπιστίας των λύσεων της Kaspersky και την προώθηση προτύπων διαφάνειας στον κλάδο της κυβερνοασφάλειας στο σύνολό του, το GTI αναπτύσσεται και μεγαλώνει σε κλίμακα, με τη συνολική επένδυση της εταιρείας στο έργο να ανέρχεται συνολικά στα 7,9 εκατομμύρια δολάρια από την έναρξή του. Σήμερα, το GTI περιλαμβάνει έξι βασικούς πυλώνες, που περιλαμβάνουν τη μετεγκατάσταση δεδομένων, το άνοιγμα Κέντρων Διαφάνειας παγκοσμίως, τους τακτικούς ανεξάρτητους ελέγχους, το πρόγραμμα διαχείρισης τρωτών σημείων, το εκπαιδευτικό πρόγραμμα Cyber Capacity Building και τις Εκθέσεις Διαφάνειας.
«Στο κέντρο διαφάνειας υποδεχόμαστε συνεργάτες, πελάτες ή κυβερνητικούς αξιωματούχους», εξηγεί η Yuliya Shlychkova, επικεφαλής του τμήματος Παγκόσμιων Δημοσίων Υποθέσεων της Kaspersky. «Δημιουργήσαμε το κέντρο μας για να αντιμετωπίσουμε τις ανησυχίες των κρατικών υπηρεσιών σχετικά με την εταιρεία μας. Αντιμετωπίζουμε πολλά γεωπολιτικά προβλήματα για να λειτουργούμε εύκολα»
Μία από τις πρώτες ενέργειες του GTI ήταν η μετεγκατάσταση των δεδομένων που σχετίζονται με απειλές στον κυβερνοχώρο και τα οποία ελήφθησαν από χρήστες προϊόντων της Kaspersky σε κέντρα δεδομένων στην Ελβετία, γνωστή για την ισχυρή προστασία δεδομένων και την ουδετερότητά της. Σήμερα, τα δεδομένα των χρηστών της Kaspersky στην Ευρώπη, τη Βόρεια και Λατινική Αμερική, τη Μέση Ανατολή, καθώς και πολλές χώρες στην περιοχή Ασίας-Ειρηνικού αποθηκεύονται και υποβάλλονται σε επεξεργασία σε δύο κέντρα δεδομένων στη Ζυρίχη.
«Στην Kaspersky, αντιμετωπίζαμε πάντα με σοβαρότητα το ζήτημα της προστασίας των δεδομένων των χρηστών. Για να διασφαλίσουμε ότι τα δεδομένα που μας εμπιστεύονται οι πελάτες μας είναι ασφαλή, ακολουθούμε μια ολοκληρωμένη προσέγγιση, συμμορφώνοντας τις πρακτικές διαχείρισης δεδομένων μας με τα κορυφαία πρότυπα του κλάδου», δηλώνει σχετικά ο Anton Ivanov, Διευθυντής Τεχνολογίας της Kaspersky. «Έχουμε επίσης προσκαλέσει εξωτερικούς συνεργάτες ελεγκτές για επαλήθευση και επιλέξαμε εγκαταστάσεις παγκόσμιας κλάσης σύμφωνα με τα βιομηχανικά πρότυπα για την αποθήκευση και την επεξεργασία δεδομένων. Με αυτήν την ολιστική προσέγγιση, ελπίζουμε να δώσουμε στους χρήστες των προϊόντων της Kaspersky απόλυτη ηρεμία σχετικά με την ασφάλεια και το απόρρητο των δεδομένων τους».
