Fra SolarWinds angrepet i 2020 til det foregripende forsvaret som blir forberedt for OL i Paris i 2024, fortsetter trusselen fra AI-drevet cyberspionasje å utvikle seg. Fremveksten av avanserte vedvarende trusler (APTs) demonstrerer hvordan statlige aktører enkelt kan infiltrere de sikreste nettverkene, og etterlate et spor av forstyrrelser i deres kjølvann.
Regjeringer våkner nå opp til trusselen om en digital kald krig der cyberspioner og cyberkrigføring skjer på digitale slagmarker. Men det er også frykt rundt de stadig mer sofistikerte og målrettede metodene som utfordrer nasjonal sikkerhet, strukturen i global handel, vår kritiske infrastruktur og personvern.
Denne guiden vil utforske de mest omfattende cyberspionasje-kampanjene de siste 12 månedene og hva du kan forvente i året som kommer.
Nøkkelpunkter
- Tilfeller av cyberspionasje har utviklet seg til å målrette seg mot kritisk infrastruktur og strategiske sektorer globalt.
- Statsstøttede aktører, inkludert de fra Kina, Russland, Iran og Nord-Korea, har vist sofistikerte evner til å infiltrere og forstyrre nettverk.
- De siste hendelsene avslører den økende utfordringen med å sikre skyinfrastruktur mot spionasje.
- Avanserte vedvarende trusler (APTs) bruker innovative taktikker som “MFA-bombing” og forfalskning av autentiseringstokener for å få uautorisert tilgang.
- Den strategiske målrettingen av sektorer som er skissert i nasjonale utviklingsplaner, som «Made in China 2025», viser de økonomiske motivasjonene bak cyberspionasje-kampanjer.
Topp 10 tilfeller av cyberspionasje fra 2023-2024
1. Sikring av OL i Paris 2024: Cyberspionasje utfordringen
I påvente av OL i Paris i 2024, står Frankrike overfor et eskalerende cybertrussel landskap, fremhevet av ANSSIs rapport om en markant økning i spionasje rettet mot strategiske sektorer, inkludert offentlige administrasjoner og forsvarsenheter.
Denne økningen i cyberspionasje og sofistikerte angrep på mobile enheter og nettverk på tvers av fastlands- og oversjøiske territorier understreker taktikk knyttet til statlige aktører som Russland og Kina.
Angripere kan utnytte store arrangementers utvidede digitale fotavtrykk og medias søkelys for å overvåke, drive med utpressing, skade vertslandets image eller forstyrre arrangementet.
Med OL i horisonten, skjerpes ANSSIs fokus på forhåndsposisjonering og destabilisering.
Den understreker nødvendigheten av avansert cybersikkerhets-forsvar mot dette bakteppet av økt digital krigføring og understreker det kritiske behovet for nasjonal og internasjonal årvåkenhet og beredskap.
2. Patchwork APTs spionasjeoperasjon: VajraSpy RAT infiltrerer Google Play
Den indiske APT-gruppen Patchwork har utnyttet Google Play for å spre cyberspionasje apper. De var rettet mot pakistanere med en ny fjerntilgangs-trojaner (RAT) kalt VajraSpy, skjult i tilsynelatende legitime meldings- og nyhetsapplikasjoner.
Etter sigende har cyberspionasje kampanjen resultert i tusenvis av nedlastinger av apper med malware som er i stand til å avskjære kommunikasjon, trekke ut meldinger fra plattformer som WhatsApp og Signal, ta opp telefonsamtaler og i det skjulte ta bilder gjennom kompromitterte enheters kameraer.
Til tross for at den er fjernet fra Google Play, er VajraSpy fortsatt en trussel mot tredjeparts app butikker, noe som ytterligere understreker den sofistikerte naturen til cybertrusler som dukker opp fra statsstøttede aktører.
3. Sky Kompromittert: Hvordan APT29 utnytter sårbarheter i Skyen
I en slående utvikling av taktikk for dataspionasje har den elite russiske trusselgruppen APT29, også kjent under navn som Cozy Bear, Midnight Blizzard og Nobelium, på en behendig måte skiftet hackingfokus mot sky sårbarheter, og fremhevet den økende utfordringen med å sikre skyinfrastruktur mot sofistikert motstandere.
Vestlig etterretning anerkjenner APT29 som en enhet for russisk utenriks etterretningstjeneste (SVR). APT29 har tilpasset metodene sine for å infiltrere myndigheters og selskapers skytjenester effektivt.
Med en beryktet merittliste som inkluderer 2016 Democratic National Committee hack og 2020 SolarWinds programvare forsyningskjede innbrudd. APT29s nylige aktiviteter inkluderer innbrudd i Microsofts ansattes e-postkontoer og uttrekk av sensitive data fra Hewlett Packard Enterprise.
