Perspektiver og nyheder om

cyberforsvar der virker


2018-05-14 09:15 | Thore West Eilersen

Det generelle trusselsbillede: Professionelle cyberkriminelle

Foruden de enlige og organiserede cyberkriminelle, som vi beskrev i den sidste blogpost findes der også cyberkriminelle, der er i bogstavelig forstand går efter guldet. Deres aktiviteter spænder fra storstilet tyveri af kreditkortoplysninger til forsøg på at stjæle penge fra nationalbanker.

Der er tale om professionelle grupper, der bruger teknikker, der overgår både de enlige cyberkriminelle og de almindelige organiserede kriminelle i teknisk kapacitet og kompleksitet. Truslen fra disse grupper er derfor også meget høj.

Højt teknisk niveau

Foruden at være kendetegnet ved et relativt højt teknisk niveau er de professionelle cyberkriminelle meget vedholdende i deres opgaver. Deres metoder kan derfor minde meget om dem, som de statsstøttede hackere bruger til at udføre cyberspionage – omend de cyberkriminelle stadigvæk ikke har nået samme niveau.

Nogle af disse grupper er kendt for at gøre brug af legitime brugernavne og kodeord tilhørende de kompromitterede virksomheder for at få adgang til Point-of-Sale (PoS) systemer. Det er uvist hvordan grupperne får adgang til de legitime brugernavne og kodeord. Det er dog muligt, at de gjorde brug af brugernavne og kodeord, der lå offentligt tilgængelige på internettet. Ved at få adgang til PoS systemerne kunne de kriminelle stjæle kreditkortoplysninger, der efterfølgende kunne sælges på undergrundsfora på internettet(1,2).

Et andet et eksempel på denne type cyberkriminelle fandt sted i december 2013, da ukendte cyberkriminelle fik adgang til PoS systemer hos den amerikanske detailkæde Target. I dette tilfælde var det muligt for de cyberkriminelle at stjæle kreditkort information fra 70 millioner kunder. Foruden tabene for kunderne endte sagen med, at Targets CEO og CIO blev afskediget(3).

Blandt de mere avancerede grupper findes Carbanak. Denne gruppe har tidligere brugt målrettede e-mails, også kaldet spear phishing, mod banker, hoteller og virksomheder i detailbranchen for at få adgang til finansiel information. En af de interessante fremgangsmåder, som gruppen tidligere har gjort brug af, er at opnå adgang til pengeautomater. På denne måde kunne de kriminelle sætte en automat til at udbetale penge til en mellemmand, der stod og ventede. Gruppen har også brugt sin adgang til at overføre penge til konti, som de kriminelle kontrollerede, og til at stjæle kreditkortinformation. Det er muligt, at denne gruppe står bag tyveri for op mod $1 mia(4,5).

Afpresning og ransomware

En anden metode for at tjene penge er afpresning. Et eksempel på en gruppe, der bruger denne fremgangsmåde er kendt som FIN10. Denne gruppe bruger spear phishing og offentlig tilgængelig malware til at få adgang til ofrenes netværk. Formålet med gruppens operationer er at stjæle forretningsinformation, herunder både intellektuel ejendom og korrespondancer. Efterfølgende trues de ramte virksomheder til at betale for at undgå, at informationen bliver offentliggjort(6).

I oktober 2016 blev kørselstjenesten Uber offer for afpresning, i en sag, hvor 50 millioner Uber kunders navne, e-mail adresser og telefonnumre blev stjålet af cyberkriminelle. Samtidig blev lignende oplysninger om 7 millioner Uber chauffører stjålet. Uber forsøgte efterfølgende at holde sagen hemmelig, og endte med at betale hackerne $100.000 for ikke at frigive de oplysninger, de var kommet i besiddelse af. Det er uvist om de kriminelle fulgte denne aftale. Sagen endte med at koste Ubers sikkerhedschef sit arbejde(7).

Presseomtale om Uber-sagen(i).

Afpresning er også hovedformålet i forhold til truslen fra enkeltpersoner og grupper, der spreder ransomware. Ved et ransomwareangreb krypterer de kriminelle data, så det bliver utilgængeligt for offeret. For at få adgang til data igen skal offeret betale løsepenge. Risikoen for at blive udsat for et ransomware angreb er steget voldsomt i løbet af de seneste år. Desværre kan ransomware også ramme bredere, hvilket blev eksemplificeret ved NotPetya kampagnen i juni 2017. Ransomwaren endte med at koste A.P. Møller-Mærsk op mod DKK 1,9 mia. i direkte omkostninger(8).