Μαζί με την έναρξη της μετεγκατάστασης δεδομένων, η Kaspersky άρχισε να δημιουργεί το παγκόσμιο δίκτυο των Κέντρων Διαφάνειας — εγκαταστάσεις όπου οι πελάτες και οι συνεργάτες καθώς και οι κυβερνητικές ρυθμιστικές αρχές που είναι υπεύθυνες για την ασφάλεια στον κυβερνοχώρο μπορούν να ελέγχουν την ακεραιότητα των λύσεων της εταιρείας εξετάζοντας τον πηγαίο κώδικα τους και επίσης να μαθαίνουν περισσότερα για τις εσωτερικές διαδικασίες της εταιρείας. Από το άνοιγμα του πρώτου Κέντρου Διαφάνειας στη Ζυρίχη τον Νοέμβριο του 2018, η Kaspersky έχει ανοίξει οκτώ ακόμη κέντρα στην Ευρώπη, τη Βόρεια και τη Λατινική Αμερική, καθώς και την Ασία-Ειρηνικό. Μέχρι σήμερα, η Kaspersky έχει οργανώσει ενημερώσεις για σχεδόν 60 αιτούντα μέρη στα Κέντρα Διαφάνειας παγκοσμίως, συμπεριλαμβανομένων εθνικών ρυθμιστικών αρχών και επιχειρήσεων από όλον τον κόσμο.
Μέχρι τα μέσα του 2024, η Kaspersky σχεδιάζει να επεκτείνει το δίκτυο Κέντρων Διαφάνειας στη Μέση Ανατολή και την Αφρική και να ανοίξει τα πρώτα της Κέντρα Διαφάνειας σε κάθε περιοχή, μαζί με τη δημιουργία ενός νέου κέντρου στην περιοχή Ασίας-Ειρηνικού. Οι τρεις νέες εγκαταστάσεις θα χρησιμεύσουν ως κέντρα ενημέρωσης για τους stakeholders της εταιρείας αναφορικά με τις εσωτερικές πρακτικές μηχανικής και διαχείρισης δεδομένων της Kaspersky, αλλά και για τα ισχύοντα βιομηχανικά πρότυπα και τις βέλτιστες πρακτικές.
Το πρότυπο “πράσινο” Data Center
Επόμενος σταθμός μας στην εκδήλωση, ήταν η επίσκεψη στο Green Data Center στη Ζυρίχη που με μια πρώτη ματιά, εντυπωσιάζει για την αρχιτεκτονική του κτιρίου του, αλλά και για τις υποδομές του, στις οποίες φιλοξενούνται σημαντικές επιχειρήσεις και κορυφαίοι ιδιωτικοί και δημόσιοι οργανισμοί από πολλούς κλάδους.
Φυσικά, για λόγους εμπιστευτικότητας δεν μας αποκαλύφθηκαν ποιοι μεγάλοι πελάτες εμπιστεύονται τα δεδομένα τους στο Green, η Kaspersky όμως είναι ένας από αυτούς.
Σίγουρα όμως ,λόγω γεωγραφικής θέσης του Data Center και το γεγονός ότι βρίσκεται σε μια χώρα στην οποία εδρεύουν κορυφαία χρηματοπιστωτικά ιδρύματα, μπορούμε να φανταστούμε την κρισιμότητα της υποδομής.
Όπως ήταν αναμενόμενο, δεν επιτρέπεται φωτογράφηση στους χώρους του Data Center, κατά τη ξενάγηση μας όμως από τους υπευθύνους, ενημερωθήκαμε και διαπιστώσαμε από κοντά ότι το Green Data Center είναι σχεδιασμένο ώστε να παρέχει μέγιστη ασφάλεια και υψηλή διαθεσιμότητα, διαθέτοντας μεγάλες εφεδρικές υποδομές ψύξης και τροφοδοσίας και όλα αυτά με γνώμονα τη βιωσιμότητα και προστασία του περιβάλλοντος. Σε ότι αφορά το κτίριο, ορατοί είναι μόνο οι όροφοι των γραφείων, ενώ οι βασικές τεχνολογικές επιχειρησιακές εγκαταστάσεις του data center, εκτείνονται σε 5 υπόγεια επίπεδα, στα οποία περιηγηθήκαμε βλέποντας από κοντά τους χώρους και τις υποδομές.
Κορυφαία πρόκληση σε μια τέτοια εγκατάσταση αποτελεί σίγουρα αποτελεί η διαχείριση της θερμοκρασίας, γιατί μια ενδεχόμενη άνοδος των βαθμών κελσίου πάνω από κάποιο επιτρεπτό όριο μπορεί να δημιουργήσει πολλά και σημαντικά προβλήματα στις υποδομές.
