Γιατί οι ελληνικές τράπεζες βρέθηκαν στο στόχαστρο των χάκερ -ΣΤΟΧΟΣ, Η ΚΑΤΑΡΡΕΥΣΗ ΤΗΣ ΣΥΝΔΕΣΗΣ ΜΕ ΤΟ ΔΙΑΔΙΚΤΥΟ

laptopΣε συνεχώς διευρυνόμενη την τελευταία διετία λίστα χρηματοπιστωτικών οργανισμών που βρίσκονται στο στόχαστρο «κυβερνοεγκληματιών» που ζητούν λύτρα σε bitcoin προκειμένου να μην «ρίξουν» τις υποδομές των οργανισμών – στόχων, εντάχθηκαν οι τρεις ελληνικές τράπεζες στις οποίες «επιτέθηκε» μία σχετικά νέα ομάδα χάκερ, ονόματι Armada Collective.

Το «τελεσίγραφο» της Armada Collective έληξε προχθές το βράδυ και παρά τις απειλές που έχουν εξαπολύσει, θεωρείται μάλλον δύσκολο να επαναλάβουν την προσπάθειά τους, καθώς η μέχρι τώρα τακτική της συγκεκριμένης ομάδας δεν δείχνει να επιμένει για μεγάλο χρονικό διάστημα σε έναν στόχο, αλλά να αναζητά άλλο «πιθανό» θύμα.

Σύμφωνα με ειδικούς σε θέματα ασφάλειας πληροφοριακών συστημάτων, οι επιθέσεις που πραγματοποίησε η Armada Collective χαρακτηρίζονται αρκετά «άγριες», καθώς ο τρόπος με τον οποίο έγιναν δεν είχε ως σκοπό να μη λειτουργεί απλώς η υπηρεσία ηλεκτρονικής τραπεζικής (e-banking), όπως ήταν η πρώτη εκτίμηση που μεταδόθηκε από τα μέσα ενημέρωσης, αλλά να καταρρεύσει συνολικά η σύνδεση της τράπεζας με το Διαδίκτυο. Κάτι που πρακτικά σημαίνει ότι όχι μόνο δεν θα λειτουργούν οι διαδικτυακές υπηρεσίες της τράπεζας, αλλά οι εργαζόμενοι σε αυτήν δεν θα μπορούν καν να έχουν πρόσβαση στο Internet.

Γιατί οι ελληνικές τράπεζες βρέθηκαν στο στόχαστρο των χάκερ

Πώς έγινε
Η μορφή της «επίθεσης» χαρακτηρίζεται μεν ως DDoS (Distributed Denial of Service) αλλά στην προκειμένη περίπτωση δεν ήταν η πιο «κλασική» έκδοση που θέλει τον επιτιθέμενο να στέλνει εκατομμύρια «αιτήματα» προς την ιστοσελίδα – στόχο ώστε να προκαλέσει την κατάρρευση της. Στην περίπτωση των ελληνικών τραπεζών χρησιμοποιήθηκε το αποκαλούμενο DNS amplification που είναι μία πιο «άγρια» εκδοχή του DDoS, η οποία μπορεί να υλοποιηθεί σχετικά εύκολα, καθώς ο επιτιθέμενος μπορεί να την πραγματοποιήσει χρησιμοποιώντας μόλις έναν server! Φυσικά, συνήθως χρησιμοποιούνται περισσότεροι servers, αλλά γενικότερα αυτή η μορφή θέλει σχετικά λίγους πόρους.

