Fra SolarWinds angrepet i 2020 til det foregripende forsvaret som blir forberedt for OL i Paris i 2024, fortsetter trusselen fra AI-drevet cyberspionasje ? utvikle seg. Fremveksten av avanserte vedvarende trusler (APTs) demonstrerer hvordan statlige akt?rer enkelt kan infiltrere de sikreste nettverkene, og etterlate et spor av forstyrrelser i deres kj?lvann.
Regjeringer v?kner n? opp til trusselen om en digital kald krig der cyberspioner og cyberkrigf?ring skjer p? digitale slagmarker. Men det er ogs? frykt rundt de stadig mer sofistikerte og m?lrettede metodene som utfordrer nasjonal sikkerhet, strukturen i global handel, v?r kritiske infrastruktur og personvern.
Denne guiden vil utforske de mest omfattende cyberspionasje-kampanjene de siste 12 m?nedene og hva du kan forvente i ?ret som kommer.
N?kkelpunkter
- Tilfeller av cyberspionasje har utviklet seg til ? m?lrette seg mot kritisk infrastruktur og strategiske sektorer globalt.
- Statsst?ttede akt?rer, inkludert de fra Kina, Russland, Iran og Nord-Korea, har vist sofistikerte evner til ? infiltrere og forstyrre nettverk.
- De siste hendelsene avsl?rer den ?kende utfordringen med ? sikre skyinfrastruktur mot spionasje.
- Avanserte vedvarende trusler (APTs) bruker innovative taktikker som “MFA-bombing” og forfalskning av autentiseringstokener for ? f? uautorisert tilgang.
- Den strategiske m?lrettingen av sektorer som er skissert i nasjonale utviklingsplaner, som ?Made in China 2025?, viser de ?konomiske motivasjonene bak cyberspionasje-kampanjer.
Topp 10 tilfeller av cyberspionasje fra 2023-2024
1. Sikring av OL i Paris 2024: Cyberspionasje utfordringen
I p?vente av OL i Paris i 2024, st?r Frankrike overfor et eskalerende cybertrussel landskap, fremhevet av ANSSIs rapport om en markant ?kning i spionasje rettet mot strategiske sektorer, inkludert offentlige administrasjoner og forsvarsenheter.
Denne ?kningen i cyberspionasje og sofistikerte angrep p? mobile enheter og nettverk p? tvers av fastlands- og oversj?iske territorier understreker taktikk knyttet til statlige akt?rer som Russland og Kina.
Angripere kan utnytte store arrangementers utvidede digitale fotavtrykk og medias s?kelys for ? overv?ke, drive med utpressing, skade vertslandets image eller forstyrre arrangementet.
Med OL i horisonten, skjerpes ANSSIs fokus p? forh?ndsposisjonering og destabilisering.
Den understreker n?dvendigheten av avansert cybersikkerhets-forsvar mot dette bakteppet av ?kt digital krigf?ring og understreker det kritiske behovet for nasjonal og internasjonal ?rv?kenhet og beredskap.
2. Patchwork APTs spionasjeoperasjon: VajraSpy RAT infiltrerer Google Play
Den indiske APT-gruppen Patchwork har utnyttet Google Play for ? spre cyberspionasje apper. De var rettet mot pakistanere med en ny fjerntilgangs-trojaner (RAT) kalt VajraSpy, skjult i tilsynelatende legitime meldings- og nyhetsapplikasjoner.
Etter sigende har cyberspionasje kampanjen resultert i tusenvis av nedlastinger av apper med malware som er i stand til ? avskj?re kommunikasjon, trekke ut meldinger fra plattformer som WhatsApp og Signal, ta opp telefonsamtaler og i det skjulte ta bilder gjennom kompromitterte enheters kameraer.
Til tross for at den er fjernet fra Google Play, er VajraSpy fortsatt en trussel mot tredjeparts app butikker, noe som ytterligere understreker den sofistikerte naturen til cybertrusler som dukker opp fra statsst?ttede akt?rer.
