Digitale angrep blir brukt oftere og oftere i krigføring. Bildet er laget med kunstig intelligens.

Digitale angrep blir stadig oftere brukt i krigføring på tvers av landegrenser.

I en verden hvor digital sikkerhet er mer kritisk enn noensinne, har såkalte Avanserte Vedvarende Trusselaktører (APT) blitt en hovedbekymring for både regjeringer og privat sektor.

Bildet er laget med kunstig intelligens.
Foto: Pixabay

– Trusselen er stor fordi de kan ramme samfunnskritiske funksjoner og ressurser, som strøm, vann og kommunikasjon, og samtidig true økonomien vår gjennom spionasje eller sabotasje, skriver Raymond Hagen, fagdirektør Cybersikkerhet i Digitaliseringsdirektoratet.

Foto: Privat

Han forsker på Avanserte Vedvarende Trusselaktører innen cybersikkerhetsfeltet som del av et doktorgradsprogram ved NTNU.

Stadig mer avansert cyberkrigføring

Raymond Hagen Fagdirektør Cybersikkerhet i Digitaliseringsdirektoratet
Publisert Sist oppdatert

Dette er en kommentar. Den gir uttrykk for skribentens holdninger.

APT

Avansert og vedvarende trusselaktører APT, eller Advanced Persistent Threats, har eksistert i over 30 år.

Avanserte, cyberbaserte trusselgrupper med store ressurser, både økonomisk og når det gjelder kompetanse. De er som regel knyttet til nasjonsstater, ofte direkte til etterretningstjenester, men i noen tilfeller også til organisert kriminalitet.

APT-grupper handler om å få et fortrinn, enten det er å skaffe informasjon om en motstanders planer, økonomi eller militære kapasitet. De gjør det fordi det er billigere og mindre risikabelt enn tradisjonell spionasje, og du kan operere uten å bli oppdaget på samme måte som en agent i felten.

Målet med APT varierer. For noen er det etterretning, for andre er det å forstyrre infrastruktur eller å spre desinformasjon før valg.

Trusselaktørene tilpasser seg en stadig mer digitalisert verden. APT-grupper, ofte statsstøttede eller statsdrevne, utfører langsiktige cyberangrep for å stjele informasjon, overvåke mål eller forstyrre kritisk infrastruktur. Deres evne til å operere diskret og metodisk, og tilpasse seg forsvarstiltak over tid, gjør dem til en særlig trussel.

 

Cyberangrep mot norske myndigheter

I fjor sommer ble det avdekket et omfattende cyberangrep mot flere norske departementer, noe som viste hvor målrettede og avanserte slike operasjoner kan være. I Europa har vi også sett angrep mot kritisk infrastruktur, som strømnettet i Ukraina tilbake i 2015 og senere i forbindelse med konflikten der.

Det er vanskelig å peke på land som står bak med 100 prosent sikkerhet, siden bevisene ofte er komplekse og til dels basert på etterretning. Men nasjoner som Russland, Kina, Nord-Korea og i noen tilfeller Iran har blitt trukket fram av både nasjonale sikkerhetsmyndigheter og internasjonale eksperter. For eksempel har russiske grupper vært koblet til angrep mot politiske institusjoner i Europa, mens kinesiske aktører ofte fokuserer på industriell spionasje. Dette handler mye om geopolitiske interesser, enten det er å svekke en motstander eller hente ut verdifull informasjon.

 

Operer diskret og metodisk

Disse gruppene er ofte svært godt finansiert og har tilgang til spesialister som jobber systematisk over lang tid. De opererer diskret ved å utnytte små svakheter i systemer. For eksempel en gammel programvare eller en menneskelig feil, og beveger seg sakte gjennom målets systemer for å unngå å bli oppdaget. Dette er ikke tilfeldige hackere, men folk med både tålmodighet og kompetanse til å kartlegge målene sine i detalj og angripe først når de vet at de har stor mulighet for å lykkes.

Når vi for eksempel oppdaterer et system eller setter inn nye sikkerhetstiltak, analyserer de hva som har endret seg og finner nye veier inn. De har ofte ressurser til å teste angrep i forkant, og de drar nytte av den raske utviklingen i teknologi, som kunstig intelligens som kan i noen tilfeller gjør metodene sine mer effektive.

 

Skaper kaos og svekker tillit

Trusselen er stor fordi de kan ramme samfunnskritiske funksjoner og ressurser, som strøm, vann og kommunikasjon, og samtidig true økonomien vår gjennom spionasje eller sabotasje.

For et digitalisert land som Norge kan et vellykket angrep skape kaos i hverdagen og svekke tilliten til institusjonene våre. Det er også en global utfordring, siden et angrep raskt kan påvirke andre land. Dette handler ikke bare om teknisk skade, men om å undergrave stabilitet i en allerede urolig verden.

