Threats.jpg

Cybersikkerhedsanalytikere står over for virkelige trusler

Undersøgelser af både cyberkriminelle og nationalstatslige hackere kan have konsekvenser. Nogle forskere har opgraderet deres fysiske sikkerhed.

Cybersikkerhedsforskere arbejder hårdt for at holde den digitale verden sikker, men en gang imellem er deres egen fysiske sikkerhed i fare. Enhver, der har været på dette område længe nok, er snublet over historier om infosec-fagfolk, der modtager trusler eller selv har oplevet hændelser.

En sikkerhedsekspert, der ønskede at forblive anonym for at beskytte sin familie, siger, at “flere mennesker, der fokuserer på cyberkriminalitet, har modtaget dødstrusler” i de sidste par år, og nogle af dem besluttede endda at flyve under radaren eller flytte for at gøre andre ting. De ønsker ikke at sætte deres kære i fare, “fordi far er sikkerhedsforsker og tiltrækker skurke,” siger han.

På infosec Twitter og på konferencer deler forskere hændelser og taler om måder at beskytte sig selv i disse situationer. De siger, at det næppe hjælper at ringe til politiet eller FBI. “Jeg vil fortælle dig, at du skal kontakte føderal retshåndhævelse, jeg vil bede dig om at kontakte en lokal politiafdeling, men ud fra hvad jeg har set, gør det intet,” siger sikkerhedsekspert Matt Smith fra Citadel Lock Tools. “Det kan tage måneder at få en anholdelse for en enkelt hændelse, endsige den person, der er på fri fod i temmelig lang tid.”

Mens nogle få forskere bærer disse trusler som et ærestegn, gør de fleste af dem alt i deres magt for at forblive sikre. De minimerer deres digitale fodaftryk, kører baggrundstjek på enhver ukendt person, der henvender sig til dem via sociale medier, bruger postkasser i stedet for adresser og afholder sig fra at sende noget online, der kan linke dem til deres familier.

Med den nylige stigning i ransomware og eskaleringen af geopolitiske spændinger mellem Rusland, Kina, Nordkorea og NATO har jobbet for i det mindste nogle infosec-fagfolk en tendens til at blive farligt. “Jeg ved ikke, om det er blevet værre, men jeg kan sige, at det slet ikke er blevet bedre,” siger Ronnie Tokazowski, hovedtrusselsrådgiver hos Cofense.

Stigende trussel mod forskere fra ransomware-grupper

Cyberkriminelle grupper har et fantastisk år indtil videre. Antallet af ransomware-angreb er på et all-time high, og den gennemsnitlige betaling har overskredet $ 900,000. Desuden synes det frygtsomme samarbejde mellem USA og Rusland om at bremse fænomenet at være stoppet, efter at Rusland invaderede Ukraine, og Vesten reagerede med sanktioner. For et par uger siden nåede sagen mod påståede medlemmer af hackergruppen REvil “en blindgyde”, ifølge den russiske avis Kommersant.

“Mange af disse ransomware-grupper lever med en følelse af straffrihed,” siger Allan Liska, efterretningsanalytiker hos Recorded Future. “Så længe de ikke forlader Rusland, er der bogstaveligt talt ingen konsekvenser for alle de dårlige ting, de gør. Så de kan være dristigere og frækkere og have Kremls dækning for at beskytte dem.”

Som Liska udtrykte det, har denne form for beskyttelse gjort det muligt for bander at gøre “nogle ret onde ting” mod sikkerhedseksperter gennem årene. Selvom han personligt ikke har modtaget nogen direkte trusler, har han hørt om sådanne hændelser, især når infosec-fagfolk engagerede sig på et personligt plan med kriminelle. “Jeg ved, at i mindst ét tilfælde, ransomware-gruppen truede en forskers barn,” siger han.

Der var situationer, hvor cyberkriminelle lærte, hvor sikkerhedseksperter boede og indsamlede oplysninger om hvert familiemedlem. Derefter sendte de disse oplysninger på underjordiske fora og inviterede andre mennesker i deres samfund til at målrette mod dem.

Liska bemærker, at bander har en tendens til at arbejde sammen og dele information mere, end de gjorde for et par år siden. “De har afpresningssteder; de har evnen til ikke kun at sende oplysninger om ofre, men også spytte ud, hvad der ligger dem på sinde,” tilføjer han.

I de seneste måneder, cyberkriminelle er også blevet mere aggressive, med potentielle virkninger på forskernes sikkerhed. Et eksempel er Conti-gruppen, der målrettede snesevis af organisationer i Costa Rica og fik præsident Rodrigo Chaves til at erklære national undtagelsestilstand. Hackerne meddelte, at de havde til formål at vælte regeringen, et usædvanligt mål for en ransomware-bande.

Dette hidtil usete angreb “markerer en ny eskalering i ransomware-aktiviteter,” siger Lauren Zabierek, administrerende direktør for cyberprojektet på Harvard Kennedy School’s Belfer Center. “Hvis de ser, at de kan holde et helt land som gidsel og ustraffet afpresse en løsesum, vil det gøre miljøet mere tilladt.”

For Liska, hændelser som disse viser, at linjerne mellem ransomware-grupper og nationalstatslige aktører bliver mere slørede. Stadig, nationalstatslige aktører er meget mere ressourcefulde, herunder når de målretter mod sikkerhedsforskere, og deres trusler kan være mere subtile. For eksempel har der været tilfælde, hvor eksperter, der rejste til konferencer, fik deres værelser kontrolleret eller modtog små gaver, der tyder på, at de stopper deres undersøgelser.

Personer, der arbejder for nationalstatslige aktører, målretter også mod infosec-fagfolk på LinkedIn, Twitter, Telegram, Keybase, Discord, e-mail eller andre kanaler, nogle gange hævder, at de vil tilbyde konsulentjob eller samarbejde med dem om sårbarhedsforskning.

I januar 2021 fandt Googles Threat Analysis Group, at nordkoreanske hackere foregav at være cybersikkerhedsbloggere og sendte et Visual Studio-projekt til sikkerhedseksperter. “Inden for Visual Studio-projektet ville være … en ekstra DLL, der ville blive udført gennem Visual Studio Build Events,” skrev Adam Weidemann på Googles blog. “DLL er brugerdefineret malware, der straks begynder at kommunikere med skuespillerstyrede C2-domæner.” Weidemann og hans kolleger opdagede også, at et par forskere var blevet kompromitteret efter at have besøgt et link sendt af disse nordkoreanske hackere.

“Hvis du er bekymret for, at du bliver målrettet, Vi anbefaler, at du opdeler dine forskningsaktiviteter ved hjælp af separate fysiske eller virtuelle maskiner til generel webbrowsing, interagerer med andre i forskningsmiljøet, accepterer filer fra tredjeparter og din egen sikkerhedsforskning,” skriver Weidemann.

Historien sluttede ikke der. I november 2021, Google meddelte, at nordkoreanske hackere også hævdede at være rekrutterere hos Samsung, sende PDF-filer, der beskriver jobmuligheder med det egentlige formål at installere en bagdør Trojan på forskernes computere.

Jagt på bugs og modtagelse af juridiske trusler

Trusler er ikke begrænset til infosec-fagfolk, der undersøger statsstøttede grupper eller ransomware-bander. Bugjægere og eksperter i fysisk sikkerhed kan også målrettes, nogle gange af de samme organisationer, de forsøger at hjælpe. Det skete for lockpicker Matt Smith ved et par lejligheder. “Første gang arbejdede jeg på en lås uafhængigt, og virksomheden lærte om det,” siger han. “De gik meget langt for at forsøge at finde mig og sagsøge mig, herunder at true med en stævning til et online forum for at opgive min IP-adresse.”

Anden gang var det dog meget værre. Smith modtog en fysisk trussel. “Jeg arbejdede på Abloy Protec II, og en af deres amerikanske forhandlere blev meget vred over, at hans mest sikre lås muligvis kunne være sårbar,” husker han. “Så han begyndte at sende mig krænkende e-mails, der krævede, at jeg fortalte ham, hvad jeg lavede. Da jeg ikke svarede med de svar, han ønskede, truede han med at ‘få mig sorteret ud’ og ‘var ligeglad med, hvor mange penge det kostede.'”

Nogle af de e-mails, Smith modtog, var særligt brutale. “Han sendte mig skærmbilleder af mit ansigt fra online-samtaler og fotos fra Google Earth af gaden, hvor han troede, jeg boede. Det var ikke rigtigt, men det var tæt nok på til at være en bekymring,« siger han. Smith svarede aldrig denne person og ændrede sin e-mail-adresse.

Kilde: CSOonline

Foto: Pexels