Nettspionasje utgjør en stadig økende trussel mot privatpersoner, virksomheter og myndigheter. Å tilegne seg kunnskap om dette fenomenet er essensielt for å kunne forsvare seg mot cyberetterretning.
Etter hvert som den digitale verden utvikler seg, øker også omfanget av cyberkriminalitet. Nettspionasje fremstår som en av de mest alvorlige formene for datakriminalitet, hvor ingen kan føle seg helt trygge fra ondsinnede aktører.
Nettspionasje begrenser seg ikke bare til organisasjoner. Også enkeltindivider som benytter internett er utsatt. Det er derfor viktig å være forberedt, da personlige data raskt kan havne til salgs på det mørke nettet.
Hva er nettspionasje?
Nettspionasje defineres som en type cyberkriminalitet der hackere på en umerkelig måte skaffer seg tilgang til digitale systemer som kontinuerlig er tilkoblet internett.
Ved hjelp av skjulte taktikker stjeler ondsinnede aktører ofte personlige og profesjonelle data som kan generere inntekter på det mørke nettet, gi konkurransefortrinn overfor forretningsrivaler, eller skade omdømmet til politiske motstandere.
Dette fenomenet opererer under ulike navn, som cyberspionasje, cyberetterretning, cyberavlytting og mer. Fellesnevneren er likevel målet om å tilegne seg hemmelige eller private data fra et selskap eller en enkeltperson.
Slike data selges deretter til konkurrenter, brukes til å stjele penger eller verdier, eller til å destabilisere myndigheter, militære styrker og andre institusjoner.
Målet med slike cyberangrep er å operere i det skjulte så lenge som mulig, og å kamuflere aktivitetene dine eller organisasjonens transaksjoner på internett. Når tiden er inne, eller et verdifullt aktiva har blitt identifisert, stjeles dette og overføres til nettspionasjeteamets datahvelv.
Eksperter innen deteksjon, forebygging og forskning på cyberkriminalitet refererer ofte til slike hackingangrep som avanserte vedvarende trusler (APT-er).
Som navnet antyder, får hackergrupper med avanserte algoritmer og elektroniske overvåkingssystemer uoppdaget tilgang til myndigheter, virksomheter og enkeltpersoners enheter i lengre perioder. Når den rette tiden kommer, angriper de med det formål å forårsake en eller flere av følgende hendelser:
- Forstyrre kommunikasjons- og forsyningsvirksomhet i et område eller en region.
- Stenge ned forretningsdrift og produksjonsenheter, og ødelegge maskineri.
- Deaktivere bankkontoer, kredittkort, debetkort og lignende for å skape økonomisk vanskelighet.
- Overføre penger uoppdaget fra bedrifts- eller personlige kontoer.
Forskjellen mellom cyberspionasje og cyberkrigføring
Både nettspionasje og cyberkrigføring er forbrytelser som involverer mennesker via internett og datamaskiner. Likevel finnes det distinkte forskjeller mellom disse:
- Nettspionasje kan være rettet mot et enkelt individ, en bestemt organisasjon, en regjering eller et helt land. Cyberkrigføring, derimot, er alltid rettet mot et helt land.
- Cyberspionasje kan være motivert av personlig, forretningsmessig eller statlig rivalisering. Cyberkrigføring, derimot, er alltid drevet av konflikt mellom to eller flere land.
- Nettspionasje kan være sponset av enkeltpersoner til myndighetsnivå. Cyberkrigføring er som oftest sponset av en rivaliserende regjering mot en annen nasjon.
- Cyberspionasje er snikende og vanskelig å oppdage. Cyberkrigføring er derimot høylytt og har som mål å ødelegge målrettede nasjoners infrastruktur, som telekommunikasjon, forsvarssystemer og økonomi.
Mål for nettspionasje
#1. Enkeltindivider
Nettspioner kan sikte seg inn på enkeltpersoner som bruker internett av ulike årsaker. En vanlig årsak er personlig rivalisering, hvor hackere ansettes for å skade en persons omdømme og økonomi.
I noen tilfeller kan utenlandske stater forsøke å ramme intellektuelle i andre land, for å tilegne seg forskning eller sensitive dokumenter.
#2. Virksomheter
Nettspionasje på privat nivå er utbredt i bedrifts- og forretningsmiljøer. Konkurrenter engasjerer hackere fra det mørke nettet for å stjele konfidensiell informasjon fra andre selskaper. De mest vanlige målene er:
- Bedriftens interne informasjon, som organisasjonskart og e-postkorrespondanse fra ledelsen.
- Forretningshemmeligheter, patenter, børsnoteringsdokumenter, forretningsavtaler og anbud.
- Dokumenter, filer, multimedia og andre data om en bedrifts kundebase, priser, nye produktideer, osv.
- Markedsanalyser som er kjøpt eller utført internt.
- Laboratoriedatamaskiner og databaser som inneholder forsknings- og utviklingsdata.
- Lønnsstrukturen til et konkurrerende selskap, i et forsøk på å rekruttere nøkkelansatte.
- Avdekke politiske og sosiale tilknytninger til virksomheter.