Dette strategiske fokuset på tjenester og sovende kontoer, sammen med innovative taktikker som «MFA-bombing», understreker den vedvarende og tilpasningsdyktige fremgangsmåten til cybertrusler som møter skymiljøer.
Storbritannias nasjonale cybersikkerhetssenter (NCSC), i samarbeid med globale cybersikkerhetsbyråer, inkludert NSA og FBI, har utstedt en rådgivende advarsel om APT29s raffinerte teknikker.
Disse inkluderer brute forcing og passord spraying for å utnytte tjenestekontoer, ofte utilstrekkelig beskyttet av multifaktorautentisering på grunn av deres delte innhold i organisasjoner.
4. I-Soon-lekkasjen avslører Kinas cyberspionasje maskin
I-Soon-datalekkasjen avslørte nylig et omfattende øyeblikksbilde av Kinas cyberspionasje operasjoner. Den avslørte en ekspansiv kampanje som retter seg mot en rekke globale enheter, fra sosiale medieplattformer til offentlige myndigheter.
Denne lekkasjen, som sirkulerer på GitHub, avslører et bredt spekter av sofistikerte hacking verktøy og -funksjoner, for eksempel skadelig programvare som er god på å bryte seg inn på Android- og iOS-enheter, tilpassede trojanere for fjerntilgang (RAT) og nettverks innbrudds enheter.
Ytterligere analyse impliserer I-Soon, et cybersikkerhet firma, som opererer i regi av den kinesiske regjeringen. Det betjener spesielt byråer som departementet for offentlig sikkerhet, og understreker dermed at dette er statsstøttet cyber aktiviteter.
5. Irans dataspionasje retter seg mot Midtøstens luftfart og romfart
Sikkerhetsforskere ved Mandiant, en del av Google Clouds cybersikkerhet arm, avdekket en intrikat cyberspionasje kampanje knyttet til Iran, rettet mot Midtøstens luftfarts-, romfarts- og forsvarssektorer.
Mandiant forbinder kampanjen med den iranske gruppen UNC1549, som viser forbindelser til Tortoiseshell hacking-operasjonen.
Denne operasjonen er kjent for å være rettet mot israelsk skipsfart og amerikansk luftfarts- og forsvarsfirmaer og er knyttet til Irans islamske revolusjonsgarde (IRGC).
Denne grupperingen får spesiell betydning i pågående regionale spenninger og Irans støtte til Hamas.
Kampanjen inkluderte omfattende bruk av Microsoft Azure-skyinfrastruktur og sosial ingeniørkunst for å distribuere to nye bakdører, MINIBIKE og MINIBUS. Disse bakdørene muliggjør uthenting av filer, kommandoutførelse og sofistikerte rekognoseringsmuligheter.
En tilpasset programvare, kalt LIGHTRAIL, ble også identifisert, noe som ytterligere kamuflerte cyberspionasje under ufarlig internetttrafikk. Dette er det utviklende trussel landskapet og det kritiske behovet for økt årvåkenhet innen cybersikkerhet i forsvarsrelaterte sektorer.
6. Cyberspionasje over landegrensene: Nord-Koreas angrep på sør-koreanske halvledere
Nordkoreanske hackere infiltrerte sørkoreanske produsenter av halvlederutstyr, og tok kritiske produktdesign tegninger og anleggsfotografier, som avslørt av Sør-Koreas nasjonale etterretningstjeneste (NIS).
Denne cyberspionasjen understreker Pyongyangs intensjon om å utvikle halvledere for sine våpenprogrammer midt i internasjonale sanksjoner som kompliserer anskaffelsesarbeid.
Innbruddene, som skjedde i desember og februar, markerer et strategisk grep fra Nord-Korea for å styrke sine evner for satellitt- og missilteknologier.
Sør-Koreas spionbyrå påpeker hackernes «living off the land»-taktikk, som utnytter legitime verktøy innenfor servere for å unngå oppdagelse, noe som gjør disse cyberangrepene spesielt utfordrende å motarbeide.
Mens Nord-Koreas historie med cyberoperasjoner er godt dokumentert, spesielt når det gjelder tyveri av kryptovaluta for å finansiere sitt regime og våpenambisjoner, signaliserer disse siste hendelsene en sofistikert utvikling i Pyongyangs cyber krigføringsstrategier, rettet mot nøkkelteknologier og statshemmeligheter for å omgå internasjonale sanksjoner.