3. Sky Kompromittert: Hvordan APT29 utnytter s?rbarheter i Skyen
I en sl?ende utvikling av taktikk for dataspionasje har den elite russiske trusselgruppen APT29, ogs? kjent under navn som Cozy Bear, Midnight Blizzard og Nobelium, p? en behendig m?te skiftet hackingfokus mot sky s?rbarheter, og fremhevet den ?kende utfordringen med ? sikre skyinfrastruktur mot sofistikert motstandere.
Vestlig etterretning anerkjenner APT29 som en enhet for russisk utenriks etterretningstjeneste (SVR). APT29 har tilpasset metodene sine for ? infiltrere myndigheters og selskapers skytjenester effektivt.
Med en beryktet merittliste som inkluderer 2016 Democratic National Committee hack og 2020 SolarWinds programvare forsyningskjede innbrudd. APT29s nylige aktiviteter inkluderer innbrudd i Microsofts ansattes e-postkontoer og uttrekk av sensitive data fra Hewlett Packard Enterprise.
Dette strategiske fokuset p? tjenester og sovende kontoer, sammen med innovative taktikker som ?MFA-bombing?, understreker den vedvarende og tilpasningsdyktige fremgangsm?ten til cybertrusler som m?ter skymilj?er.
Storbritannias nasjonale cybersikkerhetssenter (NCSC), i samarbeid med globale cybersikkerhetsbyr?er, inkludert NSA og FBI, har utstedt en r?dgivende advarsel om APT29s raffinerte teknikker.
Disse inkluderer brute forcing og passord spraying for ? utnytte tjenestekontoer, ofte utilstrekkelig beskyttet av multifaktorautentisering p? grunn av deres delte innhold i organisasjoner.
4. I-Soon-lekkasjen avsl?rer Kinas cyberspionasje maskin
I-Soon-datalekkasjen avsl?rte nylig et omfattende ?yeblikksbilde av Kinas cyberspionasje operasjoner. Den avsl?rte en ekspansiv kampanje som retter seg mot en rekke globale enheter, fra sosiale medieplattformer til offentlige myndigheter.
Denne lekkasjen, som sirkulerer p? GitHub, avsl?rer et bredt spekter av sofistikerte hacking verkt?y og -funksjoner, for eksempel skadelig programvare som er god p? ? bryte seg inn p? Android- og iOS-enheter, tilpassede trojanere for fjerntilgang (RAT) og nettverks innbrudds enheter.
Ytterligere analyse impliserer I-Soon, et cybersikkerhet firma, som opererer i regi av den kinesiske regjeringen. Det betjener spesielt byr?er som departementet for offentlig sikkerhet, og understreker dermed at dette er statsst?ttet cyber aktiviteter.
5. Irans dataspionasje retter seg mot Midt?stens luftfart og romfart
Sikkerhetsforskere ved Mandiant, en del av Google Clouds cybersikkerhet arm, avdekket en intrikat cyberspionasje kampanje knyttet til Iran, rettet mot Midt?stens luftfarts-, romfarts- og forsvarssektorer.
Mandiant forbinder kampanjen med den iranske gruppen UNC1549, som viser forbindelser til Tortoiseshell hacking-operasjonen.
Denne operasjonen er kjent for ? v?re rettet mot israelsk skipsfart og amerikansk luftfarts- og forsvarsfirmaer og er knyttet til Irans islamske revolusjonsgarde (IRGC).
Denne grupperingen f?r spesiell betydning i p?g?ende regionale spenninger og Irans st?tte til Hamas.
Kampanjen inkluderte omfattende bruk av Microsoft Azure-skyinfrastruktur og sosial ingeni?rkunst for ? distribuere to nye bakd?rer, MINIBIKE og MINIBUS. Disse bakd?rene muliggj?r uthenting av filer, kommandoutf?relse og sofistikerte rekognoseringsmuligheter.