Στην περίπτωση του DNS amplification, o επιτιθέμενος χρησιμοποιεί μία μέθοδο που αποκαλείται ΙΡ spoofing στην αργκό της ασφάλειας πληροφοριακών συστημάτων. Πιο συγκεκριμένα, βρίσκει τις διευθύνσεις που χρησιμοποιεί η επιχείρηση – στόχος για την πρόσβαση στο Διαδίκτυο (ΙΡ address) και στη συνέχεια «υποδύεται» ότι από αυτές τις διευθύνσεις στέλνονται εκατομμύρια αιτήματα προς τους DNS servers (σ.σ. τις «υπηρεσίες καταλόγου» του Internet). Το πρόβλημα δημιουργείται όταν οι DNS servers απαντούν σε αυτά τα αιτήματα και ο όγκος των δεδομένων που αποστέλλονται πίσω είναι τόσο μεγάλος που έχει ως αποτέλεσμα οι τηλεπικοινωνιακές συνδέσεις που χρησιμοποιεί η επιχείρηση – στόχος για την πρόσβαση στο Διαδίκτυο να μην αντέξουν και να διακοπεί πλήρως η λειτουργία τους. Σε αυτή την περίπτωση δεν λειτουργούν οι διαδικτυακές υπηρεσίες της τράπεζας, ενώ οι εργαζόμενοι δεν έχουν καν πρόσβαση στο Internet.

Στην περίπτωση των ελληνικών τραπεζών, το μέγεθος των επιθέσεων ήταν μεταξύ 10 και 20 GB ανά δευτερόλεπτο και γι’ αυτό, όπως αναφέρουν οι πληροφορίες, υπήρξε μικρή διακοπή στην πρόσβαση στο Διαδίκτυο σε μία από τις τράπεζες κατά το πρώτο κύμα των επιθέσεων πριν από περίπου δέκα ημέρες. Από την άλλη πλευρά, η επίθεση αυτή είναι προφανές ότι δεν είχε στόχο τα δεδομένα των πελατών της τράπεζας ή τις καταθέσεις τους.

Το DNS amplification είναι μεν μία «άγρια» μορφή DDoS, αλλά η αντιμετώπισή του είναι σχετικά απλή: είτε ο τηλεπικοινωνιακός πάροχος του «στόχου» διαθέτει μία ειδική λύση που αντιμετωπίζει τέτοιου είδους επιθέσεις, είτε η ίδια η επιχείρηση χρησιμοποιεί τις υπηρεσίες ενός εξειδικευμένου δικτύου διαχείρισης κίνησης, το επονομαζόμενο content delivery network (CDN), το οποίο φιλτράρει την εισερχόμενη κίνηση και «σταματά» την κίνηση που δημιουργείται από μία επίθεση μέσω IP spoofing.

Σε άνοδο οι επιθέσεις
Αυτό πάντως που πρέπει να σημειωθεί είναι ότι η Armada Collective δεν χτύπησαν για πρώτη φορά ούτε είναι η πιο γνωστή ομάδα που κάνει επιθέσεις DDoS ζητώντας λύτρα σε bitcoin. Όπως ανέφερε σε πρόσφατο συνέδριο του οργανισμού NANOG, o αναλυτής της Arbor Networks, η οποία δραστηριοποιείται στον χώρο της ασφάλειας πληροφοριακών συστημάτων, Ρόλαντ Ντόμπινς, από το 2014 έχει εμφανιστεί η DD4BC (DDoS for Bitcoins), μία ομάδα που πραγματοποιεί «επιθέσεις» και ζητά λύτρα σε bitcoins. Στην αρχή οι επιθέσεις ήταν σε online καζίνο και εταιρείες στοιχηματισμού, αλλά το 2015 ξεκίνησε τις «επιθέσεις» εναντίον χρηματοπιστωτικών οργανισμών. Ο τρόπος που επιτίθενται οι δύο ομάδες είναι παρόμοιος, αλλά ουδείς γνωρίζει αν έχουν σχέση μεταξύ τους.

Bitcoin
Το νόμισμα που προτιμούν οι κυβερνοεγκληματίες

Ο λόγος που οι «κυβερνοεγκληματίες» προτιμούν το bitcoin δεν είναι απλώς ότι είναι ένα διάσημο διαδικτυακό νόμισμα. Πρόκειται για ένα νόμισμα που γίνεται αποδεκτό παγκοσμίως και μπορεί να «ανταλλαχθεί» και επίσης δεν φορολογείται. Το κυριότερο πλεονέκτημά του είναι ότι είναι δύσκολο να εντοπισθεί. Στο σημείο αυτό, θα πρέπει να επισημανθεί ότι ο εντοπισμός ενός «κυβερνοεγκληματία» μέσω του bitcoin είναι δύσκολος αλλά όχι αδύνατος και σε αρκετές φορές οι διωκτικές αρχές είχαν σημαντικές επιτυχίες ακολουθώντας αυτόν τον δρόμο. «Αν ασχοληθείς, μπορείς να βρεις ποιος το έκανε», σημείωναν ειδικοί σε θέματα ασφάλειας.