Το Green Data Center Zurich City είναι λοιπόν από τα πρώτα στην Ελβετία που χρησιμοποιεί τεχνολογία “waste heat” απορριπτόμενη θερμότητα, ενώ το σύστημα ψύξης προέρχεται από το Zurich Cantonal Electricity Works (EKZ). Μεγάλη βαρύτητα έχει δοθεί όπως είναι αναμενόμενο άλλωστε και στη φυσική ασφάλεια με το πολύ υψηλό επίπεδο ελεγχόμενης πρόσβασης, με πέντε ζώνες ασφάλειας, τριπλό έλεγχο ταυτότητας και 24ώρη επιτήρηση. Το Green Data Center καλύπτει όλες τις σημαντικές πιστοποιήσεις που απορρέουν από την ανάγκη ικανοποίησης και των πιο αυστηρών απαιτήσεων.
Victim Discovery – Μια πρωτοβουλία για την αναζήτηση θυμάτων επιθέσεων
Στη συνέχεια περάσαμε στο μέρος των παρουσιάσεων από τους ειδικούς της Kaspersky που φιλοξενήθηκε στους χώρους του ξενοδοχείου της εκδήλωσης. Αρχικά παρακολουθήσαμε την πολύ ενδιαφέρουσα ανάλυση της Yuliya Novikova, Head of Security Services Analysis της Kaspersky, που παρουσίασε τα ευρήματα της πρωτοβουλίας της εταιρίας που ονομάζεται “Victim Discovery“. Η συγκεκριμένη πρωτοβουλία αφορά την παρακολούθηση των αναρτήσεων στο Darknet ανιχνεύοντας κρίσιμο περιεχόμενο που σχετίζεται με την πώληση βάσεων δεδομένων, την παραβίαση IT υποδομών και το ransomware. Η ιδέα πίσω από αυτή τη πρωτοβουλία ήταν απλή: καθ ‘όλη τη διάρκεια του 2022, η πρωτοβουλία παρακολουθούσε αναρτήσεις του σκοτεινού ιστού (darknet) που υπαινίσσονταν επικίνδυνες δραστηριότητες, όπως παράνομη πρόσβαση σε βάσεις δεδομένων εταιρειών ή διάφορες άλλες παραβιάσεις IT υποδομής. Ως αποτέλεσμα αυτού, η ομάδα κατάφερε να επισημάνει 300 παραβιάσεις σε παγκόσμιες εταιρείες, προειδοποιώντας τους για σοβαρά περιστατικά. Αυτό που σίγουρα αποτέλεσε έκπληξη, σύμφωνα με τα στοιχεία που μας παρουσίασαν ήταν οι αντιδράσεις των εταιρειών που ειδοποιήθηκαν. Περισσότερες από το ένα τρίτο, δεν είχαν κανένα σημείο επαφής και ενημέρωσης για τέτοια περιστατικά και ένα ανησυχητικό ποσοστό 28% δεν ανταποκρίνονται σε ειδοποιήσεις που τους προειδοποιούν για μια απειλή ή ακόμα χειρότερο ισχυρίζονται ότι δεν ενδιαφέρονται για αυτές τις επιθέσεις. Οι λόγοι αυτής της αντίδρασης μπορεί να είναι διάφοροι, από το να μην έχει κάποια εταιρία την οικονομική δυνατότητα για να επενδύσει στην ασφάλεια της κυβερνοχώρο, μέχρι ακόμα και τη δυσπιστία για το γεγονός ότι η ίδια η Kaspersky έχει αναλύσει τα δεδομένα του. Το 22% των εταιρειών έχουν «θετική» ανταπόκριση, σύμφωνα με τη Novikova, αφού επιβεβαιώνουν το περιστατικό και αποδέχονται τις πληροφορίες που προσφέρει η Kaspersky για την επίλυσή του και ένα 5% γνώριζε ήδη την παραβίαση.
