Cyberspionage: gisselet förklarat av Paul Rascagnères, forskare vid Kaspersky

Cyberspionage intog en stor plats inom IT-säkerhetssektorn 2021. Förutom återkommande attacker är det framför allt omfattningen och konsekvenserna av de senare som oroar. Clubic utvecklade ämnet med Kaspersky.

ProxyLogon Exchange-sårbarheten, SolarWinds-fallet, Pegasus-mjukvaran… cyberspionagefall med planetresonans är långt ifrån att räknas på en hand. Paul Rascagnères, cybersäkerhetsforskare och medlem i Kaspersky’s GReAT, som Clubic träffade på Assises de la sécurité, berättar om cyberspionagets gissel.

Intervjun med “cyberspionage” med Paul Rascagnères, forskare på Kaspersky

Clubic – Vi pratar mycket om ransomware. Men vi måste också nämna destabilisering, spionage, cyberspionage… Fenomen som påverkar både företag och privatpersoner.

Paul Rascagneres – Ja, jag är glad att du tog upp ämnet. Det känns som att alla pratar om ransomware, och vi glömmer bort hela spiondelen. Varför ? För det finns ingen direkt påverkan. Cyberspionage stänger inte av ditt informationssystem och hindrar dig inte från att arbeta. Det har dock funnits i flera år. Vi ser till och med fler och fler kampanjer, och det finns ingen anledning att detta ska försvinna över en natt.

“Det finns häpnadsväckande fall, där det ibland kan gå två år innan intrånget upptäcks.”

Vem kan gömma sig bakom detta cyberspionage, och i vilken utsträckning kan det kallas en lång attack?

På varaktigheterna finns det irriterande fall, där det ibland kan gå två år innan intrånget upptäcks, något som inte händer i ransomware.

På frågan om “vem” spårar vi hundratals personer eller grupper och försöker gruppera dem som kommer att driva, till exempel två identiska kampanjer. Det finns ingen speciell profil. Man kan ha grupper som kommer från olika delar av världen som vi lägger mycket resurser på.

Har vi rätt om vi säger att cyberspionage är parallellt med professionaliseringen av angripare?

Ja, det finns helt klart en professionalisering. Även ur teknisk synvinkel, om vi går tillbaka till när jag började, för ungefär tio år sedan, fanns det bara ett fåtal mycket avancerade skådespelare. Idag finns det många av dem. De kunde utrusta sig, förbättra och följa processer. Vissa har till och med “noll dag” (en sårbarhet som ännu inte är känd eller åtgärdad) som de kan sälja vidare för flera miljoner euro. Man kan tänka sig att dessa människor har resurser, kapacitet och motivation.

“Angripare har hittat sårbarheter i VPN för att komma in genom ytterdörren och dra nytta av deras utveckling under pandemin.”

Vilka processer används idag av hackare för att penetrera ett system och förbli i en vilande position i månader eller till och med år?

Jag kommer att dela upp i två kategorier. Vi kan rikta in oss på personer individuellt, eller så riktar vi in ​​oss på telefonen för ett visst fall. Om det snarare är inriktat på en organisation, ett företag eller en annan enhet så siktar vi mindre på smartphones än på datorverktyg. Detta kan göras via spearphishing-kampanjer, riktat nätfiske genom att utge sig för en sådan person via e-post, gå in med en skadlig bilaga.

Det finns också något som har tagit ett ganska högt förslag: det är att gå direkt till de främre webbtjänsterna, det vill säga tjänster direkt anslutna till Internet. Här tänker jag särskilt på VPN, som har distribuerats massivt sedan pandemin. Vissa angripare har hittat sårbarheter på dessa VPN för att komma in genom ytterdörren. Du har också det symboliska fallet för årets ProxyLogon på Exchange-servrar.

Eftersom vi pratar om VPN, kan vi idag skilja mellan Gratis VPN
hur är det med betalda VPN?

Sårbarheten måste du tänka på att det är på serversidan, inte på sidan av klienten som du installerar på din PC. För mig finns det gratislösningar som fungerar väldigt bra, andra betalda som fungerar väldigt bra också. VPN är en dörröppning som måste övervakas, verifieras och uppdateras. Vissa redaktörer har nästan månatliga uppdateringar. Du måste uppdatera, men också tänka på dessa servrar direkt kopplade till Internet, som potentiellt är en gateway om det skulle uppstå problem.

“ProxyLogo (…) det var overkligt. Det fanns servrar som komprometterades av upp till 5 eller 6 olika aktörer.”

Finns det en anmärkningsvärd nyhet kring cyberspionage som nyligen har imponerat på dig?

Det finns många av dem, nyheterna i ämnet är ganska upptagna. Det mest slående är ProxyLogon med sin Exchange-sårbarhet där surrealistiska saker har hänt analytiker som mig. Det har komprometterats av servrar av upp till 5 eller 6 olika aktörer. Det var så många angripare på samma maskin att det inte längre gick att veta vem som gjorde vad. Vi kunde inte längre förmedla vilket verktyg som användes av vilken angripare, eftersom de fanns överallt. Det är vi inte vana vid.

Det andra elementet som jag behåller för i år är allt som är supply chain, med Orion som det har pratats mycket om i pressen. Hundratals leverantörer har drabbats, och om du tar vilken dator som helst kan det ha påverkat mjukvara, hårdvara, OS, installerad mjukvara, moln etc. Vi befinner oss i en komplex fråga, mycket svår att hantera.

För angriparen finns det två kolossala fördelar. För det första, om du har ett välskyddat informationssystem och du investerar, har hackaren svårt att komma in. Den svaga länken är inte längre personen han riktar sig direkt till, utan en av hans leverantörer. Och den andra fördelen är att med en kampanj, en investering för att rikta in sig på en leverantör, kommer angriparen potentiellt att äventyra tiotusentals maskiner.

Avkastningen på investeringen för anfallaren är kolossal. I stället för att bry sig om att rikta in sig på 20 000 personer, riktar han sig mot en, leverantören, som kommer att distribuera skadlig programvara i hans ställe till alla sina kunder.

När det gäller Pegasus, som vi kommer att ha hört mycket om, är ödets ironi att denna programvara är laglig. Det är dock orsaken till mycket skada på grund av användningen som har gjorts av den…

Som många andra saker finns verktyget och användningen av verktyget. Vi gör ingen skillnad. Det behandlas som skadlig programvara, oavsett om det är auktoriserat eller inte. Vi gör upptäckten, vi analyserar, vi genomför en utredning på de terminaler som skulle ha varit måltavla. I vårt sätt att arbeta är det ingen skillnad.