Bildet er laget med kunstig intelligens.

De mest ødeleggende cyberoperasjonene skjer ofte i land i åpen konflikt, som Ukraina eller i Midtøsten, der cyberoperasjonene enten brukes til å ødelegge eller støtte militære operasjoner.

Bildet er laget med kunstig intelligens.
Foto: Pixabay

 

Hacker attraktive virksomheter

Virksomheter er også høyt oppe på listen, særlig de som driver med forskning, energi eller teknologi. Spionasje mot bedrifter, som å stjele forskningsdata, patenter eller andre forretningshemmeligheter, er vanlig. Målet er gjerne de som har noe verdifullt å tilby, enten det er stater med sensitiv informasjon, virksomheter med innovasjon eller infrastruktur som holder samfunnet i gang.

Det er ofte sikkerhetsmyndigheter som Nasjonal sikkerhetsmyndighet som oppdager angrepene, og noen ganger er det virksomhetene selv som merker det. Problemet er at angrepene kan gå under radaren i månedsvis, da de er godt planlagt og det tar tid før noen skjønner at uvedkommende har vært inne i systemet.

 

Angriper nye teknologier

Selv om det er krevende å bevise dette helt sikkert, viser data at vi er midt i et slags våpenkappløp i cybersikkerhetsverdenen. Nye teknologier som skytjenester, kvantekryptering, kunstig intelligens, autonome kjøretøy, droner og blokkjeder blir stadig oftere mål for angripere.

Teknologien utvikler seg dessverre raskere enn sikkerhetsløsningene. Når autonome droner eller blokkjeder tas i bruk, er det gjerne fokus på funksjonalitet, ikke på å tette alle hull fra starten. Angriperne er ofte et skritt foran, da de har ressurser, som statsstøtte eller kriminelle nettverk, og de utnytter ukjente sårbarheter før vi rekker å fjerne dem. Totaliteten gjør at truslene vokser, og det påvirker oss alle fra strømnettet som kan knebles, til bedrifter som taper data, eller selv vanlige folk som får identiteten sin stjålet. Dette handler ikke bare om teknologi, men om hvem som klarer å tilpasse seg raskest.

 

Et mål for øyet – ødelegge

APT-grupper og statlige cyberoperasjoner har ikke bare tatt en fast plass i det digitale landskapet, men de kommer til å bli stadig mer offensive fremover. For disse gruppene er cyberangrep selve jobben deres, de opererer ofte som en del av en militær struktur, der oppdrag tildeles på samme måte som i tradisjonelle styrker.

Det handler om at de ofte er støttet av stater, som for eksempel Russland, Kina eller Nord-Korea. Tid er heller ikke noe problem, for de har tålmodighet til å planlegge og tilpasse seg.

Dette gir dem en klar fordel. For en virksomhet eller organisasjon er hovedfokuset å drive business, utvikle produkter og levere tjenester. APT-ene derimot, har én oppgave: å gjennomføre sine cyberoperasjoner. Denne ubalansen i prioriteringer gjør det ekstremt krevende å forsvare seg mot dem, spesielt i en tid der cyberkrigføring bare blir mer avansert.

 

Gjøken er kjent for å legge eggene sine i andres reir, og har også inspirert navnet til et av de tidligste cyberangrepene vi kjenner til: «The Cuckoo's Egg» i 1986.

Foto: Wikipedia

«The Cuckoo's Egg» var et internasjonalt cybersikkerhetsbrudd som hovedsakelig rettet seg mot amerikanske universiteter og militære systemer.

Bildet er laget med kunstig intelligens.
Foto: Pixabay

Angrepene ble initiert av tre tyske studenter som utforsket datasystemer drevet av nysgjerrighet. Imidlertid avdekket etterforskningen at deres handlinger ikke bare var isolerte eventyr, men ble del av en større kaldkrigsdynamikk.

Disse studentene ble gradvis påvirket av østtyske etterretningstjenester til å skaffe og videreformidle sensitiv informasjon.

På slutten av 1990-tallet så vi et av de tidligste eksemplene på et APT-angrep, og en viktig milepæl i cybersikkerhetens historie: «Moonlight Maze»: Etterforskningen av disse angrepene avslørte forbindelser til Russland, og markerte en økende bevissthet om trusselen fra statssponsede cyberangrep.

Bildet er laget med kunstig intelligens.
Foto: Pixabay

«Moonlight Maze» viste en avansert grad av nettverksinfiltrering og langvarig datainnsamling, noe som kraftig endret oppfatningen om cybersikkerhet. Dette angrepet rev bort en viss naivitet i cybersikkerhetsmiljøet.

Bildet er laget med kunstig intelligens.

