AI juhitud küberrünnakud - nüüdseks reaalsus

Igas tööstusvaldkonnas on lai valik pahavara. Alates IoT botnet-idest ning lõpetades mitu kuud kestva varjatud sissetungimisega, mille taga on juba ülimalt osavateks näitlejateks muutunud inimesed.

Viimastel aastatel on just tööstusvaldkondades pahavara muutunud keerukamaks. Juhtiva turvalisuskondkonna tootja Darktrace sõnul on oodata kahte olulist arengut 2 arengut: 

  • AI-juhitav pahavara käitub nagu petturitest inimesed, kasutades kontekstipõhist mõistmist
  • Inimese ja AI kombinatsioon ehk ründajad kasutavad AI abi. Seeläbi muutuvad küberrünnakud efektiivsemaks, kiiremaks ning rünnakute mõõtmed on suuremad. 

Lõppkokkuvõttes pole Sinu jaoks oluline, kas küberrünnaku viis läbi inimene, AI või nende kombinatsioon - tähtis on mõista, et vähenenud on suutlikkus reageerida uue pahavara keerukusele ja kiirusele.

Autonoomne pahavara ja AI - tappev kombinatsioon

Tulevikus levib AI juhitav pahavara iseseisvate otsuste seeria kaudu, mis on arukalt kohandatud nakatunud süsteemi parameetritele. Kujuta ette worm-stiilis rünnakut nagu WannaCry. Kuid selle asemel, et toetuda kasutajalt-kasutajale levikule ehk lateraalsele levikule, õpiks pahavara tundma oma sihtkeskkonda ja selle levimise tehnikad muutuksid vastavalt. Näitena võib tuua WannaCry ründepunkti - nõrkus nimega EternalBlue. Kui EternalBlue on süsteemis sees, suudab see lülituda SMB volituste  sunniviisilisele rakendamisele,  laadida Mimikatz-i või ehk isegi installida tarkvara sisselogimisandmete salvestamiseks.  Teise variandina kujuta ette krüptokaevandajat, mis on installitud igasse igasse mitte-kriitilisse serverisse.
 
AI juhitud pahavara on võimeline õppima, kuidas teha arukamaid otsuseid ning nakatada seadmeid, mida kasutavad ettevõttes võtmerolli omavad isikud. Olgu selleks tegevjuht, raamatupidaja või finantsjuht. Tulemuseks on edukam teabe varastamine või ettevõtte lukustamine.

Arukad kõrvalehiilimise tehnikad

Relvaks muudetud AI on võimeline kohanema nakatunud keskkonnaga. Kontekstuaalsest infost õppides suudab see tuvastada ettevõtte infosüsteemide nõrgad kohad või jäljendada usaldusväärseid süsteemi elemente. Näiteks on AI võimeline looma C2-kanalid tavalisel tööajal, suhtlema selliste populaarsete portide kaudu nagu 53, 80 ja 443 ning kasutama standardseid protokolle (nt. HTTP ja HTTPS). Teise võimalusena võib AI-põhine pahavara kasutada domeeninimesid C2-suhtluseks ja andmete salvestamiseks, mis sarnanevad väga täpselt ettevõtte enda domeeni või ettevõtte nimega. See võimaldab AI küberrünnakutel tuvastamisest kõrvale hoida ja tekitatud kahju maksimeerida.

Low-and-slow tehnika kinnitab kanda

AI rünnakute puhul mõeldakse, kuidas pahavara liigub kiiremini kui inimesed suudavad reageerida. Samas on ju ilmne, et selline pahavara tõmbab tähelepanu. Kuidas siis märkamatuks jääda? Eks ikka tasa ja targu - "low-and-slow" lähenemisega rünnakud on sama ohtlikud kui mistahes teised rünnakud. "Low- and-slow" pahavara väldib tuvastamist, kuna iga üksiktoiming on inimese jaoks liiga madala prioriteediga ning traditsioonilised turbevahendid on sellise tegevuse tuvastamiseks liiga nõrgad.

Enamik traditsioonilisi turbetööriistu töötab binaarselt - "Kas üleslaadimine oli suurem kui 500 MB?" Kui jah, märgitakse see kahtlaseks ja edaspidiseks uurimiseks. Kuna ründajad teavad seda, kohandavad nad andmete allalaadimise meetodit. Andmete kogumid tükeldadakse väiksemaks ning hangitakse need aja jooksul järk-järgult allalaadides. Ründaja, kellel on sinu võrgus tugev kohalolek, ei pea andmete tõmbamist läbi viima 24 tunniga. Vastupidi- tegutsetakse 24 päeva jooksul ilma, et midagi märgataks. Pahavara tuvastamine muutub seeläbi veelgi keerukamaks. Näitena võib tuua andmemahu dünaamilise muutmise ribalaiuse põhjal nakatunud masina kaudu. Selle asemel, et iga 2 tunni järel edastada 20KB andmeid, võib see sobival hetkel andmemahtu suurendada. Hetkel, mil nakatunud sülearvutiga töötaja teeb näiteks videokonverentsi, kasutab pahavara võimalust andmeid edastada. Tegevus tundub normaalsena, sest videokonverentsid ongi ressursikulukad.
 
2017. aasta mais nägime esimest paradigma muutust, kui WannaCry esmakordselt tuvastati. Pärast seda kohandas küberkuritegevuse ökosüsteem oma „edukaid“ tehnikaid kiiresti ka muude küberrünnaku vormide jaoks. Näiteks krüptokaevandamise pahavara või lateraalselt liikuvate troojalasi panganduses. Küberkurjategijate entusiasm on põhjendatud - rahaline kasum suurenes märkimisväärselt, sest AI-põhine pahavara tabab rohkem seadmeid.

Just selliste arengute valguses on oodata küberrünnakute kasvu. Ettevõtetel on isegi praegu raskusi ohtude tuvastamisega ning AI muudab olukorra veelgi keerukamaks.  Just sel põhjusel soovitab Darktrace mõelda kaugemale - kui küberkurjategijad kasutavad AI-d, siis peaks seda tegema ka turbetarkvarad. AI-põhised rünnakud on reaalsus juba praegu - kes seda õigel ajal ei mõista, peab leppima kurbade tagajärgedega. 
 

 

Kui tunned, et käesolev teema Sind kõnetas ja oled valmis enda ettevõtet kaitsma, siis võta minuga ühendust:

Viljar Vaht

Lahenduste müügikonsultant , Darktrace tootejuht

Mobiil: 555 88 721
E-post: viljar.vaht@oixio.ee