Πίσω από τις άδειες προθήκες σούπερ μάρκετ, τα καθηλωμένα αεροσκάφη και τα μπλοκαρισμένα ψηφιακά συστήματα δεν κρύβεται αυτή τη φορά κάποια φυσική καταστροφή ή γεωπολιτική κρίση. Η αιτία του χάους σε Ηνωμένο Βασίλειο, Ηνωμένες Πολιτείες και Καναδά τις τελευταίες εβδομάδες έχει όνομα: Scattered Spider, μια ομάδα νεαρών χάκερς που πλέον θεωρείται η μεγαλύτερη και πιο άμεση απειλή στον κυβερνοχώρο.
Πρόκειται για μια αποκεντρωμένη συλλογικότητα, αποτελούμενη κυρίως από Αγγλόφωνους εφήβους και νεαρούς ενήλικες με έδρα τις ΗΠΑ και το Ηνωμένο Βασίλειο. Η ομάδα χρησιμοποιεί έξυπνες τεχνικές κοινωνικής μηχανικής (social engineering), παραπλανώντας υπαλλήλους τεχνικής υποστήριξης για να αποκτήσουν πρόσβαση σε κρίσιμα εταιρικά συστήματα. Μόλις διεισδύσουν, εξαπολύουν επιθέσεις ransomware ή εκβιάζουν εταιρείες με την κλοπή δεδομένων.
Σύμφωνα με το Wired, παρότι κατά τη διάρκεια του 2024 είχαν υποχωρήσει εν μέσω πιέσεων από τις διωκτικές αρχές -με συλλήψεις και διώξεις πέντε φερόμενων μελών- τις τελευταίες εβδομάδες επέστρεψαν πιο επιθετικοί από ποτέ. Ειδικοί στην κυβερνοασφάλεια κρούουν τον κώδωνα του κινδύνου.
«Ορισμένα μέλη της Scattered Spider διαθέτουν μοναδικές δεξιότητες κοινωνικής μηχανικής και εκμεταλλεύονται ένα σοβαρό κενό στα συστήματα ασφάλειας», τονίζει ο Τζον Χάλτκουιστ, επικεφαλής αναλυτής της ομάδας απειλών της Google. «Πλήττουν κρίσιμες υποδομές και δεν πρέπει να χάσουμε την ευκαιρία να αντιμετωπίσουμε αυτή την απειλή».
Νέες επιθέσεις από λιανεμπόριο έως αεροπορικές
Τον Μάιο, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου (NCA) επιβεβαίωσε ότι εξετάζει τη σύνδεση της Scattered Spider με κυβερνοεπιθέσεις σε μεγάλες αλυσίδες σούπερ μάρκετ. Την ίδια ώρα, το FBI εξέδωσε προειδοποίηση ότι οι χάκερς επεκτείνουν τη δράση τους στον αεροπορικό τομέα.
Πράγματι, οι WestJet και Hawaiian Airlines παραδέχτηκαν ότι υπήρξαν θύματα. Λίγες ημέρες αργότερα, και η αυστραλιανή Qantas ανέφερε επίθεση στα συστήματά της, χωρίς όμως να επιβεβαιώσει αν πρόκειται για το ίδιο δίκτυο.
«Το 2024 ήταν πιο ήσυχοι, φάνηκε πως αποσύρθηκαν προσωρινά. Όμως τους τελευταίους δύο μήνες επέστρεψαν με σφοδρότητα, χτυπώντας πρώτα το λιανεμπόριο, μετά τις ασφαλιστικές και τώρα τις αεροπορικές εταιρείες», επισημαίνει ο Άνταμ Μέγερς, αντιπρόεδρος της CrowdStrike, μιας από τις κορυφαίες εταιρείες κυβερνοασφάλειας στον κόσμο.
Η Scattered Spider εμφανίστηκε στο προσκήνιο στα τέλη του 2023, μεταβαίνοντας από απλές επιθέσεις αλλαγής SIM (SIM swapping) σε επιθέσεις ransomware μεγάλης κλίμακας. Στόχος τους έγιναν τότε τα Caesar’s Entertainment και MGM Resorts, με τις ζημιές να ανέρχονται σε δεκάδες εκατομμύρια δολάρια – μόνο η MGM φέρεται να έχασε περίπου 100 εκατ. δολάρια.
