Kinesiske hackere bryter amerikanske internettleverandører i skjult cyberspionasjeoperasjon
I en verden i rask utvikling der teknologi driver mye av hverdagen vår, vokser den usynlige trusselen om nettspionasje, og ingen er immune. Den siste hendelsen i denne pågående cyberkampen har satt søkelyset på kinesisk-støttede hackere som har infiltrert amerikanske internettleverandører (ISP), og avslørt sårbarhetene selv innenfor sterkt befestede nettverk.
Denne kampanjen, ifølge The Wall Street Journal , er knyttet til en trusselgruppe Microsoft sporer som Salt Typhoon. Også referert til som FamousSparrow eller GhostEmperor, har disse hackerne orkestrert et sofistikert angrep på en "håndfull" Internett-leverandører i et forsøk på å trekke ut sensitiv informasjon. Hovedmålene for denne typen kampanjer er vanligvis kritisk infrastruktur, og dette tilfellet er ikke annerledes.
Table of Contents
Hackernes metoder
Rapporter tyder på at disse nettkriminelle kan ha fått tilgang til selve hjertet av internettinfrastrukturen – Cisco Systems-rutere. Disse ruterne er ansvarlige for å lede en betydelig del av internetttrafikken, noe som gjør dem til et ideelt mål for statsstøttede hackere som har som mål å etablere vedvarende tilgang til sensitive nettverk.
Gruppen bak dette angrepet, GhostEmperor, dukket først opp i søkelyset på nett i oktober 2021. Det ble først identifisert av Kaspersky, et russisk cybersikkerhetsfirma, under undersøkelser av operasjoner rettet mot Sørøst-asiatiske land. Angrepene deres innebar å distribuere et kraftig rootkit ved navn Demodex, slik at de kunne utføre spionasje uoppdaget. Ikke bare påvirket deres innsats store enheter i Malaysia, Vietnam og Thailand, men de nådde også fjerne mål på steder som Egypt og Etiopia.
Spol frem til juli 2024, cybersikkerhetsfirmaet Sygnia avdekket nok et angrep fra GhostEmperor. Denne gangen ble en navngitt organisasjon kompromittert, og gjennom den ble også en av dens forretningspartnere offer. Undersøkelser avslørte at gruppen hadde distribuert flere verktøy, inkludert en modifisert versjon av Demodex, for å kommunisere med kommando-og-kontrollservere, og fremheve deres tekniske dyktighet og besluttsomhet.
Kinesisk cyberspionasje er en pågående trussel
Avsløringen av dette angrepet kom bare dager etter at den amerikanske regjeringen forstyrret et stort botnett på 260 000 enheter kalt «Raptor Train». Dette botnettet, som drives av en annen kinesisk-tilknyttet gruppe kjent som Flax Typhoon, legger til en rekke aggressive cyberkampanjer som har blitt tilskrevet Kina de siste årene.
Disse nådeløse angrepene understreker den alltid tilstedeværende faren fra statsstøttede aktører, spesielt de som er på linje med Beijing. Deres fokus på å infiltrere telekommunikasjon, Internett-leverandører og annen kritisk infrastruktur tjener som en påminnelse om hvor viktig det er å styrke nettsikkerhetsforsvaret på tvers av sektorer.
Utholdenhet og datatyveri
Det som gjør disse cyberinnbruddene spesielt alarmerende, er deres strategiske natur. Hovedmålet med disse angrepene er å få langsiktig, skjult tilgang til målnettverk. Når angripere først er inne, kan angripere ikke bare suge av sensitive data, men også posisjonere seg for å potensielt forstyrre eller skade systemer når det er nødvendig. Enten målet er spionasje eller evnen til å lamme infrastruktur i fremtidige konflikter, er konsekvensene enorme.
Fokuset på Internett-leverandører og telenettverk øker innsatsen ytterligere. Ved å kontrollere eller avskjære trafikk på et så grunnleggende nivå, kan trusselaktører overvåke kommunikasjon, forstyrre tjenester og trekke ut informasjon av høy verdi uten umiddelbar oppdagelse.
Hvordan kan selskaper beskytte seg selv?
Selv om intet forsvar er helt idiotsikkert, kan organisasjoner ta flere skritt for å redusere risikoen for slike nettspionasjekampanjer:
- Kontinuerlig overvåking: Implementering av sanntidsovervåking for uvanlig nettverksaktivitet kan bidra til å fange inntrengninger tidlig.
- Patch Management: Regelmessige oppdateringer og patching av systemer, spesielt kritiske infrastrukturkomponenter som rutere, er avgjørende.
- Zero Trust Architecture: Å skifte til en null-tillit-modell, der brukere, enheter og systemer må autentiseres kontinuerlig, kan bidra til å begrense tilgangen til sensitive områder.
- Samarbeid med nettsikkerhetseksperter: Samarbeid med tredjeparts sikkerhetsspesialister, som i tilfellet med Sygnia, kan bidra til å avdekke og svare på avanserte trusler.
De bredere implikasjonene
Etter hvert som cyberkrigføring utvikler seg, handler innsatsen ikke lenger bare om datatyveri. Vi er vitne til et globalt sjakkspill der land som Kina utnytter sine cyberevner for å vippe vekten i deres favør. I denne nye tiden er infrastruktur like mye et mål som tradisjonelle etterretningsbyråer eller militære eiendeler.
De siste avsløringene om GhostEmperor-gruppen og deres infiltrasjon av amerikanske Internett-leverandører er en sterk påminnelse om hvor skjøre selv de mest robuste systemene kan være. For organisasjoner over hele verden handler det ikke bare om å ligge et skritt foran, men om å forstå at cyberslagmarken alltid er i utvikling – og fiendene er nærmere enn vi tror.
I denne nye verdenen er beredskap og årvåkenhet de viktigste forsvarsmekanismene vi har til rådighet. Enten det er gjennom statlige tiltak eller bedriftsinitiativer, er kampen mot statsstøttet cyberspionasje en kamp som krever konstant innovasjon, samarbeid og oppmerksomhet.
