Cyberkrig og globale hackere – det er ikke altid Rusland eller Kina

Research viser, at lande som Hviderusland, Indien og Columbia er ansvarlige for mange cyberangreb.

I løbet af det seneste år har en række højt profilerede cyberangreb, der kommer fra Rusland og Kina, fået USA og dets vestlige allierede til at handle hurtigt for at imødegå de eskalerende hændelser.

Det er dog ikke altid Rusland eller Kina, der er farlige modstandere i det digitale rige. Mindre trusselsgrupper fra Indien, Iran, Hviderusland, Latinamerika og Israel kan holde deres egne, når det kommer til forstyrrende hacking eller spionage operationer. Hertil kommer påståede hackergrupper og trusselsaktører af ubestemt oprindelse, der engagerer sig i ondartede aktiviteter til ofte mystiske formål.

Indiske hackere agerer som legitime virksomheder

Reuters journalister Chris Bing og Raphael Satter recapped på den seneste Cyberwarcon begivenhed deres igangværende undersøgelse af en løs kollektiv af indiske hackere, der udvisker linjerne mellem omdømme management virksomheder og direkte hacking-for-leje tjenester. Arbejder for outfits såsom Appin Security Labs og BellTrox, disse hackere går efter advokater, aktivister, ledere, investorer, farmaceutiske virksomheder, energiselskaber, asset management selskaber, offshore bankenheder, og høj nettoformue enkeltpersoner.

Et mål for Delhi-baserede BellTrox var iransk-amerikansk luftfart tycoon Farhad Azima, hvis e-mails blev stjålet af selskabet og brugt mod ham under retssager. Når man opdager et hack og lækkede operationer, skal man ikke tro at det er Rusland, Nordkorea eller endda Indien.

Hviderusland og ikke Rusland står bag Ghostwriter-kampagnen

Den største nyhed at komme ud af Cyberwarcon var afsløringen af, at Mandiant’s Threat Intelligence Group knyttet statsstøttet spionage gruppe UNC1151, tidligere bundet af forskere til Rusland til den hviderussiske regering. Mandiant konkluderede også, at UNC1151 yder teknisk støtte til en informationsoperationskampagne kendt som Ghostwriter, som har fremmet fortællinger, der er i overensstemmelse med hviderussiske regerings interesser, herunder anti-NATO-meddelelser.

Mandiant’s Ben Read, senior manager for cyber spionage analyse, og Gabby Roncone, teknisk trussel intelligens analytiker, hævder, at de ikke kunne udelukke Ruslands involvering helt. Ghostwriter er bundet til Hviderusland med moderat tillid.

Vi kan ikke se nogen overlapninger mellem UNC1151 eller Ghostwriter aktivitet og andre cyberespionage information operationer, der er blevet offentligt tilskrives Rusland. Der er en række gode grunde til at mistænke russisk indblanding, der er bare ikke de hårde beviser.

Israelske firma Candiru knyttet til angreb

En anden stor åbenbaring, der kommer ud af Cyberwarcon er, at vanding hul angreb på højt profilerede hjemmesider i Mellemøsten er blevet knyttet af forskere på ESET til israelske spyware firma Candiru. Blandt de steder, der er målrettet i angrebene er hjemmesiderne for den iranske ambassade i Abu Dhabi og Middle East Eye, en London-baserede digitale nyhedssite og andre steder kritisk over for Saudi-Arabien. Det amerikanske handelsministerium sanktionerede for nylig Candiru ved at placere det på enhedslisten, der forhindrer amerikanske organisationer i at handle med virksomheden uden licens.

Facebook forstyrrede hackinggrupper i Pakistan og Syrien

David Agranovich, Facebooks direktør for global trussel og Mike Dvilyanski, der leder Facebooks cyberespionage teams, delte detaljer om handlinger, som virksomheden tog mod fire forskellige grupper af hackere i Pakistan og Syrien i løbet af de sidste mange måneder. Facebook deaktiverede gruppernes konti, blokeret deres domæner fra at blive lagt ud på platformen, delte oplysninger med industrien, sikkerhedseksperter og retshåndhævelse og advarede de mennesker, som var mål for truslerne.