- Tilgang til kildekoden til proprietær programvare utviklet av et konkurrerende selskap.
#3. Regjeringer
I større skala rettes nettspionasje hovedsakelig mot myndigheter. Land som USA, Storbritannia, Israel, Iran, Russland, Kina, Sør-Korea og Nord-Korea er ofte involvert i nettspionasje.
På nasjonalt nivå er de primære målene for cyberavlytting:
- Operative enheter i regjeringen, som departementer, administrasjon og rettssystemet.
- Offentlige tjenester som kraftstasjoner, gassrørledninger, atomreaktorer, satellittstasjoner, værstasjoner og trafikkontrollinfrastruktur.
- Statlige hemmeligheter som kan destabilisere landet.
- Valgprosesser.
#4. Ideelle organisasjoner (NGO-er)
Ideelle organisasjoner opererer ofte i det offentlige rom og er derfor et attraktivt mål for nettspionasjegrupper som ønsker å stjele offentlige data. Ettersom slike organisasjoner vanligvis ikke investerer like mye i cybersikkerhet, blir de et lettere mål for langsiktig datatyveri.
Eksempler på nettspionasje
SEABORGIUM
I 2022 rapporterte Microsoft at etter starten på krigen mellom Russland og Ukraina, har nettspionasjegruppen SEABORGIUM drevet spionasjekampanjer mot NATO-land. Gruppen forsøkte å stjele informasjon om forsvarsoperasjoner og mellomstatlige aktiviteter for å støtte Russland.
Titan Rain
Fra 2003 til 2007 utførte kinesiske militærhackere spionasje mot amerikanske og britiske myndigheters eiendeler, inkludert utenriksdepartementer, forsvarsdepartementer og føderale regjeringsanlegg.
GhostNet Ops
I 2009 oppdaget GhostNet-spiongruppen en sårbarhet i nettverksbaserte datamaskiner som tilhørte Dalai Lamas kontorer. De benyttet denne tilgangen til å spionere på utenlandske ambassader som kommuniserte med de infiserte maskinene. Et kanadisk forskningsteam rapporterte at GhostNet hadde infisert datamaskiner i 103 land.
COVID-19-forskning
En gruppe kinesiske hackere gjennomførte cyberspionasje mot flere spanske laboratorier som arbeidet med COVID-19-vaksiner. Gruppen benyttet et SQL-injeksjonsangrep for å trenge inn i laboratoriets database, og overførte deretter forskningsdata til gruppen via et tilpasset nett-shell.
General Electric (GE)-hendelse
Amerikanske myndigheter anklaget kinesiske selskaper som Nanjing Tianyi Avi Tech Co. Ltd., Liaoning Tianyi Aviation Technology Co. Ltd., og en kinesisk statsborger, Xiaoqing Zheng, for å ha stjålet hemmeligheter om turbinteknologi fra General Electric i USA.
Hvordan påvirker nettspionasje personvern og sikkerhet?
På grunn av nettspionasjens mangfoldige og hemmelige modus operandi, er det utfordrende å definere dens arbeidsmåte. Det kan være et multimillion-prosjekt utført av konkurrerende selskaper eller myndigheter rettet mot en enkeltperson, en liten gruppe fagfolk, eller en hel region.
Nedenfor er de mest vanlige måtene nettspionasje benyttes på for å skade personvern og datasikkerhet:
#1. Skjulte hackingtaktikker
Cyberspionasje fokuserer på å finne en sårbarhet i målsystemet for å få uautorisert tilgang, og å skjule denne aktiviteten fra den infiserte enheten.
Selv etter at angrepet er fullført, vil hackerteamet fjerne spor etter aktiviteten, helt ned på byte- og databitenivå, for å hindre at etterforskere oppdager angrepet.
For å oppnå dette bruker nettspionasjegrupper tilpasset skadelig programvare og apper som imiterer populær programvare, som bankportaler, grafiske designapper og tekstbehandlingsprogrammer. De benytter også null-dags angrepsverktøy som ikke oppdages av antivirusprogramvare.
#2. Uautorisert tilgang til personlig eller forretningsidentitet
Cyberavlytting har alltid som mål å skaffe seg snikende tilgang til datasystemer og databaser. Disse systemene inneholder ofte kritisk informasjon, som:
- Personlige identifikasjonsdokumenter, KYC-bankdokumenter og kontopassord.
- Organisasjonens forretningshemmeligheter, patenter, forsknings- og utviklingsrapporter, kommende produkter og regnskapsdata.
- Regjeringens planer for militæret, forsyningstjenester, osv.
#3. Stjeling av konfidensielle og verdifulle digitale aktiva
Nettspionasje innebærer også sakte og jevn stjeling av data fra den målrettede maskinen. Angripere kan benytte disse dataene til å oppnå kortsiktig gevinst, som å stjele penger eller stenge ned produksjonen hos en rival.
Alternativt kan det foreligge langsiktige planer, som å skade en persons omdømme, korrumpere en virksomhet, eller destabilisere en regjering.
