Bijna zestig procent van alle statelijke cyberaanvallen vinden plaats vanaf Russische bodem. De effectiviteit van deze aanvallen is in een jaar tijd gestegen van 21 naar 32 procent. Zo blijkt uit het tweede Microsoft Digital Defense Report.
De rapportage bestrijkt het interval van juli 2020 tot en met juni 2021. De Russen richten zich steeds vaker op overheidsinstanties voor het verzamelen van inlichtingen. Deze doelwitten stegen van drie procent een jaar geleden naar 53 procent; grotendeels instanties die betrokken zijn bij buitenlands beleid, nationale veiligheid of defensie. De top drie van landen die het doelwit waren van de Russische overheid zijn de VS, Oekraïne en het VK.
Rusland is niet de enige nationale speler die zijn aanpak aanpast, en spionage is dit jaar niet het enige doel van aanvallen door nationale staten.
Spionage
Na Rusland kwamen de meeste aanvallen uit Noord-Korea, Iran en China; Zuid-Korea, Turkije (een nieuwkomer in de rapportage) en Vietnam waren ook actief, maar met een kleiner volume.
Hoewel spionage het meest voorkomende doel is van aanvallen door natiestaten, blijkt uit de activiteiten van sommige aanvallers dat zij ook andere doelen nastreven. Zo verviervoudigde Iran in het afgelopen jaar zijn aandacht voor Israël en lanceerde het tal van destructieve aanvallen als gevolg van de verhoogde spanningen tussen beide landen. Noord-Korea, waarvan de economie werd gedecimeerd door sancties en Covid-19, concentreerde zich op cryptocurrency-bedrijven om zoek naar financieel gewin.
Een vijfde van de aanvallen uit verschillende landen was gericht op consumenten. Aan de andere kant waren organisaties het doelwit, waarbij de overheid (48%), ngo’s en denktanks (31%), onderwijs (3%), intergouvernementele organisaties (3%), it (2%), energie (1%) en media (1%) de meest getroffen sectoren waren.
Hoewel China niet uniek is in zijn doelstelling om informatie te verzamelen, is het opvallend dat verschillende Chinese actoren gebruik hebben gemaakt van een reeks voorheen onbekende kwetsbaarheden. Er is veel publiciteit geweest over Hafnium-aanvallen op on-premises Exchange Servers, maar naast de zero-day-kwetsbaarheid die bij die aanvallen werd gebruikt, heeft Microsoft eerder dit jaar een Pulse Secure VPN zero-day en een SolarWinds zero-day ontdekt en gemeld, die beide door Chinese actoren werden misbruikt.
Ransomware
Tom Burt, Corporate Vice President, Customer Security & Trust bij Microsoft schrijft in zijn blog over het onderzoek dat ransomware nog steeds een van de grootste bedreigingen is en dat deze vorm van cybercriminaliteit het afgelopen jaar verder is geëvolueerd om nog ontwrichtender te worden. “ In plaats van zich te richten op geautomatiseerde aanvallen die afhankelijk zijn van volume en gemakkelijk te betalen lage eisen om winst te genereren, maakt door mensen bediende ransomware gebruik van online verzamelde informatie, het stelen en bestuderen van financiële en verzekeringsdocumenten van een slachtoffer en het onderzoeken van gecompromitteerde netwerken om doelwitten te selecteren en veel hogere eisen voor het losgeld te stellen”, stelt Burt.
Hoopgevend
Volgens Burt zijn er drie hoopgevende trends die het cybercriminelen lastiger maken. Als eerste noemt de Amerikaanse regering die ongekende stappen heeft ondernomen om cyberbeveiliging aan te pakken met gebruikmaking van reeds bestaande wetten en bevoegdheden.
Ten tweede voeren overheden over de hele wereld nieuwe wetten in en nemen ze nieuwe wetten aan die bijvoorbeeld verplichte melding voorschrijven wanneer organisaties cyberaanvallen ontdekken, zodat de bevoegde overheidsinstanties de omvang van het probleem kunnen inschatten en incidenten met hun middelen kunnen onderzoeken.
Ten derde treden zowel overheden als bedrijven vrijwillig naar buiten wanneer zij het slachtoffer zijn van aanvallen. “ Deze transparantie helpt iedereen het probleem beter te begrijpen en maakt een grotere betrokkenheid van de overheid en de eerstehulpverleners mogelijk’, aldus Burