Avanserte og vedvarende trusselaktører i cyberspace
Det sies ofte at cyberdomenet er sårbart. Dette er sant, men samtidig noe upresist. Det er først og fremst alle datamaskiner som er sårbare. En datamaskin kan ha sårbarheter både i maskin- og programvare. Altså i de fysiske komponentene som en datamaskin består a, og i alle linjene med kode som kjører i ulike «lag» på de samme fysiske komponentene. Slik som for eksempel datamaskinens operativsystem (f.eks. Windows) og applikasjoner (f.eks. Word).
Når disse datamaskinene tilkobles den globale nettverksinfrastrukturen som vi i dag kaller internett, eksisterer det en lett tilgjengelig angrepsvei som trusselaktørene kan benytte seg av for å utnytte datamaskinens sårbarheter. Dette til forskjell fra sårbarheter i den analoge verden som en trusselaktør må oppsøke fysisk for å utnytte. Det spiller med andre ord liten rolle hvor i verden man befinner seg når man først har koblet datamaskinen til internett. Et nylig eksempel på dette har vi i sommer fått når IT-plattformen til 12 departementer ble kompromittert som følge av at en tidligere ukjent «nulldagssårbarhet», ble utnyttet. Ifølge sikkerhetsmyndigheter i USA og Norge, står en avansert og vedvarende trusselaktør (APT) bak operasjonen.1 Det er derfor grunn til å anta at denne kan knyttes til en fremmed stat.
Parallelt med det faktum at datamaskiner er sårbare, flytter vi større og større deler av samfunnet vårt, både informasjon og funksjoner, over til IT-systemer. Sensitiv informasjon om enkeltpersoner, virksomheter og statsforvaltningen lagres i databaser og viktige funksjoner slik som strømforsyning, finanssystemer og evne til krisehåndtering, avhenger av de samme IT-systemene. Dette vet trusselaktørene. Som følger øker risikoen vi eksponeres for.
Avanserte og vedvarende trusselaktører (APT’er)
I cyberdomenet opererer en rekke ulike aktører. Alt fra de mest avanserte statlige aktørene slik som den amerikanske etterretningstjenesten National Security Agency (NSA) sine «elite-hackere» i enheten Tailored Access Operations (TAO), til enkeltpersoner som benytter enklere metoder for å øke sin kunnskap og sine ferdigheter innen «hacking». Det er de førstnevnte, altså de avanserte og vedvarende aktørene, denne teksten primært vil dreie seg om. Og da i hovedsak de aktørene som vi oppfatter som en trussel. Innen cybersikkerhet omtales disse aktørene som advanced persistent threat’s. Forkortelsen som benyttes er APT.
Aktørene er avanserte fordi de besitter stor kompetanse, ferdigheter og ressurser (kapasitet), og de er vedvarende fordi de opererer kontinuerlig i cyberdomenet med forsøk på å skaffe seg urettmessig tilgang til IT-systemer. Også i Norge. Aktørene benytter et mangfold av ulike teknikker, taktikker og prosedyrer (TTP’er) for å gjennomføre sine operasjoner. Enten med hensikt å utføre etterretningsoperasjoner og cyberspionasje. Eller med hensikt å forberede manipulasjon og sabotasje på et senere tidspunkt som kan være strategisk viktig for trusselaktøren og staten som den opererer på vegne av, eller sympatiserer med. Sistnevnte har i hovedsak med intensjon å gjøre. Altså hvilke mål og IT-systemer som trusselaktøren bruker sin tid på å kompromittere og hvorfor de velger nettopp disse målene. Til forskjell fra kapasitet (evne) som i stor grad har med tekniske ferdigheter å gjøre når det gjelder cyberoperasjoner, er intensjon (vilje) i liten grad et IT-messig anliggende. Derimot blir intensjon påvirket av andre faktorer, slik som geo- og sikkerhetspolitiske forhold samt alliansetilknytning. Spesielt er dette tilfellet dersom vi snakker om de statlige aktørene.
Attribusjon av APT-grupperinger
Nettopp derfor er det viktig med tverrfaglig kompetanse bestående av både IT-personell og andre kompetanse områder, dersom man ønsker å forstå en trusselaktør og hva den søker å oppnå med sine cyberoperasjoner. Dette gjelder i særdeleshet ved attribusjon av konkrete hendelser. Altså aktiviteten som innebærer å identifisere hvem, altså hvilken aktør, som står bak en konkret operasjon. Slik som datainnbruddet mot Stortingets e-post servere i august 2020 og mars 2021. Eller kompromitteringen av IT-plattformen til de 12 departementene.