En tilpasset programvare, kalt LIGHTRAIL, ble ogs? identifisert, noe som ytterligere kamuflerte cyberspionasje under ufarlig internetttrafikk. Dette er det utviklende trussel landskapet og det kritiske behovet for ?kt ?rv?kenhet innen cybersikkerhet i forsvarsrelaterte sektorer.
6. Cyberspionasje over landegrensene: Nord-Koreas angrep p? s?r-koreanske halvledere
Nordkoreanske hackere infiltrerte s?rkoreanske produsenter av halvlederutstyr, og tok kritiske produktdesign tegninger og anleggsfotografier, som avsl?rt av S?r-Koreas nasjonale etterretningstjeneste (NIS).
Denne cyberspionasjen understreker Pyongyangs intensjon om ? utvikle halvledere for sine v?penprogrammer midt i internasjonale sanksjoner som kompliserer anskaffelsesarbeid.
Innbruddene, som skjedde i desember og februar, markerer et strategisk grep fra Nord-Korea for ? styrke sine evner for satellitt- og missilteknologier.
S?r-Koreas spionbyr? p?peker hackernes ?living off the land?-taktikk, som utnytter legitime verkt?y innenfor servere for ? unng? oppdagelse, noe som gj?r disse cyberangrepene spesielt utfordrende ? motarbeide.
Mens Nord-Koreas historie med cyberoperasjoner er godt dokumentert, spesielt n?r det gjelder tyveri av kryptovaluta for ? finansiere sitt regime og v?penambisjoner, signaliserer disse siste hendelsene en sofistikert utvikling i Pyongyangs cyber krigf?ringsstrategier, rettet mot n?kkelteknologier og statshemmeligheter for ? omg? internasjonale sanksjoner.
7. Kinesisk spionasje bryter nederlandsk forsvar
I en avsl?rt cyber sikkerhetshendelse ble det nederlandske forsvarsdepartementet offer for en kinesisk cyberspionasje aksjon i fjor. Den nederlandske milit?re etterretnings- og sikkerhetstjenesten (MIVD) avdekket distribusjon av skadelig programvare, inkludert en spesielt vedvarende belastning kjent som Coathanger.
Fjerntilgangstrojanen (RAT), rettet mot Fortigate nettverkssikkerhets apparater, demonstrerte alarmerende motstandskraft ved ? overleve omstart av systemet og til og med fastvareoppdateringer, en funksjon som kompliserer tiltak for ? redusere tiltak.
Heldigvis dempet nettverkets effektive segmentering virkningen av innbruddet. Dette sikkerhetstiltaket begrenset eksponeringen til et forsknings- og utviklingsnettverk med f?rre enn 50 brukere.
Til tross for den begrensede skaden, understreker denne hendelsen statssponsede cybertruslers sofistikerte og vedvarende effekt, spesielt fra kinesiske spioner mot globale m?l.
8. Cyberspionasje aksjoner mot topp vestlige tjenestemenn avsl?rt
I desember 2023 anklaget Storbritannia og USA i fellesskap russiske sikkerhetstjenester for ? gjennomf?re en omfattende nettspionasje kampanje. Angrepet var rettet mot h?yprofilerte personer, inkludert politikere, journalister og frivillige organisasjoner.
Denne anklagen stemmer overens med tidligere mistanker om russisk innblanding i viktige politiske hendelser, for eksempel Brexit-avstemningen i 2016.
Samtidig avduket USA anklager mot to russere knyttet til et bredt hacking initiativ rettet mot NATO-land og markerte dem med sanksjoner.
Storbritannias p?stand understreket FSBs fors?k p? ? bryte det digitale forsvaret til britiske parlamentarikere p? tvers av ulike partier, noe som f?rte til dokumentlekkasjer som strakte seg fra 2015 til 2023, inkludert sensitive handelsdokumenter mellom Storbritannia og USA f?r stortingsvalget i Storbritannia i 2019.
Denne samordnede utropet fra Storbritannia og USA understreket Russlands vedvarende og utviklende cybertrussel, og understreket behovet for ?rv?kenhet og robuste forsvarsmekanismer mot slike statsst?ttede spionasje aktiviteter.
