Cyber-angrep til salgs

I de illegale markedsplassene på det mørke nettet selges det digitale varer og tjenester for dataangrep. Dette gjør at man ikke trenger å være noen dataekspert for å stå bak et angrep og nesten hvem som helst med ondsinnet motivasjon er dermed en potensiell trussel. Vi har studert tilbud og etterspørsel i dette markedet for å lete etter nye angrepstrender.

Det mørke nettet (bedre kjent som the Dark Net) tilbyr anonymitet for brukerne og dermed en virtuell møteplass for å handle illegale varer. Først og fremst er det narkotika som omsettes her, men det er også en betydelig mengde digitale varer og tjenester for salg. Vi har sett på hvilke av disse som kan brukes i angrepsøyemed mot datasystemer. Hensikten har vært å identifisere hvilken type angrep aspirerende cyber-kriminelle kan få tilgang til og hvem disse angrepene typisk retter seg mot. Denne informasjonen gjør at vi kan være litt bedre forberedt på mulige angrep før de faktisk skjer.

I vår studie har vi tatt for oss 11 markedsplasser, tilgjengelig på den mest populære plattformen på det mørke nettet, nemlig TOR (the Onion Router). Disse var Apollon Market, Berlusconi Market, Canadian HeadQuarters, Cave Tor, DarkBay, Dream Alt, Empire Market, Grey Market, Samsara, Tochka og Undermarket 2.0. Studien ble gjennomført i løpet av september måned 2019, og disse markedene var da levende og representerte de mest populære som faktisk inneholdt digitale varer og tjenester. Fra de digitale varehyllene gikk vi gjennom totalt 19 974 innslag, plukket ut 885 som var relevante og grupperte disse i 21 kategorier av angrepsvåpen.  I figuren under har vi illustrert distribusjonen av disse, basert på hver enkelt kategori og i hvilken markedsplass de var tilgjengelige.

Den dominerende kategorien er uten tvil «Hackers-for-hire», som er en type tjeneste hvor man betaler noen for å gjennomføre et angrep. Man kan godt kalle det outsourcing om man vil. På en knepen andreplass finner vi «Account/password crackers», som er programvare man kan kjøpe for å knekke passord på bestemte systemer. Tredjeplass står «Phishing kits» for, som er falske nettsider fra populære web-tjenester (nettbanker, sosiale medier, osv) som er klargjorte for nettsvindel. Grunnen til at denne siste har så høy plassering skyldes først og fremst at det var veldig mange varianter å finne hos Canadian HeadQuarters, så fordelingen er ganske skjev her.

Det er ganske kjent at mange som prøver å kjøpe ting fra disse markedsplassene blir svindlet, men siden man i utgangspunktet prøver å kjøpe noe ulovlig, er det neppe mange som anmelder dette. Omtaler og stjernerangering av varer gir en viss trygghet i forhold til varene, men også her er det mange forfalskninger. I figuren under har vi sett på hva som faktisk rapporteres som «successful sales» innen hver enkelt kategori. Her måtte vi bruke et mindre utvalg av markedsplasser ettersom bare fire av dem oppga dette (Apollon, Berlusconi, Empire og Grey).

Denne grafen viser et noe annet bilde enn den forrige, og sannsynligvis også et riktigere. På toppen av podiet finner vi “Phone hacking”, som er angrepsprogramvare rettet mot mobile plattformer (iOS og Android). Dette er kanskje ikke så rart, ettersom vi i stadige større grad bruker disse plattformene til alle mulige digitale tjenester. Videre finner vi «Hack packs» på andreplass (for øvrig på en fjerdeplass i konkurransen over), som er store samlinger av programvare og bøker (ofte flere GB store) av svært ymse kvalitet. Det vi finner mest interessant er tredjeplassen, «Stealers and grabbers», ettersom dette er noe som ikke har vært synlig i tidligere tilsvarende studier, og dermed en ny angrepsteknikk. «Stealers and grabber» er en type skadevare som etter at den har kommet inn på maskina di, ligger og overvåker utklippstavla etter noe matnyttig. Får den øye på brukernavn, passord, bankkontonummer, osv, vil den stjele denne informasjonen og sende den tilbake til angriperen. Mange er også spesialiserte til å se etter adresser for bitcoin-lommebøker. Disse er lange, kryptiske kjeder av tegn, og det er derfor naturlig å bruke utklippstavla når man skal oppgi den i forbindelse med en transaksjon. Skadevaren vil i dette tilfellet bytte ut denne lommebokadressen på utklippstavla med angriperen sin egen, slik at pengene blir overført direkte dit. Bildet under viser et eksempel på et slikt produkt.

Denne bloggposten er en forkortet versjon av en artikkel vi har publisert nylig. For andre betraktninger rundt salg av varer og tjenester i dette markedet, samt forklaring på de andre kategoriene og hva vi har utelatt (for eksempel er salg av kredittkortdetaljer og brukerkontoer er dominerende, men regnes ikke som angrepsvåpen), les gjerne den fulle artikkelen «Cyber Attacks for Sale» skrevet av undertegnede og Guttorm Sindre fra NTNU.