cyber lejesoldaters blog

Cyber-lejesoldaterne kommer: Det er tid til at beskytte dine ledere mod nysgerrige øjne

Tilbage i midten af ​​september, den amerikanske regerings sikkerhedsagentur CISA bestilt alle føderale agenturer til at rette to nul-dages sårbarheder i OS, iPadOS og macOS-enheder. Disse var blot de seneste aldrig-før-opdagede softwarefejl, der blev udnyttet til at levere den berygtede Pegasus-spyware - hvis udvikler, NSO Group, er i centrum for adskillige retssager.

Det israelske firma er et af mange kommercielle spywarefirmaer, der af vestlige regeringer og teknologivirksomheder kaldes "cyberlejesoldater". De og en mere skyggefuld gruppe af hackere-til-udlejning repræsenterer en voksende trussel mod organisationer af alle størrelser og sektorer – hvilket letter industrispionage, regeringssnoping og andre uhyggelige aktiviteter.

Hvis selv Jeff Bezos' telefon kan blive hacket af disse grupper, er det tid til at tage truslen alvorligt.

Hvem er cyberlejesoldaterne?

Cyberlejesoldat er et begreb, der bruges på forskellige måder af forskellige parter. I store træk kan vi opdele det i to typer trusselsaktører:

Kommercielle spywareproducenter: Disse firmaer opererer i en juridisk gråzone og hævder at sælge spyware og udnyttelser til regeringer kun til lovlige retshåndhævelses- og efterretningsindsamlingsformål. I virkeligheden findes deres værktøjer ofte rettet mod journalister, dissidenter, rettighedsaktivister og andre modstandere af normalt autokratiske regimer. Citizen Lab opdagede de to nul-dage, der er citeret ovenfor, på telefonen af ​​en medarbejder i en Washington-baseret civilsamfundsorganisation.

Eksempler på disse firmaer omfatter NSO Group, Circles, Intellexa, Cytrox og BellTroX InfoTech Services.

Hackere til leje: Det er mere åbenlyst kriminelle grupper, som ikke har nogen foregiver at fungere som semi-legitime kommercielle organisationer. Men ligesom kommercielle spywareproducenter holdes deres arbejde med kunder strengt fortroligt. Selvom de også retter sig mod journalister, aktivister og andre højrisikopersoner, kan sådanne grupper også tilbyde deres tjenester til industriel spionage, hvilket gør det muligt for ellers velrenommerede organisationer at opretholde plausibel benægtelse.

Grupperne omfatter Deceptikons, Dark Basin og Void Balaur.

I begge tilfælde har grupper af cyberlejesoldater mistænkte forbindelser til forskellige efterretningstjenester. Tre tidligere amerikanske efterretningsofficerer blev afsløret i 2021 for at arbejde som hackere til leje for UAE-regeringen og efterfølgende sagsøgt sammen med den kommercielle spywareproducent DarkMatter. Intellexa siges at være drevet af en tidligere israelsk spion. Og en separat rapporten afsløret en "unik og kortvarig forbindelse" mellem angrebsinfrastrukturen brugt af Void Balaur og den russiske føderale beskyttelsestjeneste (FSO).

Hvordan virker angreb?

Hackere-til-udlejning har en bred vifte af teknikker, taktikker og procedurer (TTP'er) til deres rådighed. Men ligesom de fleste trusselsaktører, hvor de er i stand, vil de vælge den hurtigste og nemmeste måde at nå deres mål på. Det kan betyde phishing og informationsstjæling af malware og dets vigtigste værktøjer til at kompromittere sine ofre og bruge legitime værktøjer som PowerShell til post-indtrængen aktivitet. De kan målrette kommercielle e-mail-, sociale- og meddelelseskonti såvel som deres tilsvarende virksomheder og back-end-it-systemer.

"Den største trussel, som disse lejesoldater udgør, er, at de er ligeglade med målet. For den rigtige mængde penge vil lejesoldater per definition udføre en kontrakt på bekostning af enhver etik. Dette sætter kritisk infrastruktur, sundhedspleje og andre vitale sektorer i trådkorset for, hvem der nogensinde er villig til at betale,” siger SentinelOne-chefsikkerhedsrådgiver Morgan Wright til ISMS.online.

 "De mennesker og organisationer, der er mest udsatte, er dem, der gør mindst for at beskytte sig selv. Medarbejdere udsætter sig selv for risiko, når de overdeler oplysninger om sig selv på websteder som LinkedIn eller forskellige sociale medieplatforme."