«Τα στοιχεία που προέκυψαν από τη συγκεκριμένη πρωτοβουλία και αφορούν την αντίδραση των εταιρειών στην παραβίαση δεδομένων τους και την κοινοποίηση τους στο Darknet, θα λέγαμε ότι είναι αποθαρρυντικά. Μόνο το ένα τρίτο των εταιρειών ανταποκρίθηκε επαρκώς στην κατάσταση, ενώ η πλειονότητα φαίνεται να περιδινείται μεταξύ άρνησης, άγνοιας και αδυναμίας», σύμφωνα με την Yuliya Novikova «Ενώ η παρακολούθηση του Darknet φαινόταν αρκετά περίπλοκη κατά το παρελθόν, η κατάσταση έχει πια μεταβληθεί. Πλέον, αποτελεί πολύτιμη πηγή δεδομένων προκειμένου οι επαγγελματίες της κυβερνοασφάλειας να ανακαλύψουν περισσότερα για το τρέχον πεδίο απειλών, είτε αφορά αναλυτές CTI, είτε αναλυτές SOC κ.α. Η συγκεκριμένη πηγή προσφέρει άμεσες απαντήσεις σε περιστατικά ασφαλείας, όπως προσφορές για πώληση πρόσβασης σε εταιρικά συστήματα ή διαρροές δεδομένων, συμβάλλοντας τελικά στην αποφυγή παραβιάσεων δεδομένων».
Ιδιαίτερο ενδιαφέρον παρουσιάζουν και οι ψεύτικες διαρροές δεδομένων που κατασκευάζουν οι κυβερνοεγκληματίες. Μια «ψεύτικη» διαρροή δεδομένων μπορεί να λάβει τη μορφή μιας «αναλυμένης» βάσης δεδομένων, η οποία περιλαμβάνει την εξαγωγή πληροφοριών από ανοιχτές πηγές χωρίς ευαίσθητα δεδομένα. Η ανάλυση στο Διαδίκτυο, επίσης γνωστή ως web scraping, αναφέρεται στην εξαγωγή κειμένου, εικόνων, συνδέσμων, πινάκων ή άλλων πληροφοριών από ιστότοπους. Με τη βοήθεια της ανάλυσης, οι φορείς απειλών μπορούν να συλλέγουν πληροφορίες για κακόβουλους σκοπούς, συμπεριλαμβανομένων των ψεύτικων διαρροών. Κάθε φορά που προκύπτουν προσφορές στο dark net που ισχυρίζονται ότι παρέχουν βάσεις δεδομένων που έχουν διαρρεύσει από δημοφιλή κοινωνικά δίκτυα όπως το LinkedIn, το Facebook ή το Twitter, είναι πολύ πιθανό να πρόκειται για πλαστές διαρροές που περιέχουν πληροφορίες που είναι ήδη διαθέσιμες δημόσια στο διαδίκτυο. Τέτοιες βάσεις δεδομένων μπορούν να κυκλοφορούν στο dark web για χρόνια, προκαλώντας περιστασιακά νέες δημοσιεύσεις και προκαλώντας ανησυχία στις εταιρείες για υποτιθέμενες νέες διαρροές.
H επέλαση των AI Bots – Ευλογία ή κατάρα το AI για την κυβερνοασφάλεια
Σίγουρα μια παρουσίαση που κέντρισε το ενδιαφέρον μας ήταν αυτή του Maher Yamout, Senior Security Researcher της Kaspersky Global Research and Analysis Team που ανέδειξε τις αυξανόμενες δυνατότητες των AI bots και την επίδραση που μπορεί να έχουν στην κυβερνοασφάλεια. Η εισήγηση του ομιλητή είχε ως βάση προβληματισμού το εξής: Τα bots τεχνητής νοημοσύνης, με τις εξαιρετικά γρήγορες ικανότητες επεξεργασίας δεδομένων τους, μπορούν να δημιουργούν προϋποθέσεις ασφάλειας στον κυβερνοχώρο. Είμαστε όμως σίγουροι για το αν θέλουμε αυτά να προστατεύουν την ψηφιακή μας ζωή;
Ο Maher Yamout με βάση αυτόν τον προβληματισμό ανέδειξε μερικά από τα οφέλη που φέρνει η τεχνητή νοημοσύνη, όπως η συμβολή της στην ανίχνευση ευπαθειών, αλλά και στη μείωση σφαλμάτων και έδειξε στη πράξη κάποιες περιπτώσεις χρήσης του ChatGPT στο τομέα της εταιρικής ασφάλειας. Για παράδειγμα, ανέφερε ότι μπορούμε να χρησιμοποιήσουμε το chatbot για τη δημιουργία ενός δείγματος μηνύματος phising. Αυτό το παράδειγμα θα μπορούσε στη συνέχεια να χρησιμοποιηθεί για εκπαιδευτικούς λόγους με στόχο την ενίσχυση της ευαισθητοποίησης απέναντι στους κινδύνους του ψηφιακού κόσμου.