Οι ειδικοί επισημαίνουν πως τα μέλη της ομάδας είναι χρηματοοικονομικά υποκινούμενα, και σχετίζονται με ένα ευρύτερο δίκτυο γνωστό ως «Com»: ένα χαοτικό σύνολο από χιλιάδες τρολ, χάκερς και εγκληματίες του διαδικτύου, αρκετοί από τους οποίους εμπλέκονται σε παρενόχληση, εκβιασμούς, ακόμη και σε εγκλήματα κατά ανηλίκων.
Ποια η τακτική της Scattered Spider
Η κύρια τακτική της ομάδας περιλαμβάνει τη χρήση κοινωνικής μηχανικής: κάποιος χάκερ υποδύεται έναν υπάλληλο που δήθεν έχει χάσει την πρόσβασή του στο email του και καλεί την τεχνική υποστήριξη για να του επαναφέρει τους κωδικούς — παρακάμπτοντας ακόμα και την πολυπαραγοντική αυθεντικοποίηση (MFA).
Άλλη διαδεδομένη τεχνική είναι η δημιουργία πειστικών phishing ιστοσελίδων που προσομοιάζουν τα συστήματα σύνδεσης των εταιρειών. Οι διευθύνσεις αυτών των site περιλαμβάνουν λέξεις όπως «vpn», «okta» ή «helpdesk», σε συνδυασμό με το όνομα της εταιρείας-στόχου.
Μόλις αποκτήσουν πρόσβαση, οι χάκερς είτε εγκαθιστούν ransomware, είτε κλέβουν δεδομένα για να εκβιάσουν τις εταιρείες. Σε πολλές περιπτώσεις, δεν αποζητούν καν δημοσιότητα — τους αρκεί η πληρωμή.
Παρότι τα βασικά επιχειρησιακά μέλη της Scattered Spider υπολογίζονται σε τέσσερα άτομα, τα οποία καθοδηγούν τη στόχευση πιθανών θυμάτων και «αξιοποιούν» πόρους από το ευρύτερο οικοσύστημα Com, η ακριβής δομή και το μέγεθός της δεν είναι σαφή. Οι ερευνητές συμφωνούν ότι η ομάδα βασίζεται σε μια σειρά από υπηρεσίες τρίτων για την εκτέλεση των επιθέσεών της.
«Δεν πολεμάμε έναν μεμονωμένο οργανισμό, αλλά μια αγορά, όπου οι “παίκτες” είναι αντικαταστάσιμοι», τονίζει ο Χάλτκουιστ της Google. «Αν μια υπηρεσία πέσει, θα βρουν άλλη».
Η συνεργασία τους με το δίκτυο “Com” ενισχύεται από επαφές σε Discord και Telegram, σύμφωνα με τον Άιντεν Σίννοτ, αναλυτή απειλών στην εταιρεία Sophos. Εκεί εκπαιδεύονται νεότεροι χάκερς, ανταλλάσσονται τεχνικές και επιτυχίες – καλλιεργείται μια κοινότητα εγκληματικής τεχνογνωσίας.
Μερικά μέλη μπορεί να στοχεύουν σε μεγάλες επιχειρήσεις, άλλα όμως περιορίζονται σε πιο «προσωπικές» δράσεις, όπως η κλοπή λογαριασμών Coinbase και η υπεξαίρεση κρυπτονομισμάτων.
Νέα εποχή για το ψηφιακό έγκλημα
Η Scattered Spider αποτελεί χαρακτηριστικό παράδειγμα της νέας εποχής του ψηφιακού εγκλήματος: νεαροί δράστες, αποκεντρωμένες δομές, καινοτόμες μέθοδοι, επαγγελματική προσέγγιση και άμεση οικονομική στόχευση. Οι εθνικές υπηρεσίες ασφαλείας και οι εταιρείες κυβερνοασφάλειας δεν έχουν πλέον να αντιμετωπίσουν έναν παραδοσιακό «εχθρό», αλλά ένα οικοσύστημα εγκληματιών που λειτουργούν με όρους αγοράς.
Η ανάγκη για επένδυση στην εκπαίδευση, στην ενίσχυση των συστημάτων ασφαλείας και στη διεθνή συνεργασία είναι πιο πιεστική από ποτέ. Όσο η Scattered Spider συνεχίζει να εξελίσσεται, ο κόσμος των επιχειρήσεων – από τα ράφια των σούπερ μάρκετ έως τις πίστες των αεροδρομίων – παραμένει εκτεθειμένος.