De 10 största fallen av cyberspionage: Hemliga kampanjer

Varför oss?

Hotet från AI-drivet cyberspionage fortsätter att utvecklas, från SolarWinds-intrånget 2020 till det förebyggande försvaret inför de olympiska spelen i Paris 2024. Framväxten av avancerade ihållande hot (APT) visar hur statliga aktörer enkelt kan infiltrera de säkraste nätverken och lämna ett spår av störningar i sitt kölvatten.

Regeringar börjar nu vakna upp inför hotet om ett digitalt kallt krig där cyberspioner och cyberkrigföring sker på digitala slagfält. Men det finns också farhågor kring de alltmer sofistikerade och riktade metoder som utmanar den nationella säkerheten, den globala handeln, vår kritiska infrastruktur och den personliga integriteten.

Den här guiden tar upp de mest omfattande cyberspionagekampanjerna under de senaste 12 månaderna och vad vi kan förvänta oss under det kommande året.

Viktiga slutsatser om de största fallen av cyberspionage

  • Cyberspionage har utvecklats till att rikta sig mot kritisk infrastruktur och strategiska sektorer globalt.
  • Statligt stödda aktörer, bland annat från Kina, Ryssland, Iran och Nordkorea, har visat prov på sofistikerad förmåga att infiltrera och störa nätverk.
  • De senaste incidenterna visar att det blir allt svårare att skydda molninfrastrukturen mot spionage.
  • Avancerade ihållande hot (APT) använder innovativa taktiker som “MFA-bombning” och förfalskning av autentiseringstoken för att få obehörig åtkomst.
  • Den strategiska inriktningen på sektorer som beskrivs i nationella utvecklingsplaner, som “Made in China 2025”, visar på de ekonomiska motiven bakom cyberspionagekampanjer.

De 10 största fallen av cyberspionage 2023-2024

1. Att säkra de olympiska spelen i Paris 2024: Utmaningen med cyberspionage

Inför OS i Paris 2024 står Frankrike inför en eskalerande cyberhotbild, vilket understryks av ANSSI:s rapport om en markant ökning av spionage riktat mot strategiska sektorer, inklusive offentliga förvaltningar och försvarsenheter.

Denna ökning av cyberspionage och sofistikerade attacker mot mobila enheter och nätverk på fastlandet och i utomeuropeiska territorier understryker taktiker kopplade till statliga aktörer som Ryssland och Kina.

Angripare kan utnyttja stora evenemangs omfattande digitala fotavtryck och mediernas strålkastarljus för att övervaka, utpressa och smutskasta värdlandets image eller störa evenemanget.

Med de olympiska spelen i horisonten fokuserar ANSSI på förpositionering och destabiliseringsinsatser.

Man betonar att det är absolut nödvändigt med avancerade cybersäkerhetsförsvar mot bakgrund av den ökade digitala krigföringen och understryker det kritiska behovet av nationell och internationell vaksamhet och beredskap.

2. Patchwork APT:s spionageverksamhet: VajraSpy RAT infiltrerar Google Play

Den indiska APT-gruppen Patchwork har utnyttjat Google Play för att sprida cyberspionageappar. Gruppen riktade in sig på pakistanier med en ny trojan för fjärråtkomst (RAT) med namnet VajraSpy, som doldes i till synes legitima meddelande- och nyhetsapplikationer.

Enligt uppgift har cyberspionagekampanjen resulterat i tusentals nedladdningar av appar med skadlig kod som kan avlyssna kommunikation, extrahera meddelanden från plattformar som WhatsApp och Signal, spela in telefonsamtal och i hemlighet ta bilder via komprometterade enheters kameror.

Trots att VajraSpy har tagits bort från Google Play utgör den fortfarande ett hot mot tredjepartsappbutiker, vilket ytterligare understryker hur sofistikerade cyberhot som kommer från statssponsrade aktörer är.