Η συζήτηση περιστράφηκε γύρω και από το ενδεχόμενο της απώλειας θέσεων εργασίας στο χώρο λόγω της ανάπτυξης της τεχνητής νοημοσύνης, με τον ομιλητή να υποστηρίζει ότι αυτό είναι πιθανόν να συμβεί σε κάποιες περιπτώσεις. Όμως, σε καμία περίπτωση – όπως τόνισε – δεν είναι εφικτή με τα σημερινά δεδομένα, η αντικατάσταση των υπευθύνων λήψης αποφάσεων και των επαγγελματιών που έχουν την ευθύνη της επίλυσης προβλημάτων στον κυβερνοχώρο, από την τεχνητή νοημοσύνη. Αυτό σενάριο συγκεντρώνει ελάχιστες πιθανότητες στο άμεσο μέλλον.
Ολοκληρώνοντας , το μήνυμα του Maher Yamout ήταν σαφές: «…ενώ ο ρόλος της AI στην ασφάλεια στον κυβερνοχώρο αυξάνεται, είναι ζωτικής σημασίας να ακολουθήσουμε αυτό το μονοπάτι με μεγάλη προσοχή, εξισορροπώντας τα πιθανά οφέλη έναντι πιθανών κινδύνων.»
Ο Jornt van der Wiel, Senior Security Researcher της ομάδας Kaspersky Global Research and Analysis– με τον οποίο είχαμε τη δυνατότητα να έχουμε στη συνέχεια και μια προσωπική συνάντηση – μας παρουσίασε νέα ευρήματα που αφορούν ομάδες κυβερνοεγκλήματος εστιάζοντας συγκεκριμένα στη δράση της Andariel, μιας υποομάδας της διαβόητης ομάδας Lazarus. Η Kaspersky ανακάλυψε ότι υποομάδα αυτή ανέπτυξε μια άγνωστη μέχρι πρόσφατα απειλή με την ονομασία Earlyrat που στην ουσία είναι ένα Trojan απομακρυσμένης πρόσβασης – remote access Trojan (RAT) – το οποίο όπως και τα υπόλοιπα αυτής της κατηγορίας συλλέγει πληροφορίες συστήματος από τις συσκευές που έχουν παραβιαστεί και τις στέλνει στον διακομιστή εντολών και ελέγχου (command and control – C2). Τα μεταδιδόμενα δεδομένα περιλαμβάνουν μοναδικά αναγνωριστικά μηχανήματος (ID) και ερωτήματα, τα οποία κρυπτογραφούνται χρησιμοποιώντας κρυπτογραφικά κλειδιά που καθορίζονται στο πεδίο ID. Το EarlyRat είναι στην ουσία ένα απλό εργαλείο και παρουσιάζει ομοιότητα με το MagicRat, ένα άλλο κακόβουλο λογισμικό που χρησιμοποιήθηκε προηγουμένως από τους Lazarus.
H υποομάδα Andariel είναι ενεργή εδώ και αρκετά χρόνια διενεργώντας επιθέσεις με πολύ δυσάρεστα αποτελέσματα για μια πληθώρα οργανισμών. Χρησιμοποιώντας ένα exploit Log4j διέσπειρε μολύνσεις, οι οποίες στη συνέχεια κατέβαζαν επιπλέον κακόβουλο λογισμικό. Η Andariel εισήγαγε διάφορες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των YamaBot και MagicRat, μαζί με ενημερωμένες εκδόσεις των NukeSped και DTrack.