I 2010 kom angrepet Stuxnet. Dette var rettet mot Irans urananrikningsanlegg i Natanz, og var designet for industriell sabotasje, og inneholdt en orm som spredte seg gjennom nettverket og forstyrret Siemens' industrielle kontrollsystemer.

Bildet er laget med kunstig intelligens.
Foto: Pixabay

Resultatet var omfattende skade på sentrifugene brukt i urananrikningsprosessen, og markerte et skifte i hvordan cyberangrep ble oppfattet.

Selv om det ikke offisielt er bekreftet, tyder analyser og eksperthypoteser på at USA og Israel stod bak Stuxnet.

Cyber som geopolitisk våpen

Flere saker om datasikkerhet

security dataangrep datasikkerhet

Samarbeid

Norden: NORDEFCO, der Norge, Sverige, Danmark, Finland og Island koordinerer forsvar, inkludert cyber. Danmark hevet trusselnivået sitt i 2024 etter russiske cybertrusler, og da var det nordisk samarbeid som hjalp oss å dele kunnskap og stå sterkere sammen.

Europa: Norge deltar i prosjekter gjennom ENISA, EUs cybersikkerhetsbyrå, og har tekniske avtaler med CERT-EU, som gir Norge tilgang til varsler og beste praksis. Under WannaCry-ransomware i 2017 delte EU og Norge informasjon som hjalp Norge å beskytte helsesektoren.

NATO: Som medlem er Norge med i Cyber Coalition, en årlig øvelse der vi i 2021 trente på å håndtere et angrep på gassledninger. NATO har også satt opp et Integrated Cyber Defence Centre i 2024, der Norge bidrar med kompetanse og får bedre oversikt over trusler sammen med allierte.

FN: Norge støtter FNs arbeid med normer for cyberspace, som Budapest-konvensjonen om cyberkriminalitet.

Vil du skrive for oss?

Sikkerhet og beredskap tar imot både kommentarer (kortere meningsytringer om konkrete saker, temaer eller problemstillinger) og fagartikler (kronikk og analyser fra fagpersoner, med større krav til forfatterens bakgrunn og kunnskap).

Send oss gjerne en e-post: sikkerhet@nso.no

Bibliografi

https://www.trellix.com/. (n.d.). Website. Retrieved 12.08.2023, from trellix.com.

Magic in the Moonlight (2014). (n.d.). Retrieved 12.08.2023, from Fandango Media: http://www.rottentomatoes.com/m/ magic_in_the_moonlight/

Maloney, S. (n.d.). What is an Advanced Persistent Threat (APT)? Retrieved 12.08.2023, from https://www.cybereason.com/blog/ advanced-persistent-threat-apt

North Korea demands joint inquiry with US into Sony Pictures hack. (n.d.). Retrieved 12.08.2023, from https://www.theguardian.com/ world/2014/dec/20/north-korea-proposes-joint-inquiry-us-sony-pictures-hack

Sullivan, J. E. (2017). Cyber-attacks in Ukraine show vulnerability of traditional power grids. Retrieved 12.08.2023, from https://omicsonline.org/proceedings/ cyberattacks-in-ukraine-show-vulnerability-of-traditional-power-grids-76300.html

The Stuxnet Attack on Iran's Nuclear Plant Was 'Far More Dangerous' Than Previously Thought. (n.d.). Retrieved 12.08.2023, from http://www.businessinsider.com/ stuxnet-was-far-more-dangerous-than-previous-thought-2013-11

Cyberangrep og APT har utvilsomt blitt et stadig viktigere redskap for nasjonal suverenitetshevdelse av ulike stater. Det er flere eksempler som illustrerer dette. Ett slikt eksempel er Nord-Koreas angrep på Sony Pictures, som ble utløst av filmen «The Interview». Filmen som inneholdt fornærmende referanser til Nord-Koreas leder Kim Jong Un ble sett på som kuriøs humor i det meste av verden, men oppfattet som en nasjonal fornærmelse av Nord-Korea. Som svar på denne fornærmelsen utnyttet Nord-Korea sine cyberkapasiteter for å gjennomføre et angrep mot Sony. Dette tilfellet illustrerer tydelig hvordan statlige enheter benytter seg av cyberoperasjoner i respons til geopolitiske spenninger og opplevde trusler mot nasjonal ære og suverenitet.

