THE WANNACRY RANSOMWARE: Αποδομώντας την επίθεση. Της Πόπης Πλώτα από την Ομάδα Γεωστρατηγικής και Αναδυόμενων Δυνάμεων

Εισαγωγή

Ο κυβερνοχώρος φαίνεται τα τελευταία χρόνια να αποτελεί έναν τομέα με δυναμική παρουσία στις διεθνείς αλλά και εγχώριες εξελίξεις. Η δράση στον κυβερνοχώρο μπορεί να λάβει διάφορες μορφές και να εξυπηρετήσει πληθώρα επιδιώξεων. Σήμερα, μεμονωμένοι ιδιώτες και κρατικοί δρώντες εξαπολύουν κυβερνοεπιθέσεις οι οποίες δύνανται να στοχεύουν σε άλλα κράτη, σε επιχειρήσεις, σε θεμελιώδεις κρατικές δομές, ή οργανισμούς. Καθημερινά, χιλιάδες είδη κακόβουλων λογισμικών εντοπίζονται να έχουν προσβάλει επιχειρήσεις ή και κρατικούς φορείς, καθιστώντας σαφές πως οι κυβερνοεπιθέσεις, λόγω και της φύσεως των πλεονεκτημάτων που παρέχουν, προτιμώνται ολοένα και περισσότερο και δεν είναι δυνατόν να αγνοηθούν.

Παρακάτω, παρουσιάζεται ένα χαρακτηριστικό παράδειγμα, η πρόσφατη επίθεση “Wannacry”. Λόγω της φύσεώς της, του γεγονότος δηλαδή πως ήταν μια επίθεση κρατικής ενορχήστρωσης με πληθώρα αποδεκτών, αποτελεί ένα ενδιαφέρον δείγμα μελέτης που αποτυπώνει μέρος των οφελών της τεχνολογίας στη χάραξη της εθνικής στρατηγικής.

Η ανάλυση χωρίζεται σε δύο μέρη: το πρώτο αφορά τη φύση της επίθεσης, τα τεχνικά της χαρακτηριστικά, και όλες τις σχετικές πρακτικές λεπτομέρειες. Στο δεύτερο μέρος, η επίθεση “wannacry” εντάσσεται σε ένα ευρύτερο επίπεδο, αποτυπώνεται η διασύνδεσή της με το κράτος της Βόρειας Κορέας και σκιαγραφείται ο τρόπος δράσης της τελευταίας, οι σκοπιμότητες και τα συμφέροντά της, και πώς αυτά εξυπηρετούνται μέσω των κυβερνοεπιθέσεων.

 

  1. The wannacry attack: το χρονικό και η πρακτική της επίθεσης

Το Μάιο του 2017, πάνω από 150 χώρες ήρθαν αντιμέτωπες με μια από τις μεγαλύτερου εύρους κυβερνοεπιθέσεις που έχουν διεξαχθεί. Πρόκειται για την επίθεση “Wannacry” ή “Wcry” ή “Wanacrypt0r”. Σύμφωνα με τα στοιχεία που αφορούν την υπόθεση, πάνω από 300.000 χρήστες, μεταξύ των οποίων όχι μόνο ιδιώτες, αλλά και επιχειρήσεις και κρατικοί οργανισμοί, επλήγησαν από το εν λόγω κακόβουλο λογισμικό. Τι είναι όμως ακριβώς η επίθεση “wannacry”, πώς πραγματοποιήθηκε και γιατί θεωρείται επιτυχημένη ως προς τον τελικό της στόχο?

Εν πολλοίς, η επίθεση που συνδέεται με τη δράση της Βόρειας Κορέας, αποτελείτο από ένα κακόβουλο λογισμικό, το οποίο κατάφερε να εξαπλωθεί σε σημαντικό αριθμό υπολογιστών παγκοσμίως. Η δράση του συνίστατο στην κρυπτογράφηση όλων των αρχείων που περιλαμβάνονταν στους υπολογιστές, επιτρέποντας την πρόσβαση σε δύο μόνο αρχεία, σε αυτό που περιείχε τις πληροφορίες για την πληρωμή των λύτρων και αυτό που περιείχε το ίδιο το λογισμικό της επίθεσης. Με αυτό τον τρόπο η λειτουργία των υπολογιστών αναστελλόταν, με αντάλλαγμα 300-600 δολάρια σε λύτρα, τα οποία οι χρήστες καλούνταν να πληρώσουν με τη μορφή ψηφιακού συναλλάγματος, του bitcoin, το οποίο αποτελεί ολοένα διαδιδόμενο κρυπτογραφικό νόμισμα.

Η λογική πίσω από την επίθεση έγκειτο στην εκμετάλλευση ενός ευάλωτου σημείου του λειτουργικού συστήματος των Windows, το οποίο δημιουργούσε κενό ασφαλείας στον υπολογιστή και τον άφηνε εκτεθειμένο στην πιθανότητα προσβολής του από κακόβουλο λογισμικό. Πιο συγκεκριμένα, το «άνοιγμα» αυτό που έγινε αντικείμενο εκμετάλλευσης από το λογισμικό wannacry, εντοπίζεται στο πρωτόκολλο SMB(Server Message Block) των Windows, το οποίο βοηθά διαφορετικούς χρήστες ενός δικτύου να επικοινωνούν μεταξύ τους. Όπως έχει γίνει γνωστό, το «ψεγάδι» αυτό έγινε αντιληπτό από την Εθνική Υπηρεσία Ασφαλείας των Η.Π.Α. (U.S NSA) κάποιους μήνες πριν, όμως, αντί καταγγελθεί και διορθωθεί, κατέστη αντικείμενο μελέτης και διαμόρφωσης ενός κώδικα υπό την ονομασία “Eternal Blue”, που θα εκμεταλλευόταν αυτήν ακριβώς την αδυναμία, αποκτώντας πρόσβαση στο σύστημα. Αργότερα, και η ίδια η Microsoft εντόπισε το πρόβλημα και φρόντισε για την επίλυσή του, μέσα από την αναβάθμιση του λογισμικού συστήματος. Ωστόσο, πολλοί υπολογιστές έμειναν εκτεθειμένοι στην επίθεση, η οποία έλαβε χώρα εκμεταλλευόμενη τον κώδικα Eternal Blue που είχε στο μεταξύ κλαπεί, από μία ομάδα hackers με την ονομασία Shadow Brokers.

Ο τρόπος με τον οποίο το κακόβουλο λογισμικό προσέβαλε εξαρχής τους υπολογιστές δεν είναι ακόμη γνωστός, όμως οι πιθανότητες δείχνουν πως επρόκειτο για κάποιο phising email, το άνοιγμα του οποίου εγκαθιστούσε το wannacry, που στη συνέχεια εξαπλωνόταν και σε άλλους υπολογιστές του δικτύου. Μετά την εγκατάστασή του λοιπόν και την κρυπτογράφηση των αρχείων, ο χρήστης έβλεπε ένα μήνυμα που τον ενημέρωνε για την κατάσταση και τον καλούσε να πληρώσει τα λύτρα με αντάλλαγμα την επανάκτηση πρόσβασης στα αρχεία του. Μάλιστα υπήρχαν αναλυτικές οδηγίες και 2 λογαριασμοί στους οποίους θα μπορούσε να γίνει η πληρωμή. Δυστυχώς, η λύση για τον τερματισμό της επίθεσης, που ήρθε λίγες ημέρες μετά από τον Βρετανό Marcus Hatchins με την ανάδειξη του kill switch , δεν κατάφερε να αποτρέψει όλους τους πληγέντες χρήστες από το να υποκύψουν στον εκβιασμό. Συνολικά, εκτιμάται πως τα κέρδη των υποκινητών της επίθεσης, ξεπέρασαν τις 958.000 λίρες, ενώ καμία επίσημη διαβεβαίωση δεν υπήρξε ως προς το αν η πληρωμή των λύτρων πράγματι επέτρεπε στο χρήστη την πρόσβαση στα αρχεία του.

 

Ποιοι επλήγησαν και ποιος ευθύνεται για την επίθεση?

Η επίθεση στόχευε σε πληθώρα χωρών, με βασική τη Ρωσία, ενώ κατάφερε να επηρεάσει, εκτός των ιδιωτών, και κρατικούς φορείς, πανεπιστήμια, δίκτυα τηλεπικοινωνιών και μεταφορών και μεγάλες επιχειρήσεις. Χαρακτηριστικά παραδείγματα είναι η εταιρεία Fedex στην Ισπανία, και το Βρετανικό Σύστημα Υγείας (NHS), το οποίο κατέρρευσε, αδυνατώντας να εξυπηρετήσει το κοινό και να διεξαγάγει φυσιολογικά τις δραστηριότητές του για κάποιες ώρες.