Gruppen fra Pakistan er kendt som SideCopy, som har været rettet mod tidligere medlemmer af den afghanske regering og andre med base i Afghanistan efter regeringens sammenbrud. I Syrien fjernede Facebook tre grupper med forbindelser til den syriske regering: Den Syriske Elektroniske Hær, APT-C-37, og en organisation, der var rettet mod minoritetsgrupper, aktivister, opposition, kurdiske journalister, aktivister, medlemmer af People’s Protection Units (YPG) og Syrien Civil Defense eller White Helmets, en frivilligbaseret humanitær organisation.

Gruppen Machete fokuserer på Latinamerika

Blake Djavaherian, en efterretningsanalytiker for CrowdStrikes Global Threat Analysis Cell (GTAC), detaljerede sit firmas undersøgelse af Machete, en latinamerikansk fokuseret trusselsaktør, der har været aktiv siden mindst 2010. Machete opererer på en meget målrettet måde, der fokuserer næsten altid på latinamerikanske spørgsmål eller organisationer.

Gruppen leverer malware gennem meget gode imiteringer af regeringens korrespondance. Machete lægger særlig vægt på Ecuador, Venezuela, Nicaragua, Cuba og nogle grupper internt i Colombia. Selvom CrowdStrike ikke har tilskrevet trusselsaktøren til et bestemt land, “er målets omfang meget relevant for den colombianske regerings sandsynlige efterretningsindsamlingsprioriteter, herunder entreprenører og underleverandører, der kan arbejde for den colombianske regering, der udfører denne form for aktivitet,” siger Djavaherian.

Fire iranske grupper

Alex Orleans, der forvalter den målrettede indtrængen mission for CrowdStrike Intelligence’s GTAC, og Katie Blankenship, GTAC direktør, afsløret på konferencen detaljer om fire iranske grupper, de har undersøgt: Plettet Spidsrod, Pioneer Kitten, Spectral Kitten, og Nemesis Kitten.

Microsoft har observeret seks iranske hackergrupper indsætte ransomware

James Elliott, Simeon Kakpovi og Ned Moran fra Microsofts Threat Intelligence Center (MSTIC) præsenterede deres analyser af en gradvis udvikling af de værktøjer, teknikker og procedurer, der anvendes af ondsindede netværksoperatører med base i Iran. Siden september 2020 har MSTIC observeret seks iranske trusselsgrupper, der implementerer ransomware for at nå deres strategiske mål i bølger hver sjette til ottende uge i gennemsnit. En gruppe, især PHOSPHORUS, målrettet Fortinet FortiOS SSL VPN og unpatched on-premises Exchange-servere globalt med den hensigt at implementere ransomware på sårbare netværk.

Signalering kan være målet

Juan Andres Guerrero-Saade, en ledende sikkerhedsresearcher på SentinelOne, recapped en række cybersikkerhed hændelser, der involverer såkaldte hacktivist grupper eller aktører. Eksempler omfatter Phineas Fisher, der hævdede at have hacket offensiv indtrængen og overvågning selskab Hacking Team i 2015, og Indra, som påtog sig ansvaret for angreb i Iran, herunder et hack af landets banegård. Indra står også bag et nyligt angreb på iranske tankstationer.

Guerrero-Saade sagde, at i de fleste af disse tilfælde, hacks var ikke nødvendigvis målet. I stedet, var hackere engageret i en form for signalering at sende en besked. “En ting er at gøre folk kede af det, fordi de ikke kan få benzin. Modsat – til hvilket formål ønsker vi, at disse mennesker skal være ked af det?”

Kilde: CSO