I en ny rapport sammanfattar Cisco Talos cyberhotlandskapet under det gångna året – med särskilt fokus på Ukraina, Mellanöstern och Asien.
Det instabila geopolitiska läget har satt en kraftfull prägel på cyberhoten under 2023, konstaterar Cisco Talos, Ciscos avdelning för cyberhotforskning och analys, i årssammanfattningen Year in review 2023 som publicerades i december.
Utöver det pågående kriget i Ukraina har den våldsamma utvecklingen i Mellanöstern under hösten gjort avtryck på hotbilden, liksom det spända läget i östra Asien.
”För kinesiska grupper ser vi att allteftersom relationerna till Väst och till stillahavsländerna i Asien blir allt mer spända, så blir också angriparna djärvare, med större vilja att vålla skador. Vi ser även detta i deras fokus på telekomföretag, som driver kritisk infrastruktur på strategiskt viktiga platser, som Guam och Taiwan”, skriver rapportförfattarna.
En av de Kina-knutna grupper som identifierats är Volt Typhoon, som under året genomförde en serie angrepp mot kritisk infrastruktur i USA, och amerikanska militärbaser.
De cyberattacker som kan kopplas till grupper som arbetar för eller stöds av Kina är både många och sofistikerade. En allmän slutsats som dras i rapporten är att dessa grupper arbetar väldigt långsiktigt, och aktivt anpassar sitt beteende för att undvika upptäckt. I ett fall som Cisco Talos hanterade under året hade intrånget legat oupptäckt i minst sju år.
Under hösten har den våldsamma utvecklingen i Gaza åtföljts av intensiv cyberkrigföring. Under de första dagarna av konflikten noterades ett stort antal angrepp mot båda sidor från politiskt motiverade hacktivistgrupper – dessa attacker framstod dock som okoordinerade och var i de allra flesta fall inte särskilt sofistikerade. Det är troligt att aktörer med ekonomiska och politiska intressen i regionen, exempelvis Iran och Kina, visar ökat intresse för att påverka utvecklingen genom cyberoperationer framöver.
”På grund av Kinas växande politiska närvaro i Mellanöstern förväntar vi oss att se mer kinesisk hotaktivitet i regionen. Framtida operationer kommer troligtvis att vara i linje med den etablerade taktiken, att rikta in sig på verksamheter och individer som är viktiga för landets strategiska mål, få långvarig och dold tillgång till nätverk, och stjäla intellektuell egendom och teknologi”, skriver rapportförfattarna.
Även här har flera större, koordinerade angrepp mot telekomoperatörer genomförts under året.
I Ukraina fortsätter både det fysiska kriget och den digitala motsvarigheten. Rysk hotaktivitet riktas både direkt mot Ukraina och globalt – framför allt via grupperingar som Gamaredon och Turla, som båda tidigare kopplats till den ryska statens underrättelseverksamhet. I maj 2023 lyckades FBI knäcka krypteringen av ett av Turlas mest kraftfulla och spridda skadeprogram, Snake, och under andra halvan av året har gruppens aktivitet varit mycket lägre.
Rapportförfattarna konstaterar också att nivån på de ryska cyberhoten under året varit lägre än förväntat, framför allt har hotaktiviteten varit mindre sofistikerad:
”Rysk aktivitet överlag speglar inte hela bredden av destruktiva cyberförmågor vi sett Ryssland använda tidigare mot Ukraina och NATO-länderna. Anledningen till det har diskuterats, och är sannolikt en följd av gemensamma ansträngningar från cybersäkerhetsindustrin, den amerikanska regeringen, internationella partners och Ukrainas eget fokus på att skydda sin befolkning.”
Cisco är ett av de många företag som aktivt stöttar Ukrainas cyberförsvar. Under 2023 har företaget bland annat lett ett initiativ för att skydda landets elsystem från gps-störningar genom specialanpassade nätversksswitchar. Cisco är också en av grundarna av samarbetsprojektet Network Resilience Coalition, där flera ledande teknikföretag och operatörer gemensamt utvecklar lösningar för att öka motståndskraften för nätverksinfrastruktur.