Et annet, men dog mørkere eksempel på hvordan cyberangrep blir brukt til suverenitetshevdelser er relatert til tiden rett før Russlands angrep mot ukrainske myndigheter i januar 2022. Her ble regjeringsnettsteder og kritisk infrastruktur rammet som en del av en større geopolitisk maktkamp. Angriperne, sannsynligvis knyttet til russisk etterretning, erstattet nettsider med truende meldinger og brukte skadevare for å slette data, angrepet pågikk mens Russland krevde kontroll over Ukrainas politiske styring og fremtidige retning. For de fleste var dette et teknisk angrep, men for Russland var det en måte å markere dominans på i sin interessesfære. Dette viser hvordan stater bruker cyberoperasjoner for å svare på geopolitiske utfordringer og forsterke sin suverenitet, spesielt i tider med høy spenning

 

Forsvarsmetodene holder tritt med truslene

I denne nye æraen av cyberkrigføring kan det virke tøft å beskytte virksomheter mot avanserte APT-grupper, men jeg ser lyspunkter. Forskningen min viser at selv om APT-ene har enorme ressurser, tilpasser de seg teknologien akkurat som oss. Det er sjeldnere at de lager skreddersydde cybervåpen, i stedet gjenbruker de gamle verktøy eller bruker 'living off the land'-teknikker, der angripere benytter vanlige program som finnes på de kompromitterte systemene, noe som gjør det mer utfordrende å oppdage angrepet, enn når angriperen installerte egen skadevare. Det viser at de går for effektivitet, den raskeste veien inn og det gir oss en sjanse til å slå tilbake. Hvis vi gjør det vanskeligere for dem, må de jobbe hardere.

Samtidig hjelper teknologien oss også. Med så mye data der ute kommer det stadig flere verktøy, ofte med kunstig intelligens, som finner feil og avslører angrep raskere. Og vi blir flinkere til å dele informasjon om trusler og sårbarheter, noe som styrker sikkerheten vår. Det betyr at med solide tiltak kan vi gjøre systemene mindre fristende.

Samtidig så ser vi at gamle gode råd som to-faktor autentisering hjelper mye. God sikkerhetshygiene handler om vaner, som å lære ansatte å ikke klikke på mistenkelige lenker, overvåke nettverket for røde flagg, og teste jevnlig for svakheter. Følger du Nasjonal sikkerhetsmyndighets sine grunnprinsipper så har du mye på plass. 

 

Innovasjon og samarbeid må til

Samhandling er helt avgjørende for å møte cybersikkerhetstrusler. I Norge har vi et tett samarbeid mellom offentlige aktører som Nasjonal sikkerhetsmyndighet (NSM) og private virksomheter og selskaper. Et godt eksempel er NorCERT, NSMs operative senter, som jobber døgnet rundt og deler trusselinformasjon med bedrifter og myndigheter for å stoppe angrep raskt. Da departementene ble hacket i 2023, var det nettopp dette samarbeidet som hjalp oss å begrense skaden.

Poenget er at ingen klarer å håndtere kompleksiteten av trusler helt alene. Fra lokalt i Norge til FN-nivå handler det om å dele kunnskap, trene sammen og bygge forsvar som holder tritt med angriperne.

Det er viktig å huske på at i denne digitale æraen er cyberforsvar ikke bare et ansvar for IT-spesialister, men for alle som er en del av en organisasjon. Ved å samarbeide, dele kunnskap og beste praksiser, kan vi alle bidra til en tryggere og mer sikker digital verden.

Ordforklaringer

Autonome kjøretøy: Biler og andre fartøy som kan kjøre selv uten menneskelig hjelp. 

Blokkjeder: Digital teknologi som lagrer informasjon sikkert på mange datamaskiner samtidig. 

Cyber: Alt som har med datamaskiner, internett og digital teknologi å gjøre. 

Desinformasjon: Bevisst spredning av falsk informasjon for å villede folk. 

Droner: Fjernstyrte eller selvgående fartøy (luft eller vann) uten fører om bord. 

Geopolitikk: Hvordan geografi påvirker maktforhold mellom land og regioner. 

Hacker: Person som bryter seg inn i datasystemer, enten lovlig eller ulovlig. 

Kognitiv krigføring: Påvirkning av hvordan mennesker tenker og oppfatter virkeligheten som våpen. 

Kritisk infrastruktur: Systemer og nettverk samfunnet er avhengig av for å fungere. 

Kunstig intelligens: Datamaskiner som kan lære, resonnere og løse problemer som mennesker. 

Kvantekryptering: Sikkerhetsteknologi som bruker kvantemekanikk for å beskytte data mot hackere. 

Malwareangrep: Skadelig programvare som infiserer datamaskiner for å stjele eller ødelegge data. 

Nulldagssårbarheter: Sikkerhetshull i programvare som oppdages før produsenten vet om dem. 

Phishing: Svindelforsøk via e-post eller meldinger for å stjele personlig informasjon. 

Ransomware: Ondsinnet programvare som låser data til løsepenger er betalt. 

Sikkerhetshygiene: Rutinemessige tiltak for å holde datasystemer trygge og beskyttet. 

Skytjenester: Digitale tjenester lagret på internett i stedet for på egen datamaskin.

Kilde: Raymond Hagen

russland geopolitikk datasikkerhet cyberangrep apt-grupper security kommentar nasjonal sikkerhetsmyndighet
Powered by Labrador CMS