Syyskuun puolivälissä Yhdysvaltain hallituksen turvallisuusvirasto CISA tilasi Kaikki liittovaltion virastot korjaavat kaksi nollapäivän haavoittuvuutta OS-, iPadOS- ja macOS-laitteissa. Nämä olivat vain viimeisimmät, ennennäkemättömät ohjelmistovirheet, joita hyödynnettiin pahamaineisen Pegasus-vakoiluohjelman toimittamiseen – jonka kehittäjä NSO Group on useiden oikeusjuttujen keskipisteessä.
Israelilainen yritys on yksi monista kaupallisista vakoiluohjelmayrityksistä, joita länsihallitukset ja teknologiayritykset kutsuvat "verkkopalkkasotureiksi". He ja varjoisempi joukko palkattuja hakkereita muodostavat kasvavan uhan kaikenkokoisille ja -aloiteisille organisaatioille – helpottavat teollista vakoilua, hallituksen nuuskimista ja muuta ilkeää toimintaa.
Jos nämä ryhmät voivat hakkeroida jopa Jeff Bezosin puhelimen, on aika ottaa uhka vakavasti.
Keitä ovat kyberpalkkasoturit?
Cyber-palkkasoturi on termi, jota eri tahot käyttävät eri tavoin. Yleisesti ottaen voimme jakaa sen kahdentyyppisiin uhkatoimijoihin:
Kaupalliset vakoiluohjelmien valmistajat: Nämä yritykset toimivat juridisella harmaalla alueella ja väittävät myyvänsä vakoiluohjelmia ja hyväksikäyttöjä hallituksille vain laillisiin lainvalvonta- ja tiedustelutarkoituksiin. Todellisuudessa heidän työkalunsa ovat usein kohdistuneet toimittajiin, toisinajattelijoihin, ihmisoikeusaktivisteihin ja muihin yleensä autokraattisten hallintojen vastustajiin. Citizen Lab löysi yllä mainitut kaksi nollapäivää Washingtonissa toimivan kansalaisyhteiskunnan organisaation työntekijän puhelimesta.
Esimerkkejä näistä yrityksistä ovat NSO Group, Circles, Intellexa, Cytrox ja BellTroX InfoTech Services.
Hakkerit vuokralle: Nämä ovat selvemmin rikollisia ryhmiä, joilla ei ole teeskennystä toimia puolilegitiiminä kaupallisina organisaatioina. Kuitenkin, kuten kaupalliset vakoiluohjelmien valmistajat, heidän työnsä asiakkaiden kanssa pidetään ehdottoman luottamuksellisina. Vaikka ne kohdistuvat myös toimittajiin, aktivisteihin ja muihin riskialttiisiin henkilöihin, tällaiset ryhmät voivat tarjota palvelujaan myös teollisuusvakoilua varten, jolloin muut hyvämaineiset organisaatiot voivat säilyttää uskottavan kiistämisen.
Ryhmiin kuuluvat Deceptikons, Dark Basin ja Void Balaur.
Molemmissa tapauksissa kyberpalkkasoturiryhmät ovat epäillyt yhteyksiä eri tiedustelutoimistoihin. Kolme entistä Yhdysvaltain tiedusteluupseeria paljastettiin vuonna 2021 työskentelystä hakkereina Arabiemiirikuntien hallitukselle ja haastoi myöhemmin oikeuteen kaupallisen vakoiluohjelmien valmistajan DarkMatterin rinnalla. Intellexaa johtaa entinen israelilainen vakooja. Ja erillinen raportti paljastui "ainutlaatuinen ja lyhytikäinen yhteys" Void Balaurin käyttämän hyökkäysinfrastruktuurin ja Venäjän liittovaltion suojapalvelun (FSO) välillä.
Miten hyökkäykset toimivat?
Vuokrahakkereilla on käytössään laaja valikoima tekniikoita, taktiikoita ja menettelyjä (TTP). Mutta kuten useimmat uhkatoimijat, he valitsevat mahdollisuuksiensa mukaan nopeimman ja helpoimman tavan saavuttaa tavoitteensa. Tämä voi tarkoittaa tietojenkalastelu- ja tietojen varastamista haittaohjelmia ja sen päätyökaluja uhrien vaarantamiseksi ja laillisten työkalujen, kuten PowerShellin, käyttöä tunkeutumisen jälkeiseen toimintaan. Ne voivat kohdistaa kaupallisiin sähköposti-, sosiaalisiin ja viestintätileihin sekä niiden yritysten vastaaviin ja taustatietojärjestelmiin.
”Suurin uhka, jonka nämä palkkasoturiryhmät muodostavat, on se, etteivät he välitä kohteesta. Oikealla rahamäärällä palkkasoturit toteuttavat sopimuksen minkä tahansa etiikan kustannuksella. Tämä asettaa kriittisen infrastruktuurin, terveydenhuollon ja muut elintärkeät alat ristiriitaan sen suhteen, kuka on koskaan valmis maksamaan”, SentinelOnen turvallisuusneuvonantaja Morgan Wright kertoo ISMS.online-sivustolle.
”Uhreissa ovat ihmiset ja organisaatiot, jotka tekevät vähiten suojellakseen itseään. Työntekijät vaarantavat itsensä, kun he jakavat itseään koskevia tietoja LinkedInin kaltaisilla sivustoilla tai erilaisilla sosiaalisen median alustoilla."