9. Made in China 2025: Cyberspionasje veien til ?konomisk dominans
I et overbevisende vitnesbyrd for House Judiciary Subcommittee fremhevet Benjamin Jensen den gjennomgripende nettspionasje taktikken brukt av det kinesiske kommunistpartiet (KKP) for ? undergrave den amerikanske ?konomien. De var hovedsakelig rettet mot ?ndsverk innenfor teknologi-, energi- og luftfartssektorene.
Jensen p?pekte at Kina har v?rt knyttet til mange cyberspionasje kampanjer, som langt overstiger de som tilskrives andre nasjoner som Russland.
Disse operasjonene, som er omhyggelig dokumentert i Dyadic Cyber Incident and Campaign Dataset, tar sikte p? ? stjele verdifull intellektuell eiendom og samsvarer tett med Kinas “Made in China 2025” strategiske plan.
10. Storm-0558 avdekket: Microsoft avsl?rer store kinesiske cyberspionasjeoperasjoner
I fjor avduket Microsoft en sofistikert kinesisk cyberspionasje kampanje, identifisert som Storm-0558, som kompromitterte e-postkontoene til minst 25 organisasjoner, inkludert den amerikanske regjeringen.
Det startet etter en kundes varsling 16. juni, og Microsofts unders?kelse avsl?rte uautorisert tilgang helt tilbake til 15. mai, rettet mot enheter hovedsakelig i Vest-Europa med spionasje, datatyveri og innhenting av ID.
Angriperne fikk tilgang gjennom Outlook Web Access og Outlook.com ved ? forfalske autentiseringstokener, utnytte et tokenvalideringsproblem for ? etterligne Azure AD-brukere.
Microsoft motarbeidet trusselen raskt ved ? blokkere de forfalskede tokenene, erstatte den kompromitterte n?kkelen og forbedre beskyttelsen for skytjenestene.
Hendelsen, som bekreftet av USAs utenriks- og handelsdepartement, understreker den stadige skjulte og sofistikerte kinesiske cyberspionasjen, ved ? bruke avanserte proxy-nettverk for ? unng? oppdagelse.
Store Cyberspionasje Grupper over hele verden
Gruppenavn | Opprinnelse/Troskap | Kjent for | M?l | Andre Navn |
CozyBear | Russisk(FSB St?ttet) | SolarWinds, DNC Hack | Myndigheter og departmenter i USA, UK, EU, S?r-Korea, Uzbekistan | APT29, YTTRIUM, The Dukes, Office Monkeys |
Gorgon Group | Pakistansk | MasterMana Botnet hack, ID tyveri | USA, Tyskland, S?r-Korea, India, UAE og infrastruktur sektor | |
Deep Panda | Kinesisk | Anthem hack, OPM hack | USA-baserte organisasjoner i myndigheter, forsvar, finans, telekommunikasjon | KungFu Kittens, Shell Crew, WebMasters |
Bouning Golf | Ukjent(Midt-?sten) | GolfSpy malware infeksjon | Midt-?sten milit?r-data, Tyrkisk, Kurdisk, ISIS supportere i forskjellige land | |
CopyKittens? | Iransk | Operation Wilted Tulip, angrep p? Tysklands? Riksdag | Tyskland, Israel, Saudi Arabia, Tyrkia, USA, Jordan, FN ansatte | |
Apt33 | Iransk (Statst?ttet) | Angrep p? luftfart og energisektorer | USA, S?r-Korea, Saudi Arabia. Organisasjoner innen luftfart og petrokjemisk produksjon | HOLMIUM, Elfin |
Charming Kitten | Iransk | Phishing attacks, credential theft | Tenketanker, politiske forskningssentre, journalister og milj?aktivister. | APT35, Phosphorus, Newscaster, Ajax |
Magic Hound | Iransk | Spear phishing, malware distribusjon | Regjerings-, teknologi- og energisektorer i Saudi-Arabia og USA | Rocket Kitten, Cobalt Gypsy |
Muddy Water? | Iransk | Spear phishing, Android malware | Midt?sten, Asia, Europa, USA, offentlige sektorer, telekommunikasjon | |
Windshift | Ukjent | Angrep p? OSX brukere | Spesifikke personer i regjeringen og kritisk infrastruktur over hele Gulf Cooperation Council-regionen | Bahamut |
De viktigste punktene
De nylige cyberspionasjesakene, fra SolarWinds-bruddet til infiltrasjonen av Google Play av VajraSpy RAT, understreker den strategiske intensjonen til statlige akt?rer om ? undergrave ?konomiske, politiske og sikkerhetsinteresser gjennom det digitale domenet.