Τα πιο γνωστά πλήγματα
Cabarnak, JP Morgan και οι προηγμένες επιθέσεις

H επίθεση της Armada Collective ήταν η μεγαλύτερη «κυβερνοεπίθεση» που έχει σημειωθεί στην Ελλάδα, επισημαίνει στην «Η» ο Πάνος Δημητρίου, γενικός διευθυντής τεχνολογίας της Encode, μία ελληνική εταιρεία που δραστηριοποιείται τα τελευταία χρόνια με μεγάλη επιτυχία στον χώρο της ασφάλειας πληροφοριακών συστημάτων. «Έχουν υπάρξει στο παρελθόν αρκετές επιθέσεις, οι οποίες, όμως, ήταν μικρότερης έκτασης αν και ήταν περισσότερο «προηγμένες» από τεχνικής απόψεως, σημειώνει ο κ. Δημητρίου. Σύμφωνα με το στέλεχος της Encode, οι ελληνικές τράπεζες δίνουν μεγάλη έμφαση στον χώρο της ασφάλειας των πληροφοριακών συστημάτων, έχοντας προχωρήσει σε σημαντικές επενδύσεις και αναζητώντας διαρκώς επιπλέον λύσεις. Όμως, οι μεγάλες επενδύσεις δεν σημαίνει ότι θα αποφύγεις να πέσεις θύμα μίας επίθεσης, ιδίως από τη στιγμή που οι κυβερνοεγκληματίες δείχνουν πολλές φορές να βρίσκονται ένα βήμα μπροστά από τους «διώκτες» τους.

Είναι χαρακτηριστικό το παράδειγμα της αμερικανικής JPMorgan, η οποία τον Οκτώβριο του 2014 παραδέχτηκε ότι χάκερς υπέκλεψαν στοιχεία από περισσότερους από 80 εκατ. λογαριασμούς στο πλαίσιο μίας «επίθεσης» που είχαν κάνει το καλοκαίρι της ίδιας χρονιάς. Σημειωτέον πως θύματα επιθέσεων το καλοκαίρι του 2014 είχαν πέσει συνολικά επτά αμερικανικές τράπεζες με τους «επιτιθέμενους» να έχουν αποκτήσει πρόσβαση για αρκετούς μήνες στα συστήματα των συγκεκριμένων τραπεζών. Πάντως, η μεγαλύτερη «κυβερνοληστεία» ήταν αυτή που αποκαλύφθηκε τον περασμένο Φεβρουάριο όταν η ρωσική Kaspersky Lab ανακοίνωσε ότι είχε εντοπίσει μία ομάδα χάκερ που αποκαλεί Cabernak, οι οποίο χρησιμοποιώντας ένα ειδικό «κακοήθες» λογισμικό (malware) έκλεψαν συνολικό ποσό έως 1 δισ. δολ. από έως και 100 τράπεζες, συστήματα ηλεκτρονικών πληρωμών και άλλους χρηματοοικονομικούς οργανισμούς σε περίπου 30 χώρες. Εκτιμάται ότι τα μεγαλύτερα ποσά αποσπάστηκαν με το «χακάρισμα» τραπεζικών συστημάτων και την κλοπή 10 εκατ. δολαρίων σε κάθε «επιδρομή» της συμμορίας. Κατά μέσο όρο, κάθε «ληστεία» πραγματοποιούταν σε 2 έως 4 μήνες, από τη στιγμή της προσβολής του πρώτου υπολογιστή στο εταιρικό δίκτυο μιας τράπεζας έως την τελική κλοπή των χρημάτων, με τους «κυβερνοεγκληματίες» να επιδεικνύουν εντυπωσιακή υπομονή.