Γιατί οι εγκληματίες του κυβερνοχώρου εστιάζουν στις κινητές συσκευές;

Της Κωνσταντίνα Κούκου, Cyber Security Specialist & Evangelist, Check Point Software

 Μια έρευνα που πραγματοποιήθηκε τον περασμένο χρόνο αποκάλυψε ότι σχεδόν οι μισοί (49%) από τους οργανισμούς παγκοσμίως δεν είναι σε θέση να εντοπίσουν μια επίθεση ή παραβίαση σε συσκευές που ανήκουν σε εργαζόμενους τους. Σε μια εποχή που το εργατικό δυναμικό σε όλο τον κόσμο είναι όλο και περισσότερο σε απόσταση, υπάρχει πραγματικός κίνδυνος ο χώρος των κινητών να γίνει σύντομα το νέο πεδίο μάχης για την εταιρική ασφάλεια στον κυβερνοχώρο.

Από λογισμικό spyware για κινητά που μπορεί να αναλάβει τον πλήρη έλεγχο των συσκευών iOS και Android μέσω zero-click exploits, έως trojan που αναπτύσσονται μέσω κακόβουλων εφαρμογών, τα οποία μπορούν να συλλέξουν τα διαπιστευτήρια των χρηστών, οι οργανισμοί δεν υπήρξαν ποτέ σε μεγαλύτερο κίνδυνο λόγω των κινητών συσκευών τους. Επιπλέον, κάθε αντίληψη ότι η υβριδική λειτουργία και η κουλτούρα BYOD (φέρτε τη δική σας συσκευή) ήταν απλώς μέρος μιας προσωρινής απάντησης στην πανδημία του COVID-19, μπορεί τώρα να απορριφθεί. Σε στοιχεία που δημοσιεύθηκαν μόλις τον Φεβρουάριο του 2022, η Statista ανέφερε ότι το 30% του παγκόσμιου εργατικού δυναμικού εργάζεται πλέον αποκλειστικά από το σπίτι. Η ίδια έρευνα έδειξε ότι περίπου το 60% των εταιρειών διευκολύνουν τώρα ενεργά την υβριδική εργασία, δίνοντας στους υπαλλήλους τους την ελευθερία να επιλέξουν από που θα συνδεθούν. Αλλά πόσοι από αυτούς τους οργανισμούς είναι πλήρως προετοιμασμένοι για τις απαιτήσεις ασφάλειας ενός πραγματικά κινούμενου εργατικού δυναμικού;

Όπως περιγράφεται στο 2022 Security Report της εταιρείας, ο αριθμός των εβδομαδιαίων επιθέσεων στον κυβερνοχώρο σε εταιρικά δίκτυα κορυφώθηκε με μέσο όρο 900 επιθέσεις ανά οργανισμό το τέταρτο τρίμηνο του 2021. Σε ολόκληρο το έτος, καταγράψαμε μια εκπληκτική αύξηση 50% στις εβδομαδιαίες επιθέσεις από το 2020. Κάθε άλλο παρά σύμπτωση, πιο πιθανό μοιάζει οι εγκληματίες του κυβερνοχώρου απλώς να εκμεταλλεύονται το υπό ανάπτυξη οικοσύστημα κινητής τηλεφωνίας που καταλαμβάνουν τώρα οι οργανισμοί σε όλο τον κόσμο.

Η αναδυόμενη mobile απειλή

Έχουμε δει συγκεκριμένες εξελίξεις στο τοπίο των απειλών για κινητά τον περασμένο χρόνο. Η έκθεσή μας αναφέρθηκε στο NSO’s Pegasus, διαβόητο για την ικανότητά του να αποκτά τον πλήρη έλεγχο συσκευών iOS και Android μέσω μιας περίτεχνης zero-click εκμετάλλευσης. NSO, η ομάδα που είναι υπεύθυνη για το λογισμικό υποκλοπής spyware, είναι επί του παρόντος ένας από τους κορυφαίους προμηθευτές του κακόβουλου λογισμικού “access-as-a-service”, πουλάει συσκευασμένες λύσεις hacking που επιτρέπουν σε θυγατρικές ομάδες παραγόντων απειλών να στοχεύουν κινητές συσκευές χωρίς την ανάγκη εγχώριων πόρων. Το 2019, το Pegasus χρησιμοποιήθηκε για να αξιοποιήσει το WhatsApp και να μολύνει περισσότερες από 1.400 συσκευές χρηστών, από ανώτερους κυβερνητικούς αξιωματούχους έως δημοσιογράφους, ακόμη και ακτιβιστές ανθρωπίνων δικαιωμάτων. Πιο πρόσφατα, το 2021, αναφέρθηκε ευρέως ότι το Pegasus είχε χρησιμοποιηθεί για να στοχεύσει τις κινητές συσκευές περισσότερων από 50.000 συσκευών σε όλο τον κόσμο, συμπεριλαμβανομένων εκείνων, που ανήκαν σε στελέχη επιχειρήσεων υψηλού επιπέδου. Το Pegasus διακρίνεται για τις εξελιγμένες δυνατότητες μόλυνσης και διήθησης δεδομένων και ως εκ τούτου πιστεύουμε ότι είναι πιθανό να εμπνεύσει παρόμοιες απειλές κακόβουλου λογισμικού. Όπως αναφέρθηκε στην έκθεσή μας, μια ομάδα με έδρα την FYROM έχει ήδη δημιουργήσει το λογισμικό κατασκοπείας Predator στον απόηχο του Pegasus, σχεδιασμένο να μολύνει συσκευές με single-click links που αποστέλλονται μέσω WhatsApp.

