Coloro che lanciano attacchi zero-day non sono un gruppo monolitico. Hanno varie motivazioni e appartengono a categorie diverse. Il problema non sono solo gli hacker opportunisti, ma c'è anche un vivace mercato nero in cui le vulnerabilità e gli exploit zero-day vengono scambiati per ingenti somme di denaro. Anche gli autori legati agli stati-nazione sono a caccia di queste lacune. Invece di rivelarle, spesso accumulano queste vulnerabilità per creare exploit zero-day specializzati da usare contro gli avversari, una pratica che ha attirato critiche significative per aver messo in pericolo organizzazioni innocenti.
In genere, i criminali informatici cercano un guadagno finanziario, concentrandosi sull'ottenimento di informazioni sensibili o trattenendole per un riscatto cifrandole (ransomware) o minacciando di pubblicare dati critici, o entrambe le cose. Gli autori e gli hacktivisti sponsorizzati da stati sfruttano le vulnerabilità zero-day per promuovere cause sociali o politiche, spesso con l'obiettivo di ottenere dati sensibili o pubblicizzare la propria missione. Lo spionaggio aziendale è un altro fattore trainante, in cui le aziende possono utilizzare exploit per ottenere un vantaggio competitivo accedendo a informazioni riservate dei rivali. Infine, questi attacchi possono essere strumenti per la guerra informatica, orchestrati da stati-nazione che prendono di mira l'infrastruttura digitale di un altro paese attraverso attacchi dirompenti a lungo e breve termine per ottenere vantaggi contro i servizi pubblici, le istituzioni economiche, gli investimenti strategici e la proprietà intellettuale– compresi i segreti di stato.
Gli exploit zero-day hanno un'ampia portata e prendono di mira qualsiasi cosa, dai sistemi operativi ai browser web, dall'hardware ai dispositivi IoT. Questa vasta gamma di dispositivi bersaglio viene utilizzata dalle vittime, tra cui:
· Semplici utenti che hanno un sistema vulnerabile, come un browser datato.
· Proprietari di preziosi dati aziendali o proprietà intellettuali.
· Grandi aziende e organizzazioni che gestiscono quantità significative di dati sensibili.
· Agenzie governative che detengono informazioni critiche relative alla sicurezza nazionale.
I bersagli possono essere specifici o più ampi. Gli attacchi zero-day mirati puntano a un bersaglio di alto valore, come agenzie governative o grandi aziende, mentre gli attacchi non mirati si concentrano sullo sfruttamento di qualsiasi sistema vulnerabile che riescono a trovare. In quest'ultimo caso, si intende spesso compromettere quanti più utenti possibili, rendendo nessuno di fatto veramente al sicuro da potenziali danni.
La struttura portante di un attacco zero-day si basa su diversi fattori, tra cui:
· Identificazione di una vulnerabilità software, che include lacune nell'esecuzione dell'applicazione.
· La vulnerabilità non è stata divulgata pubblicamente.
· Rapido sviluppo di un exploit della vulnerabilità.
Questi fattori sono abilitanti per diverse attività dannose, ma la consegna del codice dell'exploit è ancora necessaria per far continuare un attacco. La consegna di un exploit può avvenire attraverso vari canali:
· Social engineering: gli aggressori usano una vasta gamma di mezzi utilizzati con notevole frequenza, tra cui e-mail mirate, social media e altri messaggi. Un aggressore creerà un profilo di un determinato bersaglio per ottenerne la fiducia.
· Phishing: gli aggressori usano questo metodo per ingannare gli utenti ad aprire file o link dannosi tramite un'e-mail che sembra legittima, ma che in realtà proviene da un aggressore.
· Download drive-by: in questo scenario, gli autori delle minacce incorporano il codice dell'exploit in un sito web compromesso, ma apparentemente legittimo come elemento nascosto. Quando i visitatori accedono al sito infetto, l'exploit viene scaricato ed eseguito sui loro sistemi senza che ne siano consapevoli o abbiano fatto una qualche azione diretta. Questa tecnica viene spesso utilizzata per effettuare attacchi zero-day sfruttando le vulnerabilità zero-day per infiltrarsi nei sistemi in modo discreti.
· Malvertising: con questa strategia, gli annunci dannosi passano attraverso reti pubblicitarie affidabili. Cliccando su questi annunci o semplicemente passandoci sopra il mouse si attiva il codice dell'exploit. Dato che gli utenti tendono a fidarsi dei siti web noti, è un metodo molto astuto per lanciare attacchi zero-day.
· Spear phishing: questa tecnica prende di mira specifici utenti finali con messaggi altamente personalizzati tramite e-mail, SMS o altre piattaforme. Se un aggressore ottenesse l'accesso a un account privilegiato, l'utilità di un exploit viene amplificata all'interno dell'infrastruttura di destinazione. Ciò potrebbe espandere la portata di un attacco al di là di un'azienda per includere partner e altre organizzazioni affiliate.
Questi exploit possono anche essere raggruppati in un "pacchetto di exploit", che sonda il sistema alla ricerca di più vulnerabilità e consegna l'exploit dove sarà più efficace. Una volta eseguito, il codice può causare una gamma di danni,—che spaziano dal furto di dati al rendere inutilizzabile il sistema. Data la natura furtiva e sofisticata di questi attacchi, sono spesso difficili da rilevare e prevenire, richiedendo strategie avanzate di prevenzione degli attacchi zero-day.