Den første hendelsen mot Stortinget, i august 2020, ble attribuert av PST til den russiske etterretningstjenesten GRU etter at etterforskningen var gjennomført.2 Den andre hendelsen mot Stortinget, i februar og mars 2021, ble derimot attribuert til Kina. Det var imidlertid ikke spesifisert hvilken kinesisk trusselaktør som Regjeringen mente stod bak cyberoperasjonen.3 Det var nemlig flere kinesiske APT-grupperinger som utnyttet de aktuelle sårbarhetene i Microsoft Exchange e-post serverne i tidsperioden da Stortinget ble utsatt for datainnbrudd i slutten av februar og begynnelsen av mars 2021. Disse grupperingene ble av forsker-gruppen ESET omtalt som LuckyMouse, Tick, Winnti Group og Calypso. 4 Det var likevel én spesielt aktiv gruppering under kallenavnet «Hafnium» som hadde utnyttet sårbarhetene helt tilbake til januar 2021. 5 Microsoft pekte spesifikt på sistnevnte når de gikk ut med et offentlig varsel den 2. mars 2021 om at de aktuelle Exchange sårbarhetene ble utnyttet, verden over. Samtidig lanserte Microsoft en sikkerhetsoppdatering for å lukke de aktuelle sårbarhetene.6
Benevningen av de ulike APT-grupperingene kan være nokså forvirrende. Hvert av selskapene som utfører deteksjon og attribusjon av cyberaktivitet og -angrep, har nemlig sine egne navnekonvensjoner. Selskaper som Microsoft, Mandiant og CrowdStrike, tre av de største cybersikkerhetsselskapene, benytter ulike navn på de samme grupperingene. Dette er fordi hvert av selskapene ofte har utviklet egne indikatorsett som de benytter for å detektere konkret trusselaktivitet i IT-systemene som er underlagt overvåkning og på bakgrunn av indikatorene, peke tilbake til en bestemt trusselaktør. For eksempel kan observasjon av IP-adresser, bruk av en bestemt type skadevare eller kommandoer skrevet på en spesifikk måte,
vise tilbake til en unik trusselaktør. Sammenstillingen av slike tekniske indikatorer kombinert med hvilke teknikker, taktikker og prosedyrer (TTP’er), altså operasjonsmønsteret til trusselaktøren og aktørens overordnede strategiske målsettinger (intensjon), dersom disse er kjent – gjør det mulig å attribuere cyberaktivitet tilbake til trusselaktøren bak aktiviteten.
Amerikanske myndigheter med FBI i spissen har gjentatte ganger utført attribusjon helt ned på enkeltperson-nivå og utstedt arrestordrer etter etterforskning av operasjonene.7 Russland eller Kina utleverer naturligvis ikke egne borgere for straffeforfølgning til USA. Spesielt ikke dersom personene har utført spionasje på vegne av egen stat. Likevel kan attribusjon ned på enkeltperson-nivå, i teorien, virke avskrekkende. Det viser den amerikanske statens evne til å ettergå trusselaktørene helt ned til det enkelte individ som utfører operasjonen. De skal ikke føle seg trygge. Selv ikke når de sitter bak en datamaskin på den andre siden av kloden. Hvorvidt attribusjonen faktisk fungerer avskrekkende, er imidlertid vanskelig å fastslå.
Samtidig er det slik at attribusjon i cyberdomenet har enkelte svakheter. For eksempel ved at én aktør utgir seg for å være en annen. Aktør A kan etterlikne aktør B’s operasjonsmønster, bruke samme skadevare eller kommandoer. Dermed kan aktør A fremstå som aktør B. Jo flere indikatorer fra det tekniske nivået og opp til det strategiske som fanges opp, desto mer presis vil attribusjonen ofte være. Samtidig opererer, som tidligere nevnt, de ulike cybersikkerhetsselskapene med ulike indikatorsett. Derfor kan det være noe mer utfordrende å være helt sikker på at f.eks. Microsoft har observert nøyaktig den samme APT-grupperingen som CrowdStrike eller Mandiant, når de avdekker trusselaktivitet. I tillegg har slike navnekonvensjoner naturligvis også et markedsføringsaspekt for private sikkerhetsselskaper. CrowdStrike omtaler for eksempel aktører de mener er tilknyttet Russland for «Bears», Iran for «Kittens» og Kina for «Pandas».8 For eksempel så har to aktive APT’er tilknyttet Russland, APT28 og APT 29, fått navnene CozyBear og FancyBear i CrowdStrikes navnekonvensjon.