3. Molnet komprometteras: Hur APT29 utnyttjar sårbarheter i molnet

Den ryska elithotgruppen APT29, även känd under namn som Cozy Bear, Midnight Blizzard och Nobelium, har skickligt flyttat fokus för sina hackningar mot sårbarheter i molnet, vilket visar på den växande utmaningen att säkra molninfrastruktur mot sofistikerade motståndare.

Västerländsk underrättelsetjänst identifierar APT29 som en enhet inom den ryska underrättelsetjänsten SVR (Foreign Intelligence Service). APT29 har anpassat sina metoder för att effektivt kunna infiltrera myndigheters och företags molntjänster.

Med en ökänd meritlista som inkluderar hackningen av Democratic National Committee 2016 och komprometteringen av SolarWinds leveranskedja för programvara 2020, har APT29:s senaste aktiviteter involverat intrång i Microsoft-personalens e-postkonton och utvinning av känsliga uppgifter från Hewlett Packard Enterprise.

Detta strategiska fokus på service och vilande konton, tillsammans med innovativa taktiker som “MFA-bombning”, understryker att cyberhoten mot molnmiljöer är ihållande och anpassningsbara.

Storbritanniens National Cyber Security Centre (NCSC) har i samarbete med globala cybersäkerhetsmyndigheter, inklusive NSA och FBI, utfärdat en varning om APT29:s förfinade tekniker.

Dessa inkluderar “brute forcing” och “password spraying” för att utnyttja servicekonton, som ofta är otillräckligt skyddade av multifaktorautentisering på grund av att de är delade inom organisationer.

4. I-Soon-läckan avslöjar Kinas maskin för cyberspionage

I-Soon-dataläckan avslöjade nyligen en omfattande ögonblicksbild av Kinas cyberspionageverksamhet. Den avslöjade en expansiv kampanj som riktar sig mot en rad globala enheter, från sociala medieplattformar till statliga organisationer.

Denna läcka, som cirkulerar på GitHub, avslöjar ett brett utbud av sofistikerade hackverktyg och funktioner, såsom skadlig kod som är skicklig på att bryta Android- och iOS-enheter, anpassade trojaner för fjärråtkomst (RATs) och nätverksgenomträngningsanordningar.

Ytterligare analys visar att I-Soon, ett cybersäkerhetsföretag, verkar under den kinesiska regeringens beskydd. Företaget utför bland annat tjänster åt myndigheter som ministeriet för allmän säkerhet, vilket understryker att dessa cyberaktiviteter har en statssponsrad dimension.

5. Irans cyberspionage riktas mot flyg- och rymdindustrin i Mellanöstern

Säkerhetsforskare vid Mandiant, en del av Google Clouds cybersäkerhetsavdelning, har avslöjat en invecklad cyberspionagekampanj kopplad till Iran, riktad mot Mellanösterns flyg-, rymd- och försvarssektorer.

Mandiant kopplar kampanjen till den iranska gruppen UNC1549, som har kopplingar till hackeroperationen Tortoiseshell.

Denna operation är känd för att rikta in sig på israelisk sjöfart och amerikanska flyg-, rymd- och försvarsföretag och är kopplad till Irans islamiska revolutionsgarde (IRGC).

Denna koppling får särskild betydelse med tanke på de pågående regionala spänningarna och Irans stöd till Hamas.

Kampanjen omfattade extensiv användning av Microsoft Azures molninfrastruktur och social ingenjörskonst för att distribuera två nya bakdörrar, MINIBIKE och MINIBUS. Dessa bakdörrar möjliggör exfiltrering av filer, exekvering av kommandon och sofistikerade spaningsfunktioner.

En anpassad tunneler, kallad LIGHTRAIL, identifierades också, vilket ytterligare kamouflerade cyberspionage under oskyldig internettrafik. Detta är den föränderliga hotbilden och det kritiska behovet av ökad vaksamhet när det gäller cybersäkerhet inom försvarsrelaterade sektorer.