Afsløring af spyware-truslen

Men i tilfælde af kommercielle enheder kan TTPS være betydeligt mere sofistikeret. Zero-day sårbarheder er møjsommeligt undersøgt, og er ofte rettet mod Apple-enheder med nul-klik indtrængen, som brugeren ikke engang behøver at interagere med for at blive inficeret. Derefter implementeres spyware for at få adgang til ofrets beskeder, e-mails, fotos, logins, adressebøger, appbrug, placeringsdata og enhedens mikrofon og kamera. 

Corelight cybersikkerhedsspecialist Matt Ellison beskriver grupperne bag sådanne trusler som at vise "en skruppelløs våbenhandlers udseende og adfærd". Ingen i en organisation er sikker, selvom ledende medarbejdere synes at være et naturligt mål i betragtning af det niveau af indflydelse og adgang, de har.

"Det kan variere og afhænger af rollen, organisationen og målet for cyberlejesoldatens kunde," siger Ellison til ISMS.online. "Det er bestemt et ekstra niveau af trussel ud over de typiske cybertrusler, som de fleste kommercielle organisationer ser."

USA slår tilbage

Heldigvis har den amerikanske regering ændret sin holdning betydeligt for nylig, og føjet flere kommercielle spywareproducenter til en "entitetsliste" -herunder Candiru, NSO Group, Intellexa og Cytrox. Dette vil gøre det mere udfordrende på papiret for disse firmaer at købe komponenter fra amerikanske virksomheder. En præsidentiel bekendtgørelse søger også at forhindre den føderale regering i at købe spyware, som udenlandske nationer har brugt til at spionere på aktivister og dissidenter. Dette skulle reducere de kommercielle muligheder for sådanne udviklere.

USA forsøger også at få andre regeringer til at tage en tilsvarende hård linje. Teknikindustrien er gået sammen at dæmme op for cyberlejesoldaters aktiviteter, der ikke kun er bekymrede for menneskerettigheder, men også oplagring af sårbarheder, hvilket i sidste ende gør den digitale verden til en farligere sted.

En ISMS Og Beyond

Men i mellemtiden, hvad kan organisationer gøre for at afbøde truslen mod deres ledere og kritiske it-/dataaktiver? Et informationssikkerhedsstyringssystem (ISMS) kan give en god basis for sikkerhed, som kan være med til at afbøde mange af de teknikker, hackere-til-udlejning bruger til at kompromittere mål. SentinelOnes Wright advarer dog mod selvtilfredshed.

»Intet er en garanti mod at blive kompromitteret. At identificere svagheder og politiske spørgsmål er begyndelsen på en rejse mod en robust cybersikkerhedskapacitet,” argumenterer han. "Compliance hjælper med at opretholde bevidstheden om de store ting."

Organisationer skal også gå ud over det grundlæggende, hvis de ønsker at afvise mere avancerede kommercielle spywareangreb, der udnytter nul-dages sårbarheder.

"Selve karakteren af ​​disse værktøjer, og hvordan de bruges og implementeres, betyder typisk, at de har en sværhedsgrad at opdage, som er væsentligt højere end din gennemsnitlige malware eller ransomware," siger Corelights Ellison. "Hvis du er i en organisation, der er mere tilbøjelig til at blive truet af disse værktøjer, er det vigtigt at behandle dem separat inden for de rammer, du bruger til at sikre din organisation."

Kaspersky forklarer at brugerne skal trænes i at få øje på advarselstegnene på spyware: hurtigt opbrugt batteri og muligvis højt dataforbrug. Yderligere trin til at afbøde truslen omfatter regelmæssig patchning af enhedens OS og anden software, multi-factor authentication (MFA), enheds anti-malware og daglige genstarter. På iOS-enheder opfordres højrisikobrugere til at deaktivere iMessage og FaceTime. Til de angreb, der er nævnt øverst i denne artikel, hjælper Lockdown Mode også.

Men selv Kaspersky blev kompromitteret ved en sofistikeret spyware-operation. Organisationer skal styre risikoen så godt de kan, øve deres hændelsesresponsplaner regelmæssigt og indbygge cyberlejesoldater i deres trusselsprofilering.

Udforsk ISMS.onlines platform med en selvguidet tur - Start nu