Σήμερα, η ευθύνη της επίθεσης επιρρίπτεται στη Βόρεια Κορέα, σύμφωνα και με τα επίσημα «κατηγορώ» που διατυπώθηκαν από Αγγλία, Αυστραλία και ΗΠΑ εναντίον της. Οι ισχυρισμοί που την καταδεικνύουν ως εμπνευστή και ενορχηστρωτή της επίθεσης, έγκεινται σε στοιχεία που ανακαλύφθηκαν από ερευνητές των Google, Symantec, Kaspersky κ.α., στον τομέα της κυβερνοασφάλειας. Αν και αυτά δεν έχουν αποκαλυφθεί στην πλήρη τους έκταση, επιδιώκοντας έτσι να μην δώσουν στο φως πληροφορίες που θα επέτρεπαν στη Β. Κορέα να μορφοποιήσει και να καταστρώσει τις επόμενες κινήσεις της, ωστόσο, είναι σαφές πως η βασικότερη ένδειξη που οδήγησε στα ίχνη της, ήταν οι ομοιότητες που εντοπίστηκαν στις τεχνικές λεπτομέρειες, μεταξύ της επίθεσης wannacry και της συνήθους πρακτικής που χρησιμοποιεί η ομάδα Lazarus Group. Συγκεκριμένα, η ομάδα αυτή είναι στενά συνδεδεμένη με την βορειοκορεατική ηγεσία και το RGB, η οποία φαίνεται να τη χρηματοδοτεί και να τη στελεχώνει με σκοπό τη διεξαγωγή επιθέσεων για επίτευξη πάσης φύσεως κρατικών συμφερόντων. Οφείλουμε σε αυτό το σημείο να επισημάνουμε πως μολονότι στους κύκλους των ειδικών στην κυβερνοασφάλεια, είναι κοινά παραδεκτό πως πρόκειται για κεντρικά κατευθυνόμενη ενέργεια επίτευξης κρατικών οικονομικών συμφερόντων, δεν έχει αποκλειστεί το ενδεχόμενο να υποκινήθηκε η επίθεση από ιδιώτες που αποσκοπούσαν σε ίδιον όφελος.

 

  1. Δυνατότητες, σκοπιμότητες και πιθανοί στόχοι της Β. Κορέας στον κυβερνοχώρο

Παρά τον διεθνή απομονωτισμό και τις αυστηρές περιοριστικές πολιτικές στο εσωτερικό της χώρας, η Βόρεια Κορέα έχει καταφέρει να εδραιώσει μια ισχυρή παρουσία στον κυβερνοχώρο και να αναδειχθεί σε υπολογίσιμη απειλή για τον υπόλοιπο κόσμο. Οι κυβερνοεπιθέσεις που έχει εξαπολύσει κατά καιρούς αποτελούν απόδειξη αυτού και αποτυπώνουν γλαφυρά την φιλοσοφία και την πολιτική της χώρας απέναντι στους αντιπάλους της και όχι μόνο.

Ο πρώτος που συνειδητοποίησε την κομβική σημασία που θα μπορούσε να έχει το διαδίκτυο για τα συμφέροντα της χώρας ήταν ο Κιμ Γιονγκ-Ιλ, ο πατέρας του σημερινού ηγέτη της Βόρειας Κορέας. Τη δεκαετία του 1990 και ενώ ο κόσμος του διαδικτύου ήταν σχεδόν άγνωστος για το ευρύ κοινό της χώρας(όπως εξακολουθεί σε μεγάλο βαθμό να είναι και σήμερα), ο Κιμ Γιονγκ-Ιλ αναγνώρισε τα στρατηγικά οφέλη που θα μπορούσε η χώρα του να αποκομίσει μέσα από τη μεθοδική χρησιμοποίηση του κυβερνοχώρου και ξεκίνησε σταδιακά τη διαμόρφωση ενός «επίλεκτου σώματος» από hackers, οι οποίοι θα αποτελούσαν ισχυρό κρατικό όπλο.

Σήμερα, το σώμα αυτό αριθμεί περίπου 6000 άτομα, άρτια εκπαιδευμένα και πλήρως καταρτισμένα, τα οποία (εγκατεστημένα πολλές φορές στο εξωτερικό, πχ. σε Κίνα και Ινδία), επιχειρούν εναντίον άλλων χωρών για λογαριασμό της Πιονγκγιάνγκ.

