De som utför nolldagsattacker är inte en monolitisk grupp, utan har olika motiv och tillhör olika kategorier. Det är inte bara opportunistiska hackare som är problemet, det finns också en livlig svart marknad där nolldagssårbarheter och exploateringar handlas för stora summor pengar. Även nationella aktörer är på jakt efter dessa brister. Istället för att avslöja dem samlar de ofta på sig dessa sårbarheter för att skapa specialiserade nolldagsexploateringar som kan användas mot motståndare, en praxis som har fått mycket kritik för att den utsätter oskyldiga organisationer för fara.
Cyberbrottslingar är oftast ute efter ekonomisk vinning och fokuserar på att komma över känslig information eller kräva lösen genom att kryptera (ransomware) eller hota att släppa känslig information, eller både och. Statsunderstödda aktörer och hacktivister använder nolldagssårbarheter för att främja sociala eller politiska syften, ofta i syfte att samla in känsliga uppgifter eller offentliggöra sitt uppdrag. Företagsspionage är en annan drivkraft, där företag kan använda exploateringar för att få en konkurrensfördel genom att få tillgång till konfidentiell information från rivaler. Slutligen kan dessa attacker vara verktyg för cyberkrigföring, där nationalstater riktar in sig på ett annat lands digitala infrastruktur genom störande lång- och kortsiktiga attacker för att få fördelar mot allmännyttiga företag, ekonomiska institutioner, strategiska investeringar och immateriella rättigheter - däribland statshemligheter.
Nolldagsexploateringar har en bred räckvidd och riktar in sig på allt från operativsystem och webbläsare till hårdvara och IoT-enheter. Detta breda spektrum av målenheter används av offren, däribland:
- Vanliga användare som har ett sårbart system, t.ex. en föråldrad webbläsare.
- Ägare av värdefulla affärsdata eller immateriella rättigheter.
- Stora företag och organisationer som hanterar betydande mängder känsliga data.
- Statliga myndigheter som innehar kritisk information om nationell säkerhet.
Målen kan vara specifika eller breda. Riktade nolldagsattacker tar sikte på högvärdiga mål som myndigheter eller stora företag, medan icke riktade attacker fokuserar på att utnyttja alla sårbara system som de kan hitta. I det senare fallet är målet ofta att kompromettera så många användare som möjligt, vilket gör att ingen riktigt är säker från potentiell skada.
Ryggraden i en nolldagsattack bygger på flera faktorer, bland annat
· Identifiering av en sårbarhet i programvaran, vilket inkluderar brister i exekvering av program.
· Sårbarheten offentliggörs inte.
· Snabb utveckling av en exploatering av sårbarheten.
Dessa faktorer möjliggör olika skadliga aktiviteter, men det krävs fortfarande att exploateringskoden levereras för att en attack ska kunna genomföras. En exploatering kan levereras via olika kanaler:
· Social ingenjörskonst: Angriparna använder en mängd olika metoder med hög kontaktnivå, däribland skräddarsydd e-post, sociala medier och andra meddelanden; en angripare bygger upp en profil av ett mål för att vinna förtroende
· Nätfiske: Angriparna använder denna metod för att lura användare att öppna en skadlig fil eller länk via ett e-postmeddelande som verkar legitimt men som i själva verket kommer från en angripare.
- Drive-by-nedladdning: I detta scenario bäddar hotaktörer in exploateringskod i en komprometterad men till synes legitim webbplats som ett dolt element. När besökarna går till den infekterade webbplatsen laddas exploateringen ner och körs på deras system utan att de gör något direkt eller är medvetna om det. Denna teknik används ofta för att utföra nolldagsattacker, där man utnyttjar nolldagssårbarheter för att infiltrera system på ett diskret sätt.
- Malvertising: I denna strategi går skadliga annonser via betrodda annonsnätverk. Bara genom att klicka eller hålla muspekaren över dessa annonser utlöses exploateringskoden. Med tanke på att användare tenderar att lita på kända webbplatser är detta ett listigt sätt att genomföra nolldagsattacker.
- Spjutfiske: Denna teknik riktar sig till specifika slutanvändare med mycket personliga meddelanden via e-post, sms eller andra plattformar. Om en angripare får tillgång till ett privilegierat konto ökar nyttan av en exploatering inom målinfrastrukturen. Detta kan leda till att en attack inte bara drabbar ett företag utan även partner och andra anslutna organisationer.
Dessa exploateringar kan också buntas ihop till ett "exploateringspaket", som sonderar systemet efter flera sårbarheter och levererar exploateringen där den är som mest effektiv. När koden väl har körts kan den orsaka en rad olika skador - från datastöld till att göra systemet obrukbart. Eftersom attackerna är smygande och sofistikerade är de ofta svåra att upptäcka och förhindra, vilket kräver avancerade strategier för att förebygga nolldagsattacker.