7. Kinesisk spionasje bryter nederlandsk forsvar
I en avslørt cyber sikkerhetshendelse ble det nederlandske forsvarsdepartementet offer for en kinesisk cyberspionasje aksjon i fjor. Den nederlandske militære etterretnings- og sikkerhetstjenesten (MIVD) avdekket distribusjon av skadelig programvare, inkludert en spesielt vedvarende belastning kjent som Coathanger.
Fjerntilgangstrojanen (RAT), rettet mot Fortigate nettverkssikkerhets apparater, demonstrerte alarmerende motstandskraft ved å overleve omstart av systemet og til og med fastvareoppdateringer, en funksjon som kompliserer tiltak for å redusere tiltak.
Heldigvis dempet nettverkets effektive segmentering virkningen av innbruddet. Dette sikkerhetstiltaket begrenset eksponeringen til et forsknings- og utviklingsnettverk med færre enn 50 brukere.
Til tross for den begrensede skaden, understreker denne hendelsen statssponsede cybertruslers sofistikerte og vedvarende effekt, spesielt fra kinesiske spioner mot globale mål.
8. Cyberspionasje aksjoner mot topp vestlige tjenestemenn avslørt
I desember 2023 anklaget Storbritannia og USA i fellesskap russiske sikkerhetstjenester for å gjennomføre en omfattende nettspionasje kampanje. Angrepet var rettet mot høyprofilerte personer, inkludert politikere, journalister og frivillige organisasjoner.
Denne anklagen stemmer overens med tidligere mistanker om russisk innblanding i viktige politiske hendelser, for eksempel Brexit-avstemningen i 2016.
Samtidig avduket USA anklager mot to russere knyttet til et bredt hacking initiativ rettet mot NATO-land og markerte dem med sanksjoner.
Storbritannias påstand understreket FSBs forsøk på å bryte det digitale forsvaret til britiske parlamentarikere på tvers av ulike partier, noe som førte til dokumentlekkasjer som strakte seg fra 2015 til 2023, inkludert sensitive handelsdokumenter mellom Storbritannia og USA før stortingsvalget i Storbritannia i 2019.
Denne samordnede utropet fra Storbritannia og USA understreket Russlands vedvarende og utviklende cybertrussel, og understreket behovet for årvåkenhet og robuste forsvarsmekanismer mot slike statsstøttede spionasje aktiviteter.
9. Made in China 2025: Cyberspionasje veien til økonomisk dominans
I et overbevisende vitnesbyrd for House Judiciary Subcommittee fremhevet Benjamin Jensen den gjennomgripende nettspionasje taktikken brukt av det kinesiske kommunistpartiet (KKP) for å undergrave den amerikanske økonomien. De var hovedsakelig rettet mot åndsverk innenfor teknologi-, energi- og luftfartssektorene.
Jensen påpekte at Kina har vært knyttet til mange cyberspionasje kampanjer, som langt overstiger de som tilskrives andre nasjoner som Russland.
Disse operasjonene, som er omhyggelig dokumentert i Dyadic Cyber Incident and Campaign Dataset, tar sikte på å stjele verdifull intellektuell eiendom og samsvarer tett med Kinas “Made in China 2025” strategiske plan.
10. Storm-0558 avdekket: Microsoft avslører store kinesiske cyberspionasjeoperasjoner
I fjor avduket Microsoft en sofistikert kinesisk cyberspionasje kampanje, identifisert som Storm-0558, som kompromitterte e-postkontoene til minst 25 organisasjoner, inkludert den amerikanske regjeringen.
Det startet etter en kundes varsling 16. juni, og Microsofts undersøkelse avslørte uautorisert tilgang helt tilbake til 15. mai, rettet mot enheter hovedsakelig i Vest-Europa med spionasje, datatyveri og innhenting av ID.
Angriperne fikk tilgang gjennom Outlook Web Access og Outlook.com ved å forfalske autentiseringstokener, utnytte et tokenvalideringsproblem for å etterligne Azure AD-brukere.
Microsoft motarbeidet trusselen raskt ved å blokkere de forfalskede tokenene, erstatte den kompromitterte nøkkelen og forbedre beskyttelsen for skytjenestene.
Hendelsen, som bekreftet av USAs utenriks- og handelsdepartement, understreker den stadige skjulte og sofistikerte kinesiske cyberspionasjen, ved å bruke avanserte proxy-nettverk for å unngå oppdagelse.