Τόσο το Pegasus όσο και το Predator αντιπροσωπεύουν μια γενική στροφή προς τα μέσα κοινωνικής δικτύωσης και τις εφαρμογές ανταλλαγής μηνυμάτων ως τρόπο κλοπής διαπιστευτηρίων και διείσδυσης στα εταιρικά δίκτυα. Τον Αύγουστο του 2021, ένα Android trojan γνωστό ως FlyTrap βρέθηκε να έχει παραβιάσει περισσότερους από 10.000 λογαριασμούς Facebook σε περισσότερες από εκατό χώρες. Λίγο αργότερα, μια πλαστή έκδοση του WhatsApp σχεδιάστηκε για να παραδώσει το banking trojan Triada που έφτασε έως και το Android store, θέτοντας χιλιάδες συσκευές σε κίνδυνο. Προς το τέλος του περασμένου έτους, τον Νοέμβριο, ένα νέο κακόβουλο λογισμικό γνωστό ως MasterFred κέρδισε την προσοχή, χρησιμοποιώντας πλαστά login overlays για να κλέψει πληροφορίες πιστωτικών καρτών από χρήστες Twitter και Instagram.

Αυτές οι αναδυόμενες απειλές κακόβουλου λογισμικού για κινητά δεν έχουν σχεδιαστεί μόνο για να επηρεάσουν άτομα. έχουν σχεδιαστεί για να εκβιάζουν και να κλέβουν δεδομένα από εταιρικά δίκτυα σε μια εποχή που τα όρια μεταξύ προσωπικών και επαγγελματικών συσκευών γίνονται όλο και πιο θολά. Το WhatsApp Business που κυκλοφόρησε το 2018 έχει ήδη περισσότερους από 100 εκατομμύρια χρήστες, όλοι τους χρησιμοποιούν την εφαρμογή ανταλλαγής μηνυμάτων για την ανταλλαγή δυνητικά ευαίσθητων επιχειρηματικών πληροφοριών. Αυτή η αναδυόμενη απειλή για κινητά είναι πραγματική, και πιθανότατα είμαστε μόνο στην αρχή της.

SMS phishing

Μια άλλη ανησυχητική τάση που έχουμε δει είναι η αύξηση των προσπαθειών ηλεκτρονικού “ψαρέματος” μέσω SMS ή “Smishing”. Η χρήση μηνυμάτων SMS ως φορέα επίθεσης μπορεί να φαίνεται στοιχειώδης, αλλά όπως και με το ηλεκτρονικό ψάρεμα είναι ακόμα ανησυχητικά αποτελεσματική. Στην έκθεσή μας, σημειώσαμε ότι το botnet FluBot είχε επιστρέψει το 2021 παρά το γεγονός ότι είχε αποσυντεθεί νωρίτερα μέσα στο έτος. Το FluBot διέδιδε πειστικές προειδοποιήσεις για ενημερώσεις ασφαλείας, ειδοποιήσεις παράδοσης δεμάτων και ειδοποιήσεις τηλεφωνητή στους χρήστες που, αν έκαναν κλικ στον σύνδεσμο, θα μολύνουν τη συσκευή τους.

Τραπεζικά και mobile κακόβουλα λογισμικά

Τα τραπεζικά κακόβουλα λογισμικά ανθούν εδώ και χρόνια. Σε αυτά κυριαρχούν προσαρμοστικές, δύσκολα ανιχνεύσιμες οικογένειες κακόβουλων προγραμμάτων που εκβιάζουν επιχειρήσεις και συλλέγουν οικονομικές πληροφορίες. Σύμφωνα με δική μας έρευνα, το Trickbot ανέβηκε από τη δεύτερη θέση και έγινε το πιο διαδεδομένο τραπεζικό trojan το 2021, υπεύθυνο για σχεδόν το ένα τρίτο (30%) όλων των παγκόσμιων περιστατικών. Το Trickbot είναι απίστευτα ευέλικτο και χρησιμοποιεί εξελιγμένες τεχνικές, όπως η αντι-ανάλυση, για να ξεπεράσει τις άμυνες των χρηματοοικονομικών και τεχνολογικών εταιρειών, συμπεριλαμβανομένων εκείνων που ασχολούνται με κρυπτονομίσματα. Το Qbot και το Dridex είναι δύο άλλα εξέχοντα τραπεζικά trojans που παρουσιάζουν χαρακτηριστικά που μοιάζουν με botnet, τα οποία χρησιμοποιούνται από καμπάνιες ransomware για την τοποθέτηση κακόβουλου λογισμικού σε μολυσμένες συσκευές. Το Dridex ήταν ένα από τα πρώτα κακόβουλα προγράμματα που διανεμήθηκαν μέσω της ευπάθειας Log4j που έθεσε σε κίνδυνο αμέτρητες επιχειρήσεις προς το τέλος του 2021.