De sofistikerte aspektene til disse kampanjene, som utnytter alt fra skys?rbarheter til avansert skadelig programvare, fremhever n?dvendigheten av robust nettsikkerhet forsvar. Ettersom cyberspionasje blir en stadig mer integrert del av globale strategier, er forst?elsen av disse hendelsene avgj?rende for ? utvikle effektive mottiltak og ivareta tradisjonelle grenser og de digitale grenser.
Edward Snowden og Julian Assanges avsl?ringer kaster ogs? lys over det komplekse omfanget av digitalt personvern og offentlig ?penhet, og avsl?rer hvordan USA og Storbritannia ikke er uskyldige i cyberspionasje.
Deres avsl?ringer om CIA avsl?rte enest?ende overv?kings- og p?talemyndighet taktikker mot WikiLeaks og lignende aktivistgrupper, og utfordret forestillinger om frihet og personvern.
Ofte stilte sp?rsm?l om cyberspionasje
Hva er et eksempel p? et st?rre cyberspionasje tilfelle?
Er cyberspionasje en krigshandling?
Er cyberspionasje ulovlig?
Hva er de fem typene spionasje?
Referanser
- Cert.ssi.gouv?(Cert.ssi.gouv)
- Google Play Used to Spread ‘Patchwork’ APT’s Espionage Apps?(Darkreading)
- Russian cyberespionage group APT29 targeting cloud vulnerabilities?(Scmagazine)
- Inline XBRL Viewer?(Sec)
- UK and allies expose evolving tactics of Russian cyber actors?(Ncsc.gov)
- The I-Soon data leak unveils China’s cyber espionage tactics, techniques, procedures, and capabilities.?(Thecyberwire)
- When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors?(Mandiant)
- North Korea hacked South Korea chip equipment makers, Seoul says?(Bbc.co)
- North Korea: Missile programme funded through stolen crypto, UN report says?(Bbc)
- North Korea hackers stole $400m of cryptocurrency in 2021, report says?(Bbc)
- Chinese hackers infect Dutch military network with malware?(Bleepingcomputer)
- TLP:CLEAR MIVD AIVD Advisory Coathanger?(Ncsc)
- UK, US accuse Russia of cyber-espionage campaign against top politicians?(France24)
- How the Chinese Communist Party Uses Cyber Espionage to Undermine the American Economy?(Csis)
- What is Made in China 2025 and Why Has it Made the World So Nervous??(China-briefing)
- Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email?(Msrc.microsoft)
- Chinese hackers breached State, Commerce Depts, Microsoft and US say?(Reuters)
- Snowden Documents Reveal Covert Surveillance and Pressure Tactics Aimed at WikiLeaks and Its Supporters?(Theintercept)
- Kidnapping, assassination and a London shoot-out: Inside the CIA’s secret war plans against WikiLeaks (News.yahoo)
Neil C. Hughes
TeknologiskribentNeil er frilansjournalist med over to ti?r med erfaring innen IT. Neil er en av LinkedIns Top Voices in technology og anerkjent av CIO Magazine og ZDNet for sin innflytelsesrike innsikt, og han har bidratt til publikasjoner som INC, TNW, TechHQ og Cybernews, samtidig som han er vert for den popul?re podcasten Tech Talks Daily Podcast.