#4. Motiverte handlinger
Grunnlaget for slike angrep er alltid sterke motiver, som:
- Konflikt mellom to individer, ofte av høy status.
- Rivalisering mellom virksomheter.
- Konflikt mellom land.
Nettspionasjegrupper benytter ovennevnte taktikker for å få tilgang til dine personlige eller profesjonelle hemmeligheter. Deretter selges dataene på det mørke nettet. Alternativt bruker gruppen selv dataene til å skade din livsstil, økonomi, eiendeler eller liv. Dette gjelder for enkeltpersoner, bedrifter og myndigheter.
Hvordan vite om du er et offer for nettspionasje
Det er nesten umulig å oppdage nettspionasje uten hjelp fra en ekspert. Her er noen trinn du bør ta for å planlegge for oppdagelse av cyberavlytting:
- Installer programvarebaserte sensorapper som oppdager uregelmessigheter i appene du bruker. Gjennomgå uregelmessighetene for å ta informerte beslutninger.
- Opprett en database med indikatorer for kompromittering (IOC) og skann arbeidsstasjonene dine mot slike indikatorer.
- Implementer en Security Information and Event Management (SIEM)-applikasjon på alle arbeidsstasjoner.
- Samle trusselrapporter fra ulike antivirusutviklere og skann systemene dine for disse truslene.
- Ansett frilans eller interne cyberspionasje-eksperter som regelmessig skanner organisasjonens datamaskiner for skadelig programvare og spionvareinfeksjoner.
- Bruk nettsteder som «Have I been pwned» for å skanne e-poster.
Hvordan forhindre nettspionasje
Implementer nulltillit-policy
Implementer en nulltillit-policy for alle bedriftsdata. Cybersikkerhetsteamet må anta at alle interne og eksterne enheter som er knyttet til virksomheten er kompromittert. Det skal være den ansattes ansvar å bevise at enheten ikke er infisert av skadelig programvare, spionprogrammer, trojanere osv.
Utdann deg selv og dine ansatte
Du og teamet ditt må delta i jevnlige sikkerhetskurs. IT-sikkerhet utvikler seg daglig, så du må holde deg oppdatert på de nyeste taktikkene for cyberavlytting.
Skap en sikkerhetskultur
I en bedrift eller statlig organisasjon må alle ansatte fremme en kultur for digital datasikkerhet. Ansatte skal ikke dele passord, bruke firmaets e-post for personlige behov, la datamaskiner være ulåste eller sette sikkerhetsoppdateringer på pause.
Begrens tilgangen
Gi minst mulig tilgang til dine bedriftsdata. Benytt sofistikerte skylagringsplattformer for å gi umiddelbar tilgang til nødvendige data, og tilbakekall tilgangen når oppgaven er utført.
Implementer multifaktorautentisering
Bruk multifaktorautentiseringsprotokoller for alle typer system- og anleggstilgang. Dette bidrar til å spore ansvarlighet og kilden til sikkerhetsbruddet.
Bytt passord ofte
Sørg for å endre passord for nettbaserte kontoer hver uke, fjortende dag eller måned. Implementer også en policy som pålegger de ansatte å overholde denne digitale sikkerhetspraksisen.
Stopp nettfisking og spam via e-post
Bruk avanserte e-postsikkerhetsprotokoller, som DKIM-poster, for å autentisere innkommende e-poster. Hvis noen innkommende e-poster ikke tillater DKIM-autentisering, plasser disse i en «sandbox» på e-postserveren din.
Om mulig, kontroller e-postene manuelt før de videresendes til ansatte, eller blokker e-poster som ikke autentiseres via DKIM-signaturer.
Gjennomgå programvarens kildekode
Før du installerer programvare, bør du ansette en programvareingeniør for å gjennomgå kildekoden grundig. Dette for å sørge for at konkurrenter ikke saboterer programvare for å skade bedriftens maskiner eller arbeidsstasjoner.
Slutt å bruke piratkopiert programvare
Piratkopiert programvare inneholder «knekkede» kildekoder som ikke krever kodevalidering under installasjon. Dette gjør dem til enkle transportmidler for skadelig programvare, spionprogrammer og trojanere. Unngå slike apper, både privat og i jobbsammenheng.
Sikkerhetskopier databaser
Du må sikkerhetskopiere bedriftens databaser i flere datasentre i forskjellige land. Dette vil hjelpe deg med å gjenopprette data fra en sikkerhetskopi i tilfelle av omfattende cyberspionasje, etterfulgt av cyberkrigføring.
Avslutning
Dyktige hackere og innsidere er alltid på jakt etter å skade offentlige organisasjoner, virksomheter og enkeltpersoner gjennom nettspionasje. Kriminelle gjør dette av grådighet eller i et forsøk på å vinne konkurransefortrinn.
For å beskytte deg selv på et personlig eller organisatorisk nivå, må du sette deg inn i grunnleggende kunnskap om nettspionasje. Du kan også bruke de ovennevnte tipsene for å være godt forberedt på fremtidige cybersikkerhetstrusler, særlig med tanke på tyveri av forretningshemmeligheter eller personopplysninger.