US DOJ fjerner malware-nettverk drevet av russiske skuespillere

Det amerikanske justisdepartementet (DOJ) erklærte tirsdag at de har tatt ned et verdensomspennende nettverk av datamaskiner som var infisert med skadelig programvare, som russiske statlige sikkerhetstjenester skal ha brukt i nesten to tiår for å trekke ut klassifisert informasjon fra USA og NATO-allierte.

Initiativet, med kodenavnet "MEDUSA", hadde som mål å eliminere "Snake"-malware brukt av en enhet i den russiske FSB kalt "Turla", som cybereksperter anser som en av verdens mest avanserte cyberspionasjegrupper. FBI opprettet et verktøy kalt "PERSEUS", som nøytraliserer Snake malware uten å påvirke vertsdatamaskinen eller legitime applikasjoner, etter å ha fått tillatelse fra en dommer i Brooklyn til å gi tilgang til kontaminerte datamaskiner. Snake-malwaren målrettet land som er NATO-medlem, finansinstitusjoner, journalister og andre mål for den russiske regjeringen, som dateres tilbake til 2004.

FBI informerte alle ofre hvis datamaskiner ble åpnet i MEDUSA-operasjonen, og USA og Five Eyes-partnerne har utstedt en felles cybersikkerhetsrådgivning som inkluderer detaljert teknisk informasjon om skadelig programvare, slik at cybersikkerhetseksperter kan oppdage om andre nettverk har blitt potensielt infisert. Etter å ha fått tilgang til nettverk, er Turla-gruppen kjent for å bruke et "keylogger"-verktøy som stjeler kontopassord og annen autentiseringslegitimasjon, og utgjør en kontinuerlig trussel mot noen av de målrettede individene.

Hva er statsstøttede trusselaktører og hvordan utnyttes de ofte i internasjonal cyberspionasje?

Statsstøttede trusselaktører er nettkriminelle som mottar støtte fra nasjonale myndigheter til å utføre nettangrep, nettspionasje eller andre ondsinnede aktiviteter mot fremmede nasjoner, organisasjoner eller enkeltpersoner. Disse aktørene er ofte svært dyktige og godt finansierte, og de opererer med mål om å fremme sine respektive lands strategiske og økonomiske interesser.

Statsstøttede trusselaktører retter seg typisk mot et bredt spekter av mål, inkludert offentlige etater, militære institusjoner, kritisk infrastruktur, finansinstitusjoner, universiteter og private selskaper. De kan bruke en rekke taktikker, for eksempel spyd-phishing, skadelig programvare, social engineering og nulldagers utnyttelser for å få uautorisert tilgang til målrettede systemer eller stjele sensitive data.

Disse nettspionasjekampanjene begynner ofte med rekognosering for å identifisere sårbare systemer og informasjon av interesse. Når tilgang er oppnådd, vil trusselaktørene bevege seg sideveis gjennom nettverket for å eskalere privilegiene sine og samle inn sensitive data. I noen tilfeller kan de distribuere bakdører, skadelig programvare eller andre verktøy for å opprettholde langsiktig tilgang til de kompromitterte systemene og fortsette driften uoppdaget.

Statsstøttede trusselaktører blir ofte utnyttet i internasjonale cyberspionasjekampanjer for å oppnå en strategisk fordel over andre nasjoner eller for å stjele verdifull intellektuell eiendom. Angrepene kan brukes til å fremme politiske, militære, økonomiske eller diplomatiske mål, og de stjålne dataene kan brukes til å informere nasjonal politikk, informere forretningsbeslutninger eller selges for profitt på det mørke nettet. Den potensielle virkningen av statsstøttede nettspionasjekampanjer kan være alvorlig, inkludert tap av kritisk infrastruktur, skade på nasjonal sikkerhet og betydelige økonomiske tap for enkeltpersoner og organisasjoner.