6. Gränsöverskridande cyberspionage: Nordkoreas angrepp på sydkoreanska halvledare

Nordkoreanska hackare infiltrerade sydkoreanska tillverkare av halvledarutrustning och försvann med viktiga produktdesignritningar och anläggningsfotografier, enligt Sydkoreas nationella underrättelsetjänst (NIS).

Detta cyberspionage understryker Pyongyangs avsikt att utveckla halvledare för sina vapenprogram trots internationella sanktioner som försvårar upphandlingsarbetet.

Intrången, som inträffade i december och februari, belyser ett strategiskt drag av Nordkorea för att stärka sin kapacitet för satellit- och missilteknik.

Sydkoreas spionorgan pekar ut hackarnas taktik att “leva av landet”, vilket innebär att de utnyttjar legitima verktyg inom servrar för att undvika upptäckt. Detta gör dessa cyberattacker särskilt utmanande att motverka.

Nordkoreas historia av cyberoperationer är väldokumenterad, särskilt när det gäller stöld av kryptovalutor för att finansiera sin regim och vapenambitioner, men de senaste incidenterna signalerar en sofistikerad utveckling av Pyongyangs strategier för cyberkrigföring, med inriktning på nyckelteknik och statshemligheter för att kringgå internationella sanktioner.

7. Kinesiskt spionage bryter mot nederländskt försvar

I en avslöjad cybersäkerhetsincident föll det nederländska försvarsministeriet offer för en kinesisk cyberspionageoperation förra året. Nederländernas militära underrättelse- och säkerhetstjänst (MIVD) upptäckte spridning av skadlig kod, inklusive en särskilt ihållande variant som kallas Coathanger.

Trojanen för fjärråtkomst (RAT), som är avsedd för Fortigates nätverkssäkerhetsapparater, visade sig vara alarmerande motståndskraftig genom att överleva systemomstarter och till och med firmwareuppdateringar, en egenskap som försvårar arbetet med att begränsa effekterna.

Lyckligtvis kunde nätverkets effektiva segmentering mildra intrångets effekter. Denna säkerhetsåtgärd begränsade exponeringen till ett forsknings- och utvecklingsnätverk med färre än 50 användare.

Trots den begränsade skadan understryker denna incident att statssponsrade cyberhot är sofistikerade och ihållande, särskilt från kinesiska spioner mot globala mål.

8. Avslöjande av cyberspionageoperationer mot västliga topptjänstemän

I december 2023 anklagade Storbritannien och USA gemensamt den ryska säkerhetstjänsten för att ha genomfört en omfattande cyberspionagekampanj. Attacken riktades mot högprofilerade personer, däribland politiker, journalister och icke-statliga organisationer (NGO:er).

Denna anklagelse stämmer överens med tidigare misstankar om rysk inblandning i viktiga politiska händelser, såsom folkomröstningen om Brexit 2016.

Samtidigt presenterade USA anklagelser mot två ryssar kopplade till ett brett hackningsinitiativ riktat mot NATO-länder och markerade dem med sanktioner.

Storbritannien betonade FSB:s försök att bryta mot det digitala försvaret hos brittiska parlamentariker från olika partier, vilket ledde till dokumentläckor som sträckte sig från 2015 till 2023, inklusive känsliga handelsdokument mellan Storbritannien och USA före det brittiska parlamentsvalet 2019.

Denna samordnade uppmaning från Storbritannien och USA underströk Rysslands ihållande och föränderliga cyberhot och betonade behovet av vaksamhet och robusta försvarsmekanismer mot sådana statssponsrade spionageaktiviteter.

9. Made in China 2025: Cyberspionagets väg till ekonomisk dominans

I ett övertygande vittnesmål inför House Judiciary Subcommittee lyfte Benjamin Jensen fram det kinesiska kommunistpartiets (CCP) omfattande cyberspionage för att underminera den amerikanska ekonomin. De riktade främst in sig på immateriella rättigheter inom teknik-, energi- och luftfartssektorerna.