Store Cyberspionasje Grupper over hele verden
Gruppenavn | Opprinnelse/Troskap | Kjent for | Mål | Andre Navn |
CozyBear | Russisk(FSB Støttet) | SolarWinds, DNC Hack | Myndigheter og departmenter i USA, UK, EU, Sør-Korea, Uzbekistan | APT29, YTTRIUM, The Dukes, Office Monkeys |
Gorgon Group | Pakistansk | MasterMana Botnet hack, ID tyveri | USA, Tyskland, Sør-Korea, India, UAE og infrastruktur sektor | |
Deep Panda | Kinesisk | Anthem hack, OPM hack | USA-baserte organisasjoner i myndigheter, forsvar, finans, telekommunikasjon | KungFu Kittens, Shell Crew, WebMasters |
Bouning Golf | Ukjent(Midt-Østen) | GolfSpy malware infeksjon | Midt-Østen militær-data, Tyrkisk, Kurdisk, ISIS supportere i forskjellige land | |
CopyKittens | Iransk | Operation Wilted Tulip, angrep på Tysklands Riksdag | Tyskland, Israel, Saudi Arabia, Tyrkia, USA, Jordan, FN ansatte | |
Apt33 | Iransk (Statstøttet) | Angrep på luftfart og energisektorer | USA, Sør-Korea, Saudi Arabia. Organisasjoner innen luftfart og petrokjemisk produksjon | HOLMIUM, Elfin |
Charming Kitten | Iransk | Phishing attacks, credential theft | Tenketanker, politiske forskningssentre, journalister og miljøaktivister. | APT35, Phosphorus, Newscaster, Ajax |
Magic Hound | Iransk | Spear phishing, malware distribusjon | Regjerings-, teknologi- og energisektorer i Saudi-Arabia og USA | Rocket Kitten, Cobalt Gypsy |
Muddy Water | Iransk | Spear phishing, Android malware | Midtøsten, Asia, Europa, USA, offentlige sektorer, telekommunikasjon | |
Windshift | Ukjent | Angrep på OSX brukere | Spesifikke personer i regjeringen og kritisk infrastruktur over hele Gulf Cooperation Council-regionen | Bahamut |
De viktigste punktene
De nylige cyberspionasjesakene, fra SolarWinds-bruddet til infiltrasjonen av Google Play av VajraSpy RAT, understreker den strategiske intensjonen til statlige aktører om å undergrave økonomiske, politiske og sikkerhetsinteresser gjennom det digitale domenet.
De sofistikerte aspektene til disse kampanjene, som utnytter alt fra skysårbarheter til avansert skadelig programvare, fremhever nødvendigheten av robust nettsikkerhet forsvar. Ettersom cyberspionasje blir en stadig mer integrert del av globale strategier, er forståelsen av disse hendelsene avgjørende for å utvikle effektive mottiltak og ivareta tradisjonelle grenser og de digitale grenser.
Edward Snowden og Julian Assanges avsløringer kaster også lys over det komplekse omfanget av digitalt personvern og offentlig åpenhet, og avslører hvordan USA og Storbritannia ikke er uskyldige i cyberspionasje.
Deres avsløringer om CIA avslørte enestående overvåkings- og påtalemyndighet taktikker mot WikiLeaks og lignende aktivistgrupper, og utfordret forestillinger om frihet og personvern.
Ofte stilte spørsmål om cyberspionasje
Hva er et eksempel på et større cyberspionasje tilfelle?
Er cyberspionasje en krigshandling?
Er cyberspionasje ulovlig?
Hva er de fem typene spionasje?
Referanser
- Cert.ssi.gouv (Cert.ssi.gouv)
- Google Play Used to Spread ‘Patchwork’ APT’s Espionage Apps (Darkreading)
- Russian cyberespionage group APT29 targeting cloud vulnerabilities (Scmagazine)
- Inline XBRL Viewer (Sec)
- UK and allies expose evolving tactics of Russian cyber actors (Ncsc.gov)
- The I-Soon data leak unveils China’s cyber espionage tactics, techniques, procedures, and capabilities. (Thecyberwire)
- When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors (Mandiant)
- North Korea hacked South Korea chip equipment makers, Seoul says (Bbc.co)
- North Korea: Missile programme funded through stolen crypto, UN report says (Bbc)
- North Korea hackers stole $400m of cryptocurrency in 2021, report says (Bbc)
- Chinese hackers infect Dutch military network with malware (Bleepingcomputer)
- TLP:CLEAR MIVD AIVD Advisory Coathanger (Ncsc)
- UK, US accuse Russia of cyber-espionage campaign against top politicians (France24)
- How the Chinese Communist Party Uses Cyber Espionage to Undermine the American Economy (Csis)
- What is Made in China 2025 and Why Has it Made the World So Nervous? (China-briefing)
- Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email (Msrc.microsoft)
- Chinese hackers breached State, Commerce Depts, Microsoft and US say (Reuters)
- Snowden Documents Reveal Covert Surveillance and Pressure Tactics Aimed at WikiLeaks and Its Supporters (Theintercept)
- Kidnapping, assassination and a London shoot-out: Inside the CIA’s secret war plans against WikiLeaks (News.yahoo)