Screendump fra DR.dk(ii).

Statslige kriminelle

Blandt de dygtigste cyberkriminelle findes gruppen kendt som Lazarus. Denne gruppe kompromitterede i 2017 Polens finanstilsyns hjemmeside, for at bruge den i et såkaldt watering hole angreb(9). Ved et watering hole angreb kompromitteres en hjemmeside, som hackerne forventer, at ofrene vil besøge. Når dette sker, forsøges ofrene kompromitteret automatisk.

Lazarus er dog mest berømt for at have været involveret i forsøget på at stjæle næsten $1 mia. fra Bangladesh nationalbank i 2016. Tyveriet blev dog opdaget, og det lykkedes derfor kun at stjæle omkring $80 mio(10). Senest er gruppen blevet forbundet til et forsøg på at stjæle Bitcoins både privatpersoner og en stor, multinational bank(11).

Gruppen er samtidig kædet sammen med cyberspionage og destruktive cyberangreb mod Sydkorea i 2013 og cyberangrebet mod Sony Pictures Entertainment i 2014(10,12). På grund af disse mål er det sandsynligt, at der er tale om en gruppe med forbindelse til den nordkoreanske stat. Det er muligt, at gruppens tyverier bruges til både at understøtte dens egne aktiviteter og til at understøtte den nordkoreanske stat som sådan.

Udsigterne

Truslen fra de professionelle cyberkriminelle grupperinger vil fortsat være meget høj. Modsat truslen fra ”almindelige” cyberkriminelle kræver det en større og fokuseret indsats at inddæmme og opdage disse trusler.

Indtil videre har ingen kriminelle grupperinger uden en form for statslig forbindelse nået det tekniske niveau, som ses hos de statsstøttede hackergrupper. Det tætteste eksempel på dette er Lazarus gruppen, der dog sandsynligvis er forbundet med den nordkoreanske stat. Det er sandsynligt, at de kriminelle grupper vil øge deres tekniske niveau på kort sigt, som følge af det øgede fokus på deres aktiviteter.

Wired artikel om EternalBlue(iii).

Denne udvikling kan understøttes af læk af information om avancerede teknikker og ukendte sårbarheder. Et eksempel på dette er gruppen kendt som The Shadow Brokers, der i april 2017 lækkede information om en sårbarhed kendt som EternalBlue(13). Det var denne sårbarhed, der blev brugt i forbindelse med WannaCry ransomware angrebene i maj 2017 og NotPetya ransomware angrebene i juni 2017.

I vores næste blogpost ser vi nærmere på en trussel, der kommer indefra – insidertruslen.

Kilder

(1) DARKReading - Prolific Cybercrime Gang Favors Legit Login Credentials

(2) FireEye - Follow the Money: Dissecting the Operations of the Cyber Crime Group FIN6

(3) SANS Institute InfoSec Reading Room - Case Study: Critical Controls that Could Have Prevented Target Breach

(4) Kaspersky Lab - Carbanak APT - The Great Bank Robbery

(5) RSA - The Carbanak/FIN7 Syndicate - A Historical Overview of an Evolving Threat

(6) FireEye - FIN10 - Anatomy of a Cyber Extortion Operation

(7) Bloomberg Technology - Uber Paid Hackers to Delete Stolen Data on 57 Million People

(8) DR.dk - Hackerangreb koster Mærsk milliardbeløb

(9) CNN - North Korea-linked hackers are attacking banks worldwide

(10) Kaspersky Lab - Lazarus Under the Hood

(11) McAfee - Lazarus Resurfaces, Targets Global Banks and Bitcoin Users

(12) Novetta - Operation Blockbuster - Unraveling the Long Threat of the Sony Attack

(13) Wired - Everything you need to know about EternalBlue - the NSA exploit linked to Petya

Billeder

(i) Bloomberg Technology - Uber Paid Hackers to Delete Stolen Data on 57 Million People

(ii) DR.dk - Hackerangreb koster Mærsk milliardbeløb

(iii) Wired - Everything you need to know about EternalBlue - the NSA exploit linked to Petya