Kinesiske hackere bryder amerikanske internetudbydere i hemmelig cyberspionageoperation
I en verden i hurtig udvikling, hvor teknologien driver en stor del af vores dagligdag, vokser den usynlige trussel om cyberspionage, og ingen er immune. Den seneste hændelse i denne igangværende cyberkamp har sat fokus på kinesisk-støttede hackere, som har infiltreret amerikanske internetudbydere (ISP'er), og afsløret sårbarhederne selv inden for stærkt befæstede netværk.
Denne kampagne er ifølge The Wall Street Journal forbundet med en trusselgruppe, Microsoft sporer som Salt Typhoon. Også omtalt som FamousSparrow eller GhostEmperor, har disse hackere orkestreret et sofistikeret angreb på en "håndfuld" internetudbydere i et forsøg på at udtrække følsom information. Hovedmålene for disse typer kampagner er normalt kritisk infrastruktur, og denne instans er ikke anderledes.
Table of Contents
Hackernes metoder
Rapporter tyder på, at disse cyberkriminelle kan have adgang til selve hjertet af internetinfrastrukturen - Cisco Systems routere. Disse routere er ansvarlige for at dirigere en betydelig del af internettrafikken, hvilket gør dem til et ideelt mål for statssponsorerede hackere, der har til formål at etablere vedvarende adgang til følsomme netværk.
Gruppen bag dette angreb, GhostEmperor, dukkede først op i cyberrampelyset i oktober 2021. Det blev oprindeligt identificeret af Kaspersky, et russisk cybersikkerhedsfirma, under undersøgelser af operationer rettet mod sydøstasiatiske lande. Deres angreb involverede at implementere et kraftfuldt rootkit ved navn Demodex, som gjorde det muligt for dem at udføre spionage uopdaget. Ikke kun påvirkede deres indsats store enheder i Malaysia, Vietnam og Thailand, men de nåede også fjerne mål i steder som Egypten og Etiopien.
Spol frem til juli 2024, cybersikkerhedsfirmaet Sygnia afslørede endnu et angreb fra GhostEmperor. Denne gang blev en unavngiven organisation kompromitteret, og gennem den blev en af dens forretningspartnere også offer. Undersøgelser afslørede, at gruppen havde indsat adskillige værktøjer, inklusive en modificeret version af Demodex, til at kommunikere med kommando-og-kontrol-servere, hvilket fremhævede deres tekniske dygtighed og beslutsomhed.
Kinesisk cyberspionage er en vedvarende trussel
Afsløringen af dette angreb kom få dage efter, at den amerikanske regering afbrød et stort botnet på 260.000 enheder kaldet "Raptor Train". Dette botnet, der drives af en anden kinesisk-tilknyttet gruppe kendt som Flax Typhoon, tilføjer til en række aggressive cyberkampagner, der er blevet tilskrevet Kina i de seneste år.
Disse ubarmhjertige angreb understreger den altid tilstedeværende fare fra statsstøttede aktører, især dem, der er på linje med Beijing. Deres fokus på at infiltrere telekommunikation, internetudbydere og anden kritisk infrastruktur tjener som en påmindelse om, hvor vigtigt det er at styrke cybersikkerhedsforsvaret på tværs af sektorer.
Persistens og datatyveri
Det, der gør disse cyberindtrængen særligt alarmerende, er deres strategiske karakter. Det primære formål med disse angreb er at opnå langsigtet, skjult adgang til målnetværk. Når angriberne først er inde, kan angribere ikke kun fjerne følsomme data, men også positionere sig selv til potentielt at forstyrre eller beskadige systemer, når det er nødvendigt. Uanset om målet er spionage eller evnen til at lamme infrastrukturen i fremtidige konflikter, er konsekvenserne enorme.
Fokus på internetudbydere og telenetværk øger indsatsen yderligere. Ved at kontrollere eller opsnappe trafik på et så grundlæggende niveau kan trusselsaktører overvåge kommunikation, forstyrre tjenester og udtrække information af høj værdi uden øjeblikkelig opdagelse.
Hvordan kan virksomheder beskytte sig selv?
Selvom intet forsvar er helt idiotsikkert, kan organisationer tage flere skridt for at mindske risikoen for sådanne cyberspionagekampagner:
- Kontinuerlig overvågning: Implementering af overvågning i realtid for usædvanlig netværksaktivitet kan hjælpe med at fange indtrængen tidligt.
- Patch Management: Regelmæssige opdateringer og patching af systemer, især kritiske infrastrukturkomponenter som routere, er afgørende.
- Zero Trust Architecture: Skift til en nul-tillid-model, hvor brugere, enheder og systemer løbende skal autentificeres, kan hjælpe med at begrænse adgangen til følsomme områder.
- Samarbejde med cybersikkerhedseksperter: Samarbejde med tredjeparts sikkerhedsspecialister, som i tilfældet med Sygnia, kan hjælpe med at afdække og reagere på avancerede trusler.
De bredere implikationer
Efterhånden som cyberkrigsførelse udvikler sig, handler indsatsen ikke længere kun om datatyveri. Vi er vidne til et globalt skakspil, hvor lande som Kina udnytter deres cyberkapaciteter til at vippe vægten til deres fordel. I denne nye æra er infrastruktur lige så meget et mål som traditionelle efterretningstjenester eller militære aktiver.
De seneste afsløringer om GhostEmperor-gruppen og deres infiltration af amerikanske internetudbydere er en skarp påmindelse om, hvor skrøbelige selv de mest robuste systemer kan være. For organisationer verden over handler det ikke kun om at være et skridt foran, men om at forstå, at cyberslagmarken altid udvikler sig – og fjenderne er tættere på, end vi tror.
I denne nye verden er beredskab og årvågenhed de vigtigste forsvarsmekanismer, vi har til rådighed. Uanset om det er gennem regeringshandlinger eller virksomhedsinitiativer, er kampen mod statssponsoreret cyberspionage en kamp, der kræver konstant innovation, samarbejde og opmærksomhed.