Jensen påpekade att Kina har kopplats till många cyberspionagekampanjer, som vida överstiger de som tillskrivs andra nationer som Ryssland.

Dessa operationer, som noggrant dokumenterats i Dyadic Cyber Incident and Campaign Dataset, syftar till att stjäla värdefull immateriell egendom och ligger helt i linje med Kinas strategiska plan “Made in China 2025“.

10. Storm-0558 avslöjad: Microsoft avslöjar stor kinesisk cyber-spionageoperation

Förra året avslöjade Microsoft en sofistikerad kinesisk cyberspionagekampanj, identifierad som Storm-0558, som komprometterade e-postkonton hos minst 25 organisationer, inklusive den amerikanska regeringen.

Microsofts utredning inleddes efter ett larm från en kund den 16 juni och visade att obehörig åtkomst förekommit sedan den 15 maj, främst i Västeuropa, med spionage, datastöld och inhämtning av referenser som mål.

Angriparna tog sig in via Outlook Web Access och Outlook.com genom att förfalska autentiseringstoken och utnyttja ett problem med tokenvalidering för att utge sig för att vara Azure AD-användare.

Microsoft motverkade snabbt hotet genom att blockera de förfalskade tokens, ersätta den komprometterade nyckeln och förbättra skyddet för sina molntjänster.

Incidenten, som bekräftats av USA:s utrikes- och handelsdepartement, understryker hur smygande och sofistikerade de kinesiska cyberspionageinsatserna blir, med hjälp av avancerade proxynätverk för att undgå upptäckt.

Större cyberspionagegrupper i hela världen

Gruppnamn Ursprung/tillhörighet Känd för Mål Andra namn
CozyBear
Ryska
(med stöd av FSB)
SolarWinds, DNC-hackning Myndigheter i USA, Storbritannien, EU, Sydkorea, Uzbekistan APT29, YTTRIUM, The Dukes, Office Monkeys
Gorgon Group Pakistanska MasterMana Botnet-hack, stöld av autentiseringsuppgifter USA, Tyskland, Sydkorea, Indien, Förenade Arabemiraten och försörjningssektorn
Deep Panda Kinesiska Anthem-hack, OPM-hack USA-baserade organisationer inom regering, försvar, finans och telekommunikation KungFu Kittens, Shell Crew, WebMasters
Bouning Golf Okänd

(Mellanöstern)

GolfSpy infektion med skadlig kod Militära uppgifter om Mellanöstern, turkiska, kurdiska, ISIS-anhängare i olika länder
CopyKittens  Iranska Operation Wilted Tulip, attentat mot den tyska förbundsdagen Tyskland, Israel, Saudiarabien, Turkiet, USA, Jordanien, FN-anställda
Apt33 Iranska (statsstödda) Attacker mot luftfarts- och energisektorerna USA, Sydkorea, Saudiarabien. Organisationer inom luftfart och petrokemisk produktion HOLMIUM, Elfin
Charming Kitten Iranska Phishingattacker, stöld av autentiseringsuppgifter Tankesmedjor, politiska forskningscentra, journalister och miljöaktivister. APT35, Phosphorus, Newscaster, Ajax
Magic Hound Iranska Spear phishing, distribution av skadlig kod Regerings-, teknik- och energisektorerna i Saudiarabien och USA Rocket Kitten, Cobalt Gypsy
Muddy Water  Iranska Spear phishing, skadlig kod för Android Mellanöstern, Asien, Europa, USA, statliga sektorer, telekommunikation
Windshift Okänd Inriktning på OSX-användare Särskilda personer inom myndigheter och kritisk infrastruktur i regionen kring Gulfstaternas samarbetsråd Bahamut

Slutsatsen om de senaste fallen av cyberspionage

De senaste fallen av cyberspionage, från SolarWinds-intrånget till VajraSpy RAT:s infiltration av Google Play, understryker de statliga aktörernas strategiska avsikt att underminera ekonomiska, politiska och säkerhetsmässiga intressen genom den digitala domänen.