Πλέον, επί προεδρίας Κιμ Γιονγκ-Ουν, οι κυβερνοεπιθέσεις εξυπηρετούν 3 άξονες: την πολιτική, την οικονομία και την προστασία του προσωποπαγούς πολιτικού καθεστώτος. Ως προς την τελευταία αυτή παράμετρο, η επίθεση στη Sony, είχε σκοπό την παρεμπόδιση της προβολής μιας σατυρικής ταινίας, η οποία παρουσίαζε αρκετές ομοιότητες με το βορειοκορεατικό καθεστώς και τον ηγέτη του.

Όσον αφορά τον άξονα της πολιτικής, οι Βορειοκορεάτες γνωρίζουν πολύ καλά πως οι κυβερνοεπιθέσεις τους είναι πολύ χρήσιμες. Πέραν της αποτελεσματικότητάς τους στην κατασκοπεία και τη συλλογή πληροφοριών, μπορούν να αποτελέσουν ισχυρό πλήγμα για τους αντιπάλους τους σε επιχειρησιακό επίπεδο. Γενικά, η προτίμηση της Βόρειας Κορέας στη χρησιμοποίηση ασύμμετρων απειλών, βρίσκει την πλήρη εφαρμογή της στην πρακτική των κυβερνοεπιθέσεων. Με τον τρόπο αυτό, η Πιονγκγιάνγκ επιτυγχάνει τη διάσπαση του αντιπάλου, με το μικρότερο δυνατό κόστος για την ίδια. Παρέχεται η δυνατότητα να πλήξει καίρια σημεία των αντίπαλων κρατών, χωρίς να είναι αναγκασμένη να προβεί σε παραδοσιακή επίθεση με τη χρήση όπλων, η οποία ενδεχομένως να οδηγούσε σε αντεπίθεση, κλιμάκωση, αποσταθεροποίηση της Κορεατικής Χερσονήσου και εν τέλει σε σημαντικές απώλειες. Ένα ακόμη όφελος, είναι το γεγονός πως η προέλευση των επιθέσεων αποκρύπτεται μέσω της φυσικής εγκατάστασης των hackers εκτός Βόρειας Κορέας και της δράσης τους μέσω ξένων-κινεζικών κυρίως δικτύων. Με αυτό τον τρόπο, τα θιγόμενα κράτη δεν μπορούν να αποδείξουν την υπαιτιότητα της Βόρειας Κορέας, παρά μόνο να στηριχθούν στην διατύπωση υποψιών και εκτιμήσεων.

Πλέον όμως, η δράση στον κυβερνοχώρο έχει αποκτήσει και έναν ακόμη, πολύ σημαντικό, οικονομικό ρόλο. Αποτελεί βασική πηγή εσόδων για τη Βόρεια Κορέα. Οι εσωτερικές ανάγκες, το πολυέξοδο πυρηνικό της πρόγραμμα αλλά και οι κυρώσεις που της έχουν επιβληθεί λόγω αυτού, από το Συμβούλιο Ασφαλείας του Ο.Η.Ε, καθιστούν σαφές πως η χώρα έχει ανάγκη από χρήματα, προκειμένου να καταφέρει να ανταποκριθεί στις ανάγκες της, αλλά και να αυξήσει την ισχύ της. Έτσι λοιπόν, χρησιμοποιεί τις κυβερνοεπιθέσεις με στόχο να υποκλέψει και να συγκεντρώσει μεγάλα ποσά τα οποία στη συνέχεια θα χρησιμοποιήσει για τη χρηματοδότηση των αναγκών της. Αυτό ακριβώς είναι που συνέβη και στις περιπτώσεις των επιθέσεων SWIFT και Wannacry.

Έχοντας λοιπόν υπόψη τα παραπάνω, τίθεται το ερώτημα του κατά πόσο η Βόρεια Κορέα συνιστά πράγματι μια κυβερνο-απειλή, η οποία θα πρέπει να ληφθεί σοβαρά υπόψη από τη διεθνή κοινότητα.

Τα μέχρι τώρα στοιχεία συνηγορούν προς αυτή την κατεύθυνση. Μπορεί από πολλούς ειδικούς οι επιθέσεις της να χαρακτηρίζονται ως «απλοϊκές» και όχι εξαιρετικά πολύπλοκες ως προς την τεχνολογία και τη δομή τους, όμως η επιτυχία τους κρίνεται από την αποτελεσματικότητά τους, από την τελική επίτευξη δηλαδή του αντικειμενικού σκοπού τους. Και αυτό μπορούμε να πούμε με σιγουριά πως το καταφέρνει. Γενικώς οι κυβερνοεπιθέσεις της Βόρειας Κορέας, έχει αποδειχτεί πως επιτυγχάνουν το στόχο τους, ενώ η ίδια φροντίζει κάθε φορά να βελτιώνεται, προσαρμόζοντας την τακτική της και παίρνοντας παράδειγμα από την πρακτική άλλων κρατών με ισχυρή παρουσία στον κυβερνοχώρο και τις ανάλογες επιθέσεις, πχ  Ιράν.