Når det gjelder private cybersikkerhetsselskaper er det verdt å nevne at flere av disse har omfattende innsyn i trusselaktivitet som følge av at overvåkningsløsningene deres har stor utbredelse globalt. Dette kan gi private selskaper omfattende innsyn i trusselaktivitet og dermed også et godt grunnlag for å utarbeide trusselvurderinger. Enkelte ganger like godt, eller selv bedre enn stater. Under et foredrag på NATO’s cyberkonferanse CyCon2023, uttalte tidligere militær offiser og spesialrådgiver i FBI, Clint Watts, at han nå hadde vesentlig bedre innsyn i trusselaktivitet globalt sammenliknet med i sine tidligere jobber. Watts er for tiden direktør hos Microsoft i deres Digital Threat Analysis Centre (DTAC). Et annet aspekt som Watts vektla i sitt foredrag, var at mange av sektorene som i dag blir rammet av trusselaktørenes operasjoner befinner seg utenfor statlig sektor og myndighetsorganer. Som for eksempel være teknologifirmaer, forskningsinstitusjoner, tenketanker og NGO’er. 9
Statstilknyttede APT-aktørers cyberoperasjoner
De statlige eller stats-tilknyttede APT-aktørene fremstår også som de mest avanserte når det kommer til å gjennomføre offensive cyberoperasjoner. Enten det gjelder cyber-spionasje eller cyber-effekt operasjoner. En kort gjennomgang av offensive-cyberoperasjoner og hvordan Russland, Kina, Iran og USA benytter seg av virkemidlene, er tilgjengelig i denne anmeldelsen av boken Offensive Cyber Operations som undertegnede skrev tidligere i år.
Flere av de avanserte statlige aktørene har tilgang på ressurser, herunder både økonomi og personell, langt utover det øvrige grupper av aktører har tilgjengelig. Enten disse omtales som «hacktivister» eller «kriminelle». I tillegg har de statlige aktørene ofte en organisasjon rundt seg som setter dem i stand til å drive detaljert, langsiktig og kompleks planlegging, også når det gjelder gjennomføring av koordinerte operasjoner. Altså cyberoperasjoner som benyttes for å skape en strategisk effekt enten i en militær sammenheng eller rettet mot andre samfunnsfunksjoner. Slik som for eksempel sivil kritisk infrastruktur. Koordinerte operasjoner har militære organisasjoner naturligvis betydelig med øvelse i å utføre. For å illustrere et ytterpunkt av hva de mest avanserte statlige aktørene er i stand til å utføre, er et sitat fra Rob Joyce, tidligere direktør i den amerikanske etterretningstjenesten NSA’s avdeling for Targeted Access Operations (TAO), illustrerende: "Why are we successful? We put the time in to know [the targets] network. We put the time in to know it better than the people who designed it and the people who are securing it. And that's the bottom line."10
Joyce sitt poeng er at de ved å forstå teknologien, og i særdeleshet sårbarhetene som følger med den, helt til den minste komponenten som maskin- og programvaren består av – setter NSA’s TAO-avdeling i stand til å gjennomføre de mest komplekse offensive cyberoperasjoner. Også operasjoner som det er vanskelig å sikre seg mot, selv for de som eier systemene. Som ett eksempel på de mest avanserte cyberoperasjonene utført av amerikanske myndigheter, finner vi cyberoperasjonen hvor Stuxnet-skadevaren ble benyttet. Dette var en skreddersydd operasjon, angivelig gjennomført av USA og Israel, mot atom-anrikingsanlegget i Natanz, Iran. Hensikten var å sabotere for Irans atomprogram og utviklingen av kjernefysiske våpen.11
Russiske APT-aktører i Ukraina
Under krigen i Ukraina har russiske APT-aktører naturligvis vært aktive med sin cyberaktivitet, herunder bruk av såkalte wipers for å utføre sabotasje. Wiper-skadevare er en ondsinnet programvare som benyttes i forbindelse med cyber-effekt operasjoner, som har til hensikt å slette data i IT-systemene. Mandiant, ett av de private cybersikkerhetsselskapene som har
bistått med hendelseshåndtering i Ukraina, har inngående beskrevet hvordan den russiske etterretningstjenesten GRU opererer – og hva som ser ut til å være deres «playbook».12 Altså hvordan de går frem for å skaffe seg urettmessig tilgang til IT-systemene, hvordan de beveger seg internt i offerets nettverk – og til slutt bruker en skadevare (wiper) til å utføre sabotasje.
