US DOJ fjerner malware-netværk, der drives af russiske skuespillere

Det amerikanske justitsministerium (DOJ) erklærede tirsdag, at de har fjernet et verdensomspændende netværk af computere, der var inficeret med malware, som russiske statslige sikkerhedstjenester angiveligt har brugt i næsten to årtier til at udtrække klassificeret information fra USA og NATO-allierede.

Initiativet, kodenavnet "MEDUSA", havde til formål at eliminere "Snake"-malwaren brugt af en enhed inden for den russiske FSB ved navn "Turla", som cybereksperter betragter som en af verdens mest avancerede cyberspionagegrupper. FBI skabte et værktøj kaldet "PERSEUS", som neutraliserer Snake-malwaren uden at påvirke værtscomputeren eller legitime applikationer, efter at have fået tilladelse fra en dommer i Brooklyn til at give adgang til forurenede computere. Snake-malwaren var rettet mod lande, der er NATO-medlem, finansielle institutioner, journalister og andre mål for den russiske regering, der går tilbage til 2004.

FBI informerede alle ofre, hvis computere blev tilgået i MEDUSA-operationen, og USA og Five Eyes-partnerne har udstedt en fælles cybersikkerhedsrådgivning, der indeholder detaljerede tekniske oplysninger om malwaren, så cybersikkerhedseksperter kan opdage, om andre netværk er potentielt inficeret. Efter at have fået adgang til netværk er Turla-gruppen kendt for at bruge et "keylogger"-værktøj, der stjæler kontoadgangskoder og andre autentificeringsoplysninger, hvilket udgør en kontinuerlig trussel mod nogle af de målrettede personer.

Hvad er statssponsorerede trusselsaktører, og hvordan udnyttes de ofte i international cyberspionage?

Statssponserede trusselsaktører er cyberkriminelle, som modtager støtte fra nationale regeringer til at udføre cyberangreb, cyberspionage eller andre ondsindede aktiviteter mod fremmede nationer, organisationer eller enkeltpersoner. Disse aktører er ofte højt kvalificerede og velfinansierede, og de arbejder med det formål at fremme deres respektive landes strategiske og økonomiske interesser.

Statssponserede trusselsaktører retter sig typisk mod en bred vifte af mål, herunder statslige agenturer, militære institutioner, kritisk infrastruktur, finansielle institutioner, universiteter og private virksomheder. De kan bruge en række forskellige taktikker, såsom spear-phishing, malware, social engineering og zero-day exploits for at få uautoriseret adgang til målrettede systemer eller stjæle følsomme data.

Disse cyberspionagekampagner begynder ofte med rekognoscering for at identificere sårbare systemer og information af interesse. Når først adgang er opnået, vil trusselsaktørerne bevæge sig sideværts gennem netværket for at eskalere deres privilegier og indsamle følsomme data. I nogle tilfælde kan de implementere bagdøre, malware eller andre værktøjer for at opretholde langsigtet adgang til de kompromitterede systemer og fortsætte deres drift uopdaget.

Statssponserede trusselsaktører bliver ofte udnyttet i internationale cyberspionagekampagner for at opnå en strategisk fordel i forhold til andre nationer eller for at stjæle værdifuld intellektuel ejendom. Angrebene kan bruges til at fremme politiske, militære, økonomiske eller diplomatiske mål, og de stjålne data kan bruges til at informere nationale politikker, informere forretningsbeslutninger eller sælges med fortjeneste på det mørke web. Den potentielle virkning af statssponserede cyberspionagekampagner kan være alvorlig, herunder tab af kritisk infrastruktur, skade på den nationale sikkerhed og betydelige økonomiske tab for enkeltpersoner og organisationer.