De sofistikerade kampanjerna, som utnyttjar allt från sårbarheter i molnet till avancerad skadlig kod, understryker behovet av robusta cybersäkerhetsförsvar. Eftersom cyberspionage blir en alltmer integrerad del av globala strategier är det viktigt att förstå dessa incidenter för att kunna utveckla effektiva motåtgärder och skydda traditionella gränser och den digitala gränsen.

Edward Snowdens och Julian Assanges avslöjanden kastar också ljus över den komplexa bilden av digital integritet och myndigheters transparens, och visar att USA och Storbritannien inte är helt oskyldiga till cyberspionage.

Deras avslöjanden om CIA avslöjade en aldrig tidigare skådad övervakning och åklagartaktik mot WikiLeaks och liknande aktivistgrupper, vilket utmanar föreställningar om frihet och integritet.

Vanliga frågor om cyberspionage

Vad är ett exempel på en större incident som involverar cyberspionage?

Är cyberspionage en krigshandling?

Är cyberspionage olagligt?

Vilka är de fem typerna av spionage?

Referenser

  1. https://www.cert.ssi.gouv.fr/uploads/CERTFR-2024-CTI-001.pdf
  2. https://www.darkreading.com/endpoint-security/google-play-spread-patchwork-apt-espionage-apps
  3. https://www.scmagazine.com/news/russian-cyberespionage-group-apt29-targeting-cloud-vulnerabilities
  4. https://www.sec.gov/ixviewer/ix.html?doc=/Archives/edgar/data/789019/000119312524011295/d708866d8k.htm
  5. https://www.ncsc.gov.uk/news/uk-allies-expose-evolving-tactics-of-russian-cyber-actors
  6. https://thecyberwire.com/stories/05ba5c2ff18f4af5abc30ebe28c968bf/the-i-soon-data-leak-unveils-chinas-cyber-espionage-tactics-techniques-procedures-and-capabilities
  7. https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east
  8. https://www.bbc.co.uk/news/business-68476035
  9. https://www.bbc.com/news/world-asia-60281129
  10. https://www.bbc.com/news/business-59990477
  11. https://www.bleepingcomputer.com/news/security/chinese-hackers-infect-dutch-military-network-with-malware/
  12. https://www.ncsc.nl/documenten/publicaties/2024/februari/6/mivd-aivd-advisory-coathanger-tlp-clear
  13. https://www.france24.com/en/europe/20231207-uk-us-accuse-russia-of-cyber-campaign-against-top-politicians
  14. https://www.csis.org/analysis/how-chinese-communist-party-uses-cyber-espionage-undermine-american-economy
  15. https://www.china-briefing.com/news/made-in-china-2025-explained/
  16. https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/
  17. https://www.reuters.com/technology/chinese-hackers-accessed-government-emails-microsoft-says-2023-07-12/
  18. https://theintercept.com/2014/02/18/snowden-docs-reveal-covert-surveillance-and-pressure-tactics-aimed-at-wikileaks-and-its-supporters/
  19. https://news.yahoo.com/kidnapping-assassination-and-a-london-shoot-out-inside-the-ci-as-secret-war-plans-against-wiki-leaks-090057786.html
Neil C. Hughes
Senior Technology Writer
Neil C. Hughes
Teknikskribent

Neil är frilansande teknikjournalist med över två decenniers erfarenhet av IT. Neil har hyllats som en av LinkedIns Top Voices inom teknik och uppmärksammats av CIO Magazine och ZDNet för sina inflytelserika insikter, och har bidragit till publikationer som INC, TNW, TechHQ och Cybernews samtidigt som han är värd för den populära Tech Talks Daily Podcast.