Operasjonene kringkastes deretter i grupper på det sosiale mediet Telegram. Interessant nok sammenfaller GRU’s destruktive operasjoner i Ukraina med Telegram-postene til kontoen «CyberArmyofRussia_Reborn». Selv om sistnevnte ifølge Mandiant hevder å være uavhengig av GRU sine operasjoner, viser tidspunktet for gjennomføring av GRU’s operasjoner og poster på Telegram, koblinger mellom de to. 13 Dette er bare ett konkret eksempel på hvordan russiske APT’er i dag benytter cyber- og informasjonsoperasjoner i kombinasjon, i forsøket på å skape både tekniske og psykologiske effekter – under en pågående militær konflikt.
I historisk sammenheng er cyberdomenet relativt nytt. De ti siste årene har flere stater bygget opp offensive kapabiliteter som kan benyttes for å utføre cyber-spionasje og cyber-effekt operasjoner. Trusselaktiviteten vil derfor med stor sannsynlighet fortsette å øke i årene som kommer.14 Det er likevel på sin plass å minne om at det eksisterer teknologiske begrensninger som gjør at tradisjonelle kinetiske militære våpensystemer fremdeles vil kunne utføre mer synlig skade sammenliknet med «cybervåpen». Frykten for et «digitalt Pearl Harbor» er nok i større grad inspirert av fiksjon enn teknologiske realiteter. Det betyr imidlertid ikke at cyberoperasjoner er ufarlige. De kan absolutt gjøre skade. Spesielt dersom de benyttes av avanserte og vedvarende trusselaktører sammen med andre virkemidler.
FOTNOTER
- CISA & NSM. (1. august, 2023). Joint Cybersecurity Advisory. Threat Actors Exploiting Ivanti EPMM Vulnerabilities. https://nsm.no/getfile.php/1313141-1690908698/NSM/Filer/Dokumenter/Rapporter/aa23-213a_joint_csa_threat_actors_exploiting_ivanti_eppm_vulnerabilities%20%281%29.pdf
- PST. (8. desember, 2020). Datainnbruddet mot Stortinget er ferdig etterforsket. https://www.pst.no/alle-artikler/pressemeldinger/datainnbruddet-mot-stortinget-er-ferdig-etterforsket/
- Regjeringen. (19. juli, 2021). Datainnbruddet i Stortingets e-post system. https://www.regjeringen.no/no/dokumentarkiv/regjeringen-solberg/aktuelt-regjeringen-solberg/ud/pressemeldinger/2021/pm_datainnbrudd/id2866410/
- Krebs, B., (8. mars, 2021). A Basic Timeline of the Exchange Mass-Hack. https://krebsonsecurity.com/2021/03/a-basic-timeline-of-the-exchange-mass-hack/
- Faou, M., Tartare, M. & Dupuy, T. (10. mars, 2021). Exchange servers under siege from at least 10 APT groups. ESET. https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
- Microsoft. (2. mars, 2021). HAFNIUM targeting Exchange Servers with 0day exploit. https://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
- Department of Justice. (19. oktober, 2020). Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace. https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and
- CrowdStrike. (31. mai, 2022). Naming Adversaries And Why It Matters To Your Security Team. https://www.crowdstrike.com/blog/naming-adversaries-and-why-it-matters-to-security-teams/
- NATOCCDCOE. (2023). Clint Watts Keynote – Partnerships for Cybersecurity. Defending Ukraine, Global challenges, Lessons for the future. YouTube. https://www.youtube.com/watch?v=aUz3c5gFqWg
- Smeets, M. (2022). No Shortcuts – Why States Struggle to Develop a Military Cyber-Force. Hurst.
- Nakashima, E. & Warrick, J. (2. juni, 2019). Stuxnet was work of U.S. and Israeli experts, officials say. The Washington Post. https://www.washingtonpost.com/world/national-security/stuxnet-was-work-of-us-and-israeli-experts-officials-say/2012/06/01/gJQAlnEy6U_story.html
- Black, D. & Roncone, G. (12. juli, 2023). The GRU’s Disruptive Playbook. Mandiant. https://www.mandiant.com/resources/blog/gru-disruptive-playbook
- Ibid.
- Smeets, M. (2022). No Shortcuts – Why States Struggle To Develop A Military Cyberforce. Hurst.
Foto: Wikimedia commons