Συγκεκριμένα, σχετικά με την επίθεση Wannacry, η τελική αποτίμηση είναι ενθαρρυντική για τη Βόρεια Κορέα και χαρακτηρίζεται ως επιτυχής. Αυτό ισχύει διότι πρόκειται για μια επίθεση που εξαπλώθηκε σε όλο σχεδόν τον κόσμο και μέχρι σήμερα χαρακτηρίζεται ως η ευρύτερης κλίμακας κυβερνοεπίθεση. Κατάφερε μάλιστα όχι απλώς να επηρεάσει τα εθνικά δίκτυα των κρατών, αλλά και να οδηγήσει σε παράλυση των κρατικών δομών (πχ ΝHS Αγγλία). Οδήγησε στην είσπραξη σημαντικού χρηματικού ποσού (ασχέτως εάν αυτό δεν έχει καταφέρει να μετατραπεί σε συναλλάξιμο νόμισμα) και αποτέλεσε μια επίδειξη της βορειοκορεατικής ισχύος στην παγκόσμια διεθνή κοινότητα, ελέγχοντας ταυτόχρονα τα αντανακλαστικά και τις δυνατότητες απόκρουσης των επιθέσεων, που διαθέτουν τα κράτη. Τέλος, παρά την ανησυχία των ξένων ηγετών, και την ανακήρυξη ανάληψης δράσεως εκ μέρους των ΗΠΑ και άλλων κρατών, η Βόρεια Κορέα δεν κατέστη αποδέκτης αντιποίνων, ή τουλάχιστον όχι τόσο σοβαρών ώστε να της καταφέρουν καίριο πλήγμα.

Από τα παραπάνω συνάγεται το συμπέρασμα πως η διεθνής κοινότητα οφείλει να βρίσκεται υπ’ ατμόν. Η Βόρεια Κορέα δεν συνιστά απειλή μόνο για τη Νότια Κορέα, τον παραδοσιακό της αντίπαλο, ή τις ΗΠΑ, με τις οποίες έχει εμπλακεί σε έναν ανταγωνισμό πυρηνικών και επικράτησης ισχύος. Αντιθέτως, είναι εμφανές πως από το επίλεκτο σώμα των hackers της Βόρειας Κορέας, δύναται να στοχοποιηθεί οποιοδήποτε κράτος. Αποδέκτες των επιθέσεων μπορούν να υπάρξουν εξίσου μεγάλα τραπεζικά δίκτυα, κρατικές υπηρεσίες και ιδιωτικές επιχειρήσεις. Το εκάστοτε επιδιωκόμενο συμφέρον είναι αυτό που καθορίζει και τους στόχους των κυβερνοεπιθέσεων, και δεδομένου πως οι οικονομικές απολαβές αποτελούν κομβική επιδίωξη της Βόρειας Κορέας, καμία χώρα δεν μπορεί να θεωρηθεί πως είναι ασφαλής.

 

Επίλογος

Όπως κατέστη σαφές, οι κυβερνοεπιθέσεις δεν είναι πια η απειλή του μέλλοντος, αλλά «χειροπιαστό» πρόβλημα του παρόντος. Η Βόρεια Κορέα συγκαταλέγεται πλέον ανάμεσα στις ισχυρότερες δυνάμεις στον κυβερνοχώρο, έπειτα από τη Ρωσία και Ιράν, και δείχνει να αξιοποιεί με τον καλύτερο δυνατό τρόπο τις δυνάμεις που έχει διαμορφώσει -και στις οποίες έχει επενδύσει- αποκλειστικά για αυτό το σκοπό. Το σίγουρο λοιπόν είναι, πως η απειλή της κυβερνοεπίθεσης, από όπου κι αν προέρχεται αυτή, είναι υπαρκτή. Ο μόνος τρόπος προστασίας είναι η συνειδητοποίηση αυτού του γεγονότος και κατά συνέπεια η θωράκιση ιδιωτών, επιχειρήσεων και κρατικών φορέων μέσω των κατάλληλων προγραμμάτων ασφαλείας.

 

Πηγές