Imaginea aproape romantică a hackerului solitar

Imaginea aproape romantică a hackerului solitar care se infiltrează în sistemele unei mari corporații prin geniu programatoric și nopți nedormite este de mult apusă. Panorama criminalității cibernetice de astăzi este mult mai pragmatică și se apropie de funcționarea unei afaceri obișnuite. Una dintre cele mai recente tendințe în lumea interlopă digitală este cybercrime as a service — CaaS, acronimul în engleză pentru criminalitatea cibernetică ca serviciu—. Numele său derivă din termenul SaaS (software as a service), popular în domeniul afacerilor pentru a indica furnizarea unui serviciu online. Numai că, în acest caz, serviciul este furnizat prin intermediul unui program rău intenționat sau a datelor furate.

Constantinos Patsakis, cercetător în securitate cibernetică

Constantinos Patsakis, cercetător în securitate cibernetică la Athena Research Center (Grecia), spune că o mare parte din această activitate se găsește în deep web (conținut neindexat de motoarele de căutare) și dark web (partea accesibilă doar prin instrumente precum Tor). «Puteți găsi forumuri sau servicii care vând acreditări, oameni care vând servicii care au de-a face cu spălarea de bani sau cu vânzarea de malware. De exemplu, unii vând codul sursă sau builder-ul (facilitează crearea de obiecte complexe în programare) pentru a crea un ransomware as a service», subliniază el.

«Oamenii îl cumpără și infectează alte dispozitive», subliniază Patsakis, care coordonează proiectul european SafeHorizon. O inițiativă la care colaborează personal de la CSIC și de la diferite centre de cercetare — atât private, cât și publice — din mai multe țări ale UE. Obiectivul său este de a spori reziliența regiunii în fața atacurilor cibernetice și acordă o atenție specială CaaS. «Încercăm să înțelegem modus operandi al infractorilor cibernetici, să colectăm date și să facem corelații. Încercăm să înțelegem cum funcționează un malware prin inginerie inversă, ce face și unde trimite datele furate», explică cercetătorul grec. Colaborarea strânsă cu autoritățile este esențială. Așadar, în proiect participă forțe și corpuri de securitate, precum polițiile din Finlanda, Polonia sau Moldova.

Există o întreagă piață, cu producătorii săi (de software rău intenționat) și intermediarii săi. Există platforme de cumpărare-vânzare și alte canale de distribuție cu o ofertă variată. Se oferă malware, vulnerabilități, acces la rețele și tot felul de date furate, ca într-un mare bazar al criminalității cibernetice. Conceptul de criminalitate cibernetică ca serviciu acoperă cele mai concrete MaaS (malware as a service) sau RaaS (ransomware as a service).

«Este vorba despre transpunerea conceptului oricărui software popular, cum ar fi Microsoft Office, într-un software care, în loc de editare de text, execută malware», comentează Marc Almeida, cercetător în securitate cibernetică care lucrează la CIRMA, un proiect asociat cu SafeHorizon. «Dacă motorul tehnic poate fi achiziționat, partea cea mai complexă, din punct de vedere tehnic, este eliminată din ecuație. Munca lor se reduce la executarea înșelătoriei, astfel încât cineva să facă faimosul clic [pe un link sau pentru a descărca un fișier], sau să cumpere sau să dobândească accesul la rețelele companiilor prin vulnerabilități».

Această schemă se extinde cu mare viteză. Un raport anual al companiei britanice de securitate cibernetică Darktrace estimează că MaaS este deja responsabil pentru 57% din atacurile cibernetice asupra companiilor și instituțiilor, conform publicației specializate Cyber Magazine. Saltul din ultimele luni a fost abrupt. La mijlocul anului 2024, aceste atacuri reprezentau încă 40%.

«Îi costă mult mai puțin decât i-ar fi costat să o facă de la zero», insistă Almeida. «În celălalt mod, ar fi trebuit să programeze software-ul rău intenționat, să găsească vulnerabilitățile și să se ascundă, ceea ce trebuie să facă și pentru a nu fi prinși». Dezvoltarea malware-ului revine de obicei unor grupuri mici cu cunoștințe tehnice, chiar și grupuri sponsorizate de state. Uneori sunt indivizi care lucrează singuri. Iar motivația majoritară este profitul, deși există și motive legate de geo-strategie.

Aceste programe rău intenționate sunt distribuite prin piețe și forumuri de pe dark web. Dar și prin servicii la fel de cunoscute precum Telegram sau Discord. «Uneori ai vânzători independenți, cum ar fi un mic hacker care a creat un instrument specific pentru a fura informații concrete», expune Patsakis. «Se întâmplă, de asemenea, ca cineva să aibă acces la date confidențiale ale unei organizații, de exemplu, și pur și simplu scrie pe un forum «Bună ziua, băieți, am informații despre compania X» și cere ca cei interesați să-i trimită un mesaj sau să-i trimită bitcoini într-un portofel virtual pentru a le cumpăra».

Datele furate sunt un alt produs vedetă în domeniul CaaS. O entitate cibercriminală utilizează un program pentru a sustrage informații pe care ulterior le vinde oricui plătește prețul. Conving o mulțime de utilizatori să instaleze un infostealer (un troian), care monitorizează ceea ce tastați pe tastatură sau adresele pe care le vizitați. «Pot concluziona că v-ați conectat la o anumită platformă și ați folosit anumite acreditări», arată Patsakis.

Odată ce informațiile sunt colectate, grupul le trimite către o infrastructură centrală proprie. «Uneori au personal care este dedicat evaluării informațiilor furate. Aceasta înseamnă că, dacă au date de la 10.000 de utilizatori, nu toate aceste date de utilizator au aceeași valoare», subliniază coordonatorul SafeHorizon. «În unele cazuri, vor fi utilizatori de profil înalt sau conturi bancare de profil înalt, care valorează mai mult. Sau pot avea carduri de credit care nu pot fi utilizate». Grupul cibercriminal este dedicat clasificării tuturor datelor furate așa cum ar face un distribuitor de fructe. Fiecare informație are valoarea ei de piață.

Cibercriminali care operează ca firme

Grupările care alcătuiesc acest ecosistem al criminalității cibernetice caută eficiența «afacerii» lor. Pentru aceasta, adoptă strategii comerciale cu care suntem obișnuiți să le vedem în lumea digitală legitimă. Există vânzarea directă a unui malware, dar și modele de abonament, care permit accesul la un catalog de instrumente de atac care se reînnoiește periodic.

Uneori, cumpărătorul poate modifica unii parametri ai malware-ului pentru a-l adapta la obiectivele sale. Este aceeași idee ca atunci când o companie adaptează software-ul terților la nevoile sale. Almeida observă că vânzătorii au diferite pachete comerciale: «Este ca o companie. Dacă doriți, puteți cumpăra doar executabilul sau și serverul Command & control, de unde puteți controla modul în care sunt executate programele rău intenționate, chiar și să verificați dacă trebuie făcute actualizări. Este ceea ce se vede în partea legitimă a software-ului, dar transferat în malware».

Și cine poate cumpăra aceste produse rău intenționate derivate din CaaS? Almeida este tranșant: «Potențial, oricine», subliniază cercetătorul în securitate cibernetică. «Partea cea mai dificilă, mai tehnică, este simplificată. Prin urmare, curba de intrare în aceste activități tinde spre zero. Înainte, acest tip de software necesita dezvoltare, nu era doar să apeși pe buton. Acum asta este eliminat din ecuație». Ca și în cazul oricărei activități economice care crește, criminalitatea cibernetică a descoperit diviziunea muncii.