Vakoiluohjelmien uhan paljastaminen
Kaupallisten yksiköiden tapauksessa TTPS voi kuitenkin olla huomattavasti kehittyneempi. Nollapäivän haavoittuvuuksia tutkitaan huolella, ja ne kohdistuvat usein Applen laitteisiin, joissa ei ole napsautuksia ja joihin käyttäjän ei tarvitse edes olla vuorovaikutuksessa tartunnan saamiseksi. Sitten vakoiluohjelmat otetaan käyttöön uhrin viesteihin, sähköposteihin, valokuviin, kirjautumisiin, osoitekirjoihin, sovellusten käyttöön, sijaintitietoihin sekä laitteen mikrofoniin ja kameraan pääsemiseksi.
Corelightin kyberturvallisuusasiantuntija Matt Ellison kuvailee tällaisten uhkien takana olevia ryhmiä "häikäilemättömän asekauppiaan ulkonäön ja käytöksen näyttämiseksi". Kukaan organisaatiossa ei ole turvassa, vaikka ylimmät johtajat näyttävät olevan luonnollinen kohde, kun otetaan huomioon heidän vaikutusvaltansa ja pääsynsä.
"Se voi vaihdella ja riippuu kyberpalkkasoturi asiakkaan roolista, organisaatiosta ja tavoitteesta", Ellison kertoo ISMS.online-sivustolle. "Se on ehdottomasti ylimääräinen uhkataso tyypillisten kyberuhkien lisäksi, joita useimmat kaupalliset organisaatiot näkevät."
USA iskee takaisin
Onneksi Yhdysvaltain hallitus on viime aikoina muuttanut asenteitaan merkittävästi ja lisännyt useita kaupallisia vakoiluohjelmien valmistajia "kokonaisuuksien luetteloon" -mukaan lukien Candiru, NSO Group, Intellexa ja Cytrox. Tämä tekee näiden yritysten paperilla haastavammaksi ostaa komponentteja yhdysvaltalaisilta yrityksiltä. Presidentin toimeenpanomääräyksellä pyritään myös estämään liittovaltion hallitusta ostamasta vakoiluohjelmia, joita ulkomaiset valtiot ovat käyttäneet vakoillessaan aktivisteja ja toisinajattelijoita. Tämän pitäisi vähentää tällaisten kehittäjien kaupallisia mahdollisuuksia.
Yhdysvallat yrittää myös saada muut hallitukset ottamaan vastaan yhtä kova linja. Teknologiateollisuus on yhdistänyt voimansa hillitä kyberpalkkasoturien toimintaa, koska he ovat huolissaan ihmisoikeuksien lisäksi myös haavoittuvuuksien keräämisestä, mikä tekee digitaalisesta maailmasta viime kädessä vaarallisempi paikka.
ISMS ja yli
Mutta sillä välin, mitä organisaatiot voivat tehdä vähentääkseen johtajiinsa ja kriittiseen IT-/tietoomaisuuteensa kohdistuvaa uhkia? Tietoturvan hallintajärjestelmä (ISMS) voi tarjota hyvän tietoturvan perustan, mikä voi auttaa vähentämään monia tekniikoita, joita hakkerit käyttävät kohteisiin vaarantaessaan. SentinelOnen Wright kuitenkin varoittaa tyytyväisyydestä.
"Mikään ei takaa kompromisseja. Heikkouksien ja poliittisten kysymysten tunnistaminen on alku matkalle kohti vahvaa kyberturvallisuuskykyä”, hän väittää. "Noudattaminen auttaa ylläpitämään tietoisuutta suurista asioista."
Organisaatioiden on myös mentävä perusasiat pidemmälle, jos ne haluavat torjua kehittyneempiä kaupallisia vakoiluohjelmahyökkäyksiä, jotka hyödyntävät nollapäivän haavoittuvuuksia.
"Näiden työkalujen luonne sekä niiden käyttö ja käyttöönotto tarkoittaa tyypillisesti, että niiden havaitsemisvaikeusaste on huomattavasti korkeampi kuin keskimääräinen haittaohjelma tai kiristysohjelma", sanoo Corelightin Ellison. "Jos olet organisaatiossa, jota nämä työkalut uhkaavat todennäköisemmin, on tärkeää käsitellä niitä erikseen niissä puitteissa, joita käytät organisaatiosi turvaamiseen."
Kaspersky selittää että käyttäjiä tulisi kouluttaa havaitsemaan vakoiluohjelmien varoitusmerkit: nopeasti tyhjenevä akku ja mahdollisesti suuri tiedonsiirto. Muita toimia uhan lieventämiseksi ovat laitteen käyttöjärjestelmän ja muiden ohjelmistojen säännöllinen korjaus, monitekijätodennus (MFA), laitteen haittaohjelmien torjunta ja päivittäiset uudelleenkäynnistykset. iOS-laitteissa riskialttiita käyttäjiä kehotetaan poistamaan iMessage ja FaceTime käytöstä. Lockdown Mode auttaa myös tämän artikkelin yläosassa mainituissa hyökkäyksissä.
Silti jopa Kaspersky oli vaarantunut kehittyneellä vakoiluohjelmalla. Organisaatioiden tulee hallita riskejä parhaalla mahdollisella tavalla, harjoitella vaaratilanteiden reagointisuunnitelmiaan säännöllisesti ja integroida kyberpalkkasoturit uhkien profilointiin.