Τον Σεπτέμβριο του 2021, αποκαλύψαμε ένα κύμα κακόβουλων εφαρμογών Android που στόχευαν το σύστημα πληρωμών PIX και τις εφαρμογές του για mobile banking. Αυτές οι εφαρμογές έκαναν κατάχρηση των Υπηρεσιών Προσβασιμότητας (AAS) του Android προκειμένου να αντλήσουν χρήματα από τις συναλλαγές PIX, ενώ παρέμεναν σε μεγάλο βαθμό απαρατήρητες. Αυτό ήταν ένα ακόμη περιστατικό που αναμένουμε να εμπνεύσει και άλλες, παρόμοιες κινήσεις από άλλους παράγοντες απειλών στον χώρο του mobile banking – κάτι που δεν αποτελεί καλά νέα για μια γενιά λογιστών, στελεχών c-suite και ιδιοκτητών επιχειρήσεων που είναι πλέον πιο πιθανό από ποτέ να βασίζονται στα κινητά ή στην εξ ’αποστάσεως τραπεζική πρόσβαση.

Πώς μπορούν οι οργανισμοί να παραμένουν σε επιφυλακή

Από κακόβουλες εφαρμογές και ransomware για κινητά έως phishing SMS και εκμεταλλεύσεις λειτουργικού συστήματος, το τοπίο απειλών για κινητά είναι πολύπλοκο για να πλοηγηθεί ένας οργανισμός, ιδιαίτερα με συσκευές που ανήκουν στην πλειοψηφία στους εργαζόμενους του. Πώς μπορεί μια εταιρεία να επιτύχει μια ισορροπία μεταξύ προστασίας και ιδιωτικότητας; Τι μπορούν να κάνουν οι επιχειρήσεις για συσκευές που είναι εγγενώς ευάλωτες; Δεν είναι αρκετές οι λύσεις MDM (διαχείριση φορητών συσκευών) για να διατηρούν ασφαλή τα δεδομένα μιας εταιρείας;

Η δυσκολία με τις κινητές συσκευές είναι ότι είναι ευάλωτες σε διάφορους φορείς επίθεσης, συμπεριλαμβανομένων των επιπέδων εφαρμογής, δικτύου και λειτουργικού συστήματος. Εάν ένας οργανισμός θέλει να προστατεύεται προληπτικά από κακόβουλο λογισμικό για κινητά αντί να αντιδρά απλώς σε μολύνσεις καθώς συμβαίνουν, χρειάζεται κάτι περισσότερο από το βασικό επίπεδο παρακολούθησης που παρέχουν οι περισσότερες λύσεις MDM. Το Check Point’s Harmony Mobile, για παράδειγμα, χρησιμοποιεί ευφυΐα απειλών σε πραγματικό χρόνο για να προστατεύεται ενεργά από καμπάνιες ηλεκτρονικού ψαρέματος μηδενικής ημέρας και φιλτράρισμα URL για να αποκλείει την πρόσβαση σε γνωστούς κακόβουλους ιστότοπους από οποιοδήποτε πρόγραμμα περιήγησης. Επιβάλλει επίσης πρόσβαση υπό όρους, διασφαλίζοντας ότι εάν κάποια συσκευή μολυνθεί, δεν θα μπορεί να έχει πρόσβαση σε εταιρικές εφαρμογές και δεδομένα. Το Harmony Mobile τα πετυχαίνει όλα αυτά – και πολλά άλλα – χωρίς να ενοχλεί τους εργαζόμενους ή να παρεμποδίζει την παραγωγικότητά τους.

Καθώς το κινητό οικοσύστημα μας συνεχίζει να επεκτείνεται, το πεδίο επίθεσης διαθέσιμο στους παράγοντες απειλής θα επεκταθεί μαζί του. Δεν ήταν ποτέ πιο ξεκάθαρο ότι η ασφάλεια των κινητών δεν είναι πλέον επιλογή για τις επιχειρήσεις. Αντίθετα, θα πρέπει να επιδιώκουν να διευρύνουν τις δυνατότητές τους ενώ ακολουθούν μια πιο ολιστική προσέγγιση για την προστασία των ολοένα και πιο κατανεμημένων τελικών σημείων τους.