Ο Jornt Van der Wiel σχολίασε τα ευρήματά τους, αναφέροντας «Στο τεράστιο τοπίο του εγκλήματος στον κυβερνοχώρο, συναντάμε πολλούς παίκτες και ομάδες που λειτουργούν με ρευστές και μικτές συνθέσεις. Είναι σύνηθες για τις ομάδες να υιοθετούν κώδικα από άλλους, ακόμη και συνεργάτες που μπορούν να θεωρηθούν ως ανεξάρτητες οντότητες, αλλάζοντας μεταξύ διαφορετικών τύπων κακόβουλου λογισμικού. Προσθέτοντας στην πολυπλοκότητα, υποομάδες ομάδων APT, όπως η Andariel της Lazarus, συμμετέχουν σε τυπικές δραστηριότητες εγκλήματος στον κυβερνοχώρο, όπως η ανάπτυξη ransomware. Εστιάζοντας σε τακτικές, τεχνικές και διαδικασίες, όπως κάναμε με το Andariel, μπορούμε να μειώσουμε σημαντικά τον χρόνο απόδοσης και να εντοπίσουμε επιθέσεις στα αρχικά τους στάδια».
Κλείνοντας, είχαμε την ευκαιρία να συνομιλήσουμε με τον Jornt Van der Wiel, στα πλαίσια μιας μικρής προσωπικής συνέντευξης και να τον ρωτήσουμε για την ομάδα Global Research & Analysis Team (GReAT) της Kaspersky όπου μας ανέφερε ότι αποτελεί την “εμπροσθοφυλακή” της εταιρίας στην ανακάλυψη των APTs, των εκστρατειών κατασκοπείας, των κορυφαίων κακόβουλων λογισμικών, ransomware και άλλων απειλών στο κυβερνοχώρο. Με πάνω από 40 ειδικούς αναλυτές που εργάζονται σε όλο το κόσμο (Ευρώπη, τη Ρωσία, την Αμερική, την Ασία, τη Μέση Ανατολή), η ομάδα αυτή έχει ένα πολύ υψηλό επίπεδο τεχνογνωσίας και αξιοποιεί τις πλέον σύγχρονες καινοτομίες για την ανακάλυψη και ανάλυση των απειλών, συλλέγοντας καθημερινά δεδομένα από πολλαπλές πηγές και ταξινομώντας τα ευρήματα ανάλογα με το πόσο επικίνδυνα μπορεί να είναι. Μιλώντας για τις εξελισσόμενες απειλές μας ανέφερε ότι αυτή την περίοδο υπάρχει έντονη δραστηριοποίηση με εκστρατείες phishing με στόχο χρήστες κρυπτονομισμάτων σε όλον τον κόσμο. Μόνο την άνοιξη του 2023, οι προηγμένες λύσεις της Kaspersky εντόπισαν και απέτρεψαν πάνω από 85.000 scam emails, που περιλάμβαναν hot και cold wallets. Σε ότι αφορά τους τρόπους αντιμετώπισης όλων αυτών των απειλών, έδωσε έμφαση στις διαρκείς προσπάθειες ευαισθητοποίησης των χρηστών σε συνδυασμό με τις υπάρχουσες τεχνολογίες προστασίας, ενώ σχετικά με τις ανάγκες των μικρών και μεγάλων επιχειρήσεων υποστήριξε ότι θα ήταν καλό να βασιστούν στις υπηρεσίες των MSPs
Τελικές σκέψεις….
Η ενασχόληση και η διερεύνηση των θεμάτων που αφορούν την ασφάλεια στο κυβερνοχώρο είναι πάνω από όλα συλλογή εμπειριών και σίγουρα μια εκδήλωση όπως το Kaspersky ΝΕΧΤ και η έστω ολιγόωρη συναναστροφή με ειδικούς του χώρου με τόσο σημαντική επίδραση, εμπλουτίζει σε μεγάλο βαθμό αυτή τη συλλογή εμπειριών και κάνει ακόμα πιο κατανοητό το τόσο περίπλοκο και δυναμικό περιβάλλον αυτού του χώρου.