grænsen mellem nationalstater og cyberkriminalitet udviskes, det er dårlige nyheder for cisos banner

Grænsen mellem nationalstater og cyberkriminalitet udviskes: Det er dårlige nyheder for CISO'er

Alle føler sig mere bekymrede over geopolitiske risici i disse dage. Det skyldes i høj grad det kaos, der opsluger Washington, selvom globale spændinger har været under opbygning i nogen tid. Det seneste World Economic Forum (WEF) Rapport om global risikohævder for eksempel, at risikoen "mest sandsynligt vil udgøre en materiel krise på globalt plan i 2025" er en "statsbaseret væbnet konflikt." Det slutter sig til "cyberusikkerhed" og "misinformation og desinformation" på listen over top 10 største kortsigtede risici.

Cyber ​​vil være et nøgledomæne for den store magtrivalisering, der skal definere de kommende årtier. Alligevel er de tilknyttede risici for CISO'er og deres organisationer stadig sværere at definere. Det skyldes, at den engang klare afgrænsning mellem nationalstat og cyberkriminalitet begynder at udviskes. Sikkerhedsledere bliver nødt til at stole på industriens bedste praksis for at navigere sikkert i disse ukendte farvande.

Reglerne ændrer sig

Både Microsoft og Google Mandiant har for nylig dokumenteret den voksende krydsning mellem nationalstatskampagner og cyberkriminalitet. På mange måder er dette ikke et nyt fænomen. De seneste begivenheder forværrer imidlertid problemet. De Google-rapportnoter at "det øgede niveau af cyberaktivitet efter Ruslands krig i Ukraine har vist, at i tider med øget nød kan den latente talentpulje af cyberkriminelle betales eller tvinges til at støtte statens mål".

Der er flere aspekter af dette:

1. Nationalstater, der bruger cyberkriminalitetsværktøjer og -tjenester, der er standard

Dette har flere fordele for regeringerne. Det er billigere at bruge præbyggede cyberkriminalitetsværktøjer end at udvikle tilpassede alternativer internt. Det hjælper med at tilsløre den sande oprindelse eller hensigt med angreb. Og sådanne værktøjer "kan operationaliseres med kort varsel uden umiddelbare links til tidligere operationer", ifølge Google.

Statsstøttede grupper kan købe eller leje malware og udnyttelser, legitimationsoplysninger, botnet-infrastruktur, stjålne oplysninger, indledende adgang eller andre tilbud, der nemt kan findes i cyberkriminalitets undergrunden. For eksempel:

  • Microsoft hævdede i december 2024, at den russiske Turla-gruppe (Secret Blizzard) brugte Amadey bot-malware knyttet til cyberkriminalitet for at målrette mod ukrainske militære enheder
  • I maj 2024 identificerede Google en iransk gruppe, UNC5203, der brugte RADTHIEF-bagdøren i en operation rettet mod den israelske atomforskningsindustri.

Den kinesiske gruppe UNC2286 brugte STEAMTRAIN ransomware og en løsesumseddel forbundet med DarkSide-gruppen for at skjule, hvad der var en cyberspionagekampagne, siger Google

2. Ko-optering af cyberkriminalitetsgrupper

Nationalstater henvender sig også personligt til cyberkriminelle for at få deres hjælp. Endnu en gang kan dette reducere omkostningerne, frigøre internt personale til at arbejde på mere strategiske mål og øge plausibel benægtelse. Det kan vi se med:

  • Den russiske FSB-gruppe Aqua Blizzard som "afleveret" adgang til 34 kompromitterede ukrainske enheder til cyberkriminalitetsgruppen Storm-0593 til post-udnyttelsesarbejde, ifølge Microsoft
  • Cigar (RomCom) cyberkriminalitetsbanden, som har udført "spionageoperationer" mod den ukrainske regering siden 2022, siger Google
  • Det kinesiske private cybersikkerhedsfirma i-Soon, som USA for nylig sanktioneret, og drev tilsyneladende hacking-for-hire-operationer for Beijing mellem 2016-23, opkrævede $10,000-$75,000 pr. kompromitteret e-mail-indbakke, og tjente også penge til at træne statslige retshåndhævere.

3. Tilladelse af statshackere til måneskin

  • Der er et stigende antal eksempler på, at tilsyneladende statsstøttede grupper får lov til at tjene penge ved siden af. Ifølge Google "kan dette tillade en regering at kompensere for direkte omkostninger, der ville være nødvendige for at opretholde grupper med robuste kapaciteter". Eksempler omfatter:
  • Den produktive kinesiske trusselgruppe APT41, som har en "lang historie" med økonomisk motiveret aktivitet, ifølge Google. Dette inkluderer ransomware rettet mod videospilsektoren og endda tyveri af COVID-hjælpemidler.
  • Iran gruppe UNC757, som blev opdaget sidste år, der samarbejder med ransomware-tilknyttede selskaber fra NoEscape, RansomHouse og ALPHV.

4. Nationalstater opfører sig som cyberkriminalitetsgrupper

  • Denne refererer næsten udelukkende til Nordkorea, som retter sig mod finans- og kryptovirksomheder for at få midler til at støtte dets atom- og missilprogrammer. Senest:
  • Nordkoreanske statshackere blev skylden for det største cybertyveri nogensinde, da 1.5 milliarder dollars i krypto blev stjålet fra Bybit.
  • En stigende tendens til nordkoreanske it-arbejdere narre vestlige virksomheder til at ansætte dem er dukket op. Når de er på plads og arbejder på afstand, sender de deres løn tilbage til Pyongyang. Svindlerne kan også bruge privilegeret adgang til at stjæle følsomme oplysninger og/eller afpresse deres tidligere arbejdsgivere, når deres rolle er blevet afsluttet. Det er en trussel, der vil stige, efterhånden som AI gør det lettere at skabe overbevisende falske personas.

Hvad CISO'er kan gøre

Disse tendenser bringer CISO'er med flere udfordringer.

"Det gør det sværere at forudsige angriberens adfærd og øger risikoen for sideskade," advarer Bugcrowd-stifter Casey Ellis til ISMS.online. "For eksempel kan et ransomware-angreb oprindeligt virke økonomisk motiveret, men kan senere afsløre geopolitiske hensigter. CISO'er skal nu stå for en bredere række af modstandere, hver med forskellige niveauer af sofistikering, ressourcer og mål. Oven i dette har cyberkriminelle grupper og regeringsteams meget forskellige egenskaber i forhold til, hvad de vil eller overvinde."

Uden klar tilskrivning kan CISO'er også blive hæmmet i deres svar, tilføjer han,

"Stærk cybersikkerhedshygiejne - som aktividentifikation, sårbarhedsstyring og hændelsesresponsplanlægning - forbliver grundlæggende. Men at forstå, hvem der angriber dig, kan forbedre dit forsvar," argumenterer Ellis.

"For eksempel kan en statssponsoreret trussel være målrettet mod intellektuel ejendomsret, mens en cyberkriminel gruppe kan fokusere på økonomisk vinding. Tilskrivning informerer også samarbejdet med retshåndhævende myndigheder og efterretningstjenester, og hjælper med at løse systemiske problemer som sikre tilflugtssteder for angribere."

Hvis de kan forstå, hvem der angriber dem og hvorfor, kan CISO'er begynde at skabe et effektivt svar, fortæller Fenix24 CISO Heath Renfrow til ISMS.online.

"Hvis det er cyberkriminelle, bør fokus være på hurtig indeslutning, udryddelse og hærdning af forsvar for at forhindre gentagne angreb. Men i tilfælde af nationalstatsaktører kan reaktionsindsatsen kræve udvidet overvågning, kontraefterretningstaktikker og koordinering med statslige agenturer," forklarer han. "Hybride trusler kræver et forsvar i flere lag - der kombinerer Zero Trust, trusselsintelligens i realtid og modstandsdygtighed efter hændelse."

I mellemtiden vil AI og automatisering blive stadig vigtigere for CISO'er, efterhånden som trusler udvikler sig, hævder Deepwatch CISO, Chad Cragle.

"AI-drevet trusselsdetektion og automatiseret respons hjælper sikkerhedsteams med at skalere mod modstandere, der opererer med hastighed og volumen. I sidste ende skal sikkerhedsstrategier være trusselsagnostiske og tilpasningsdygtige," siger han til ISMS.online.

"I takt med at grænserne mellem cyberkriminalitet og nationalstatsaktivitet fortsætter med at udviskes, vil stive, fortyndede sikkerhedsprogrammer kæmpe for at følge med. Organisationer, der prioriterer modstandskraft, tilpasningsevne og efterretningsdrevet forsvar, vil være bedst positioneret til at mindske risikoen – uanset hvem der står bag angrebet."

Sikkerhedsledere, der følger standarder som ISO 27001, vil finde det lettere at omfavne disse bedste praksisser. Og det ville de have ret i at gøre. An tilsyneladende afspænding mellem USA og Rusland er usandsynligt at ændre det langsigtede trussellandskab. Planlæg nu bedre for en mere kompleks, uigennemsigtig og farlig fremtid.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!