Cei care lansează atacuri de tip „zero-day” nu sunt un grup omogen, ci au motivații diferite și fac parte din categorii diferite. Problema nu o reprezintă numai hackerii oportuniști; există o piață neagră foarte activă, unde date despre vulnerabilitățile și exploatările de tip zero-day sunt tranzacționate pentru sume mari de bani. Și actorii de la nivel de țară sunt în căutarea unor astfel de vulnerabilități. În loc să le divulge, aceștia colectează adesea vulnerabilitățile pentru a crea exploatări „zero-day” specifice pe care să le folosească împotriva adversarilor, o practică care a atras critici pentru că pune în pericol organizații nevinovate.
Infractorii cibernetici urmăresc, de obicei, obținerea de câștiguri financiare, concentrându-se pe colectarea de informații sensibile, pe răscumpărarea acestora prin criptare (ransomware) sau amenințând cu divulgarea datelor sensibile sau apelând la ambele tehnici. Actorii sponsorizați de state și hacktiviștii folosesc vulnerabilitățile de tip zero-day pentru a promova cauze sociale sau politice, adesea cu scopul de a colecta date sensibile sau de a-și face cunoscută misiunea. Spionajul corporativ este un alt factor; în acest caz, companiile pot utiliza exploiturile pentru a obține un avantaj competitiv prin accesarea informațiilor confidențiale ale concurenților. Nu în ultimul rând, aceste atacuri pot fi instrumente de război cibernetic, orchestrate de state care țintesc infrastructura digitală a unei alte țări prin atacuri perturbatoare pe termen lung și scurt pentru a obține un avantaj în ceea ce privește serviciile de utilități, instituțiile economice, investițiile strategice și proprietatea intelectuale, inclusiv prin obținerea de secrete de stat.
Exploiturile de tip „zero-day” au o anvergură extinsă, vizând orice, de la sisteme de operare și browsere web la echipamente hardware și dispozitive IoT. Acest spectru vast de dispozitive țintă este utilizat de victime, cum ar fi:
- utilizatorii obișnuiți care folosesc un sistem vulnerabil, cum ar fi un browser neactualizat;
- deținătorii de date de business valoroase sau titularii de drepturi de proprietate intelectuală;
- companiile mari și organizațiile care gestionează volume semnificative de date sensibile;
- agențiile guvernamentale care dețin informații critice privind securitatea națională.
Țintele pot fi specifice sau generale. Atacurile de tip „zero-day” targetate vizează ținte de mare valoare, cum ar fi agențiile guvernamentale sau marile corporații, în timp ce atacurile netargetate se axează pe exploatarea oricărui sistem vulnerabil pe care îl pot găsi. În acest din urmă caz, obiectivul este adesea de a compromite cât mai mulți utilizatori posibil, nimeni nefiind cu adevărat în siguranță în fața unui pericol potențial.
Un atac de tip „zero-day” se bazează pe mai mulți factori, printre care:
· identificarea unei vulnerabilități software, care include defecte în execuția aplicațiilor;
· vulnerabilitatea nu este divulgată public;
· elaborarea rapidă a unui exploit care vizează vulnerabilitatea respectivă.
Acești factori facilitează diverse activități periculoase, dar este nevoie de furnizarea codului de exploit pentru a lansa un atac. Furnizarea unui exploit poate fi efectuată prin diferite canale:
· Inginerie socială: atacatorii folosesc o varietate de mijloace de mare impact, inclusiv e-mailuri personalizate, rețele de socializare și alte tipuri de mesaje; un hacker va construi profilul unei ținte pentru a-i obține încrederea.
· Phishing: hackerii folosesc această metodă pentru a păcăli utilizatorii să deschidă un fișier sau un link periculos printr-un e-mail care pare legitim, dar care provine de fapt de la un atacator.
· Descărcare drive-by: în acest scenariu, actorii amenințării ascund codul de exploatare într-un site web compromis, dar aparent legitim, ca element ascuns. Atunci când vizitatorii navighează pe site-ul infectat, exploitul este descărcat și executat pe sistemele lor fără ca aceștia să acționeze direct sau să fie conștienți de acest lucru. Această tehnică este des utilizată pentru a efectua atacuri de tip zero-day care se folosesc de vulnerabilitățile zero-day pentru a se infiltra discret în sisteme.
· Malvertising: prin această strategie, anunțurile publicitare periculoase ajung la utilizator prin rețele de publicitate de încredere. Un simplu clic sau așezarea cursorului peste aceste reclame declanșează codul de exploit. Având în vedere că utilizatorii tind să aibă încredere în site-urile web cunoscute, aceasta este o modalitate inventivă de a lansa atacuri de tip zero-day.
· Spear Phishing: această tehnică vizează anumiți utilizatori finali, care primesc mesaje foarte personalizate prin e-mail, mesaje text sau alte platforme. Dacă hackerul obține acces la un cont privilegiat, utilitatea unui exploit este amplificată în cadrul infrastructurii vizate. Acest lucru ar putea extinde sfera de acțiune a unui atac dincolo de o companie, pentru a include partenerii și alte organizații afiliate.
Mai mult, aceste exploituri pot fi grupate într-un „pachet de exploituri”, care cercetează sistemul în căutarea mai multor vulnerabilități, pentru a fi lansate apoi acolo unde sunt cele mai eficiente. Odată executat, codul poate provoca o serie de daune, de la furtul de date până la inoperabilitatea sistemului. Având în vedere natura invizibilă și sofisticată a acestor atacuri, ele sunt adesea greu de detectat și de prevenit, fiind nevoie de strategii avansate de prevenire a atacurilor de tip zero-day.