De personen die zero-day aanvallen lanceren, vormen geen uniforme groep. Deze personen en groepen hebben verschillende motieven en behoren tot verschillende categorieën. Het zijn niet alleen opportunistische hackers die het probleem zijn; er is ook een bloeiende zwarte markt waar zero-day kwetsbaarheden en exploits worden verhandeld voor grote sommen geld. Ook staatsactoren (hackers van bepaalde overheden) zijn op zoek naar zulke kwetsbaarheden. In plaats van ze bekend te maken, bewaren ze de kwetsbaarheden vaak om gespecialiseerde zero-day exploits te ontwikkelen voor gebruik tegen aanvallers. Hier is veel kritiek op, omdat onschuldige organisaties ook in gevaar worden gebracht.
Cybercriminelen zijn meestal uit op financieel gewin en proberen gevoelige informatie in handen te krijgen en/of informatie te versleutelen om er losgeld voor te kunnen vragen (ransomware). Staatsactoren en hacktivisten gebruiken zero-day kwetsbaarheden om sociale of politieke doelen te bevorderen, vaak met als doel gevoelige gegevens te verzamelen of hun missie bekendheid te geven. Bedrijfsspionage is een andere drijfveer, waarbij bedrijven exploits kunnen gebruiken om een concurrentievoordeel te behalen door toegang te krijgen tot vertrouwelijke informatie van rivalen. Ten slotte kunnen deze aanvallen ook wapens zijn in een cyberoorlog, georkestreerd door natiestaten die zich op de digitale infrastructuur van een ander land richten via kort- of langlopende ontwrichtende aanvallen tegen nutsbedrijven, economische instellingen, strategische investeringen en intellectuele eigendommen, met inbegrip van staatsgeheimen.
Zero-day exploits kunnen gericht zijn op zeer verschillende doelwitten, uiteenlopend van besturingssystemen en webbrowsers tot hardware en IoT-apparaten. Dit brede spectrum van doelwitten wordt gebruikt door verschillende soorten slachtoffers, waaronder:
· Dagelijkse gebruikers van een kwetsbaar systeem zoals een verouderde browser.
· Eigenaren van waardevolle bedrijfsgegevens of intellectuele eigendommen.
· Grote ondernemingen en organisaties die aanzienlijke hoeveelheden gevoelige gegevens beheren.
· Overheidsinstanties die beschikken over kritieke informatie op het gebied van nationale veiligheid.
Doelwitten kunnen heel specifiek of juist heel breed zijn. Gerichte zero-day aanvallen zijn gericht op hoogwaardige doelen zoals overheidsinstanties of grote bedrijven, terwijl niet-gerichte aanvallen zich richten op het exploiteren van elk kwetsbaar systeem dat ze kunnen vinden. In het laatste geval is het doel vaak om zoveel mogelijk gebruikers in gevaar te brengen, waardoor niemand echt veilig is voor mogelijke schade.
De ruggengraat van een zero-day aanval berust op verschillende factoren, waaronder:
· Er wordt een softwarekwetsbaarheid gevonden, bijvoorbeeld een fout in de uitvoering van een applicatie.
· De kwetsbaarheid wordt niet openbaar gemaakt.
· Er wordt in korte tijd een exploit voor de kwetsbaarheid ontwikkeld.
Deze factoren zijn noodzakelijk voor verschillende soorten schadelijke activiteiten, maar de exploitcode moet nog wel worden afgeleverd om een aanval mogelijk te maken. Het afleveren van een exploit kan via verschillende kanalen gebeuren:
· Social engineering: aanvallers gebruiken verschillende geraffineerde technieken, zoals op maat gemaakte e-mail-, social media- en andere berichten. Hiervoor worden speciale profielen van de doelwitten opgebouwd, zodat ze hun vertrouwen kunnen winnen
· Phishing: aanvallers gebruiken deze methode om gebruikers te misleiden om kwaadaardige bestanden of links te openen via een e-mail die legitiem lijkt, maar eigenlijk van de aanvaller afkomstig is.
· Drive-by download: in dit scenario integreren hackers hun exploitcode als een verborgen element in een gecompromitteerde maar schijnbaar legitieme website. Wanneer bezoekers naar de geïnfecteerde site navigeren, wordt de exploit automatisch gedownload en op hun systemen uitgevoerd zonder dat het slachtoffer iets hoeft te doen of iets merkt. Deze techniek wordt vaak gebruikt om zero-day aanvallen uit te voeren en gebruik te maken van zero-day kwetsbaarheden voor discrete infiltratie in systemen.
· Malvertising: bij deze strategie worden schadelijke advertenties verspreid via vertrouwde advertentienetwerken. Alleen al door op deze advertenties te klikken of met de muis eroverheen te bewegen, wordt de exploitcode geactiveerd. Aangezien gebruikers de neiging hebben om bekende websites te vertrouwen, is dit een sluwe manier om zero-day aanvallen uit te voeren.
· Spear-phishing: deze techniek stuurt sterk gepersonaliseerde berichten via e-mail, sms of andere platforms doelgericht naar specifieke eindgebruikers. Als een aanvaller toegang weet te krijgen tot een account met veel privileges, dan krijgt de exploit sneller vrij spel binnen de infrastructuur van het doelsysteem. Dit kan het bereik van de aanval ook buiten de organisatie uitbreiden tot partners en andere gelieerde bedrijven.
Exploits kunnen worden gebundeld in een "exploit pack", dat het systeem scant op meerdere kwetsbaarheden en de exploit aflevert waar deze het meest effectief zal zijn. Nadat de programmacode van de exploit is uitgevoerd, kan deze op verschillende manieren schade aanrichten, van gegevensdiefstal tot het onbruikbaar maken van het systeem. Gezien de heimelijke en geavanceerde aard van deze aanvallen zijn ze vaak moeilijk te detecteren en te voorkomen. Daarom zijn geavanceerde strategieën voor de preventie van zero-day aanvallen een must.