Statssponsede hackingangrep: Hva er avanserte vedvarende trusler og hvem målrettet de i 2022?
I 2022 var det en markant økning i statlig sponsede cyberangrep. Mange av disse angrepene ble utført av det som omtales som Advanced Persistent Threats eller APTs. Disse gruppene samarbeider med myndigheter og kan også utføre ulovlige aktiviteter for profitt.
I 2022 så utenlandske enheter angrep på andre utenlandske enheter i DDoS-angrep, spioneringsoperasjoner, løsepengevare-angrep og brudd på kritisk infrastruktur. Disse angrepene initierte store forstyrrelser i forsyningskjeden, milliarder av dollar i skader og samlet inn mengder informasjon som en del av spionasjeoperasjoner.
Med et øye mot hva verden kan stå overfor i 2023, var her 5 ødeleggende APT-angrep som fant sted i 2022:
Table of Contents
Kinas APT 41/Double Dragon stjeler $20 millioner i COVID-hjelpemidler
I 2022 ble et av de mest sjokkerende APT-angrepene utført av en gruppe kjent som APT 41 eller Double Dragon . Denne gruppen klarte å stjele omtrent 20 millioner dollar i COVID-hjelpemidler fra flere land i Asia og Afrika. Angrepet var spesifikt rettet mot banker, offentlige etater og andre organisasjoner som delte ut hjelpepenger under pandemien. Det antas at de stjålne pengene ble hvitvasket gjennom kryptovaluta-lommebøker, noe som gjorde det vanskelig å spore og gjenopprette.
Uttalelsen fra Secret Service indikerte at APT41, som har vært aktiv i over et tiår, regnes som en statsstøttet kinesisk cybertrusselsgruppe, svært dyktig i å utføre spionasjeoppdrag og økonomiske forbrytelser for personlig vinning. Cybereksperter og nåværende og tidligere tjenestemenn fra flere byråer har identifisert APT41 som "arbeidshesten" for nettspionasjeoperasjoner som gagner den kinesiske regjeringen. Ettersom COVID-hjelpemidler dukket opp som et mulighetsmål i 2020, ble denne trusselen mer relevant enn noen gang.
Irans rasende kattunge/APT DEV-0270 kompromitterer US Merit Systems Protection Board
I november ga US Cybersecurity and Infrastructure Security Agency (CISA) og Federal Bureau of Investigation (FBI) ut en felles cybersikkerhetsrådgivning om Irans avanserte vedvarende trusler (APTs). Trusselaktøren, kalt Rampant Kitten , utnyttet en velkjent Log4Shell-sårbarhet for å infiltrere en VMware Horizon-server i februar.
Dette resulterte i kompromisset av et føderalt nettverk som tilhører US Merit Systems Protection Board. Som svar har CISA advart alle organisasjoner som ikke klarte å bruke Log4Shell-utbedring mot potensielle indikatorer på kompromiss. Washington Post identifiserte det berørte byrået som US Merit Systems Protection Board. Denne typen angrep fremhever behovet for fortsatt årvåkenhet og proaktiv innsats fra både bedrifter og myndigheter for å sikre kritisk infrastruktur.
Nord-Koreas Lazarus Group/APT38 Targets kryptovaluta
I april advarte en felles Cybersecurity Advisory (CSA) utstedt av Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA) og US Treasury Department (Treasury) om en cybertrussel knyttet til kryptovaluta-tyverier fra North Koreansk statsstøttet gruppe for avansert vedvarende trussel (APT) kjent som Lazarus Group, APT38, BlueNoroff og Stardust Chollima.
Siden minst 2020 har denne gruppen vært rettet mot organisasjoner innen blokkjedeteknologi og kryptovalutaindustrien som kryptovalutabørser, DeFi-protokoller, spill for å tjene kryptovalutavideospill, venturekapitalfond som investerer i kryptovaluta eller enkeltpersoner som har store mengder digital valuta eller verdifulle NFT-er.
Angriperne har brukt sosial teknikk via ulike kommunikasjonsplattformer for å overtale ofre til å laste ned trojaniserte kryptovalutaapplikasjoner. Dette lar dem få tilgang til offerets datamaskin, spre skadelig programvare og stjele private nøkler eller utnytte andre sikkerhetshull for å sette i gang falske blokkjedetransaksjoner.
Iransk APT MuddyWater/APT 34 retter seg mot offentlig/privat sektor i Asia, Afrika, Europa og Nord-Amerika
I april 2022 var regjeringssponsede cyberangrep fra den iranske Advanced Persistent Threat-gruppen MuddyWater/APT 34 rettet mot en rekke statlige og private organisasjoner på tvers av flere sektorer i Asia, Afrika, Europa og Nord-Amerika som en del av Irans departement for etterretning og sikkerhet (MOIS).
Deretter, i september 2020, sanksjonerte den amerikanske føderale regjeringen den iranske regjeringen for deres støtte til nettkriminalitet, som de hevder utføres via flere Advanced Persistent Threat (APT)-grupper.
Nærmere bestemt har det amerikanske finansdepartementets kontor for kontroll av utenlandske eiendeler (OFAC) utpekt Irans etterretnings- og sikkerhetsdepartement (MOIS) som «engasjerende i cyberaktiverte aktiviteter mot USA og dets allierte» siden minst 2007.
Russiske APT-skuespillere målretter forsvarskontraktører
Fra minst januar 2020, til februar 2022, identifiserte US Federal Bureau of Investigation, (FBI), National Security Agency (NSA) og Cybersecurity and Infrastructure Security Agency (CISA), et regelmessig mønster av cyberangrep mot USA klarerte forsvarsentreprenører (CDCs) som kommer fra russiske statsstøttede aktører .
Disse angrepene brukte vanlige, men effektive taktikker som spyd-phishing, innhenting av legitimasjon, brute force/passordsprayteknikker og utnyttelse av kjente sårbarheter i svakt sikrede kontoer og nettverk. Angriperne målrettet også Microsoft 365 (M365)-miljøer med utholdenhet vedlikeholdt ved å bruke legitim legitimasjon og skadelig programvare for dataeksfiltrering.
Angrepene ovenfor forårsaket store forstyrrelser og milliarder av dollar i skader over hele verden. De ble utført av både geopolitiske årsaker og for økonomisk vinning. Det er klart at APT-er vil forbli en trussel i årene som kommer og må håndteres proaktivt slik at ytterligere skader kan minimeres av enheter både i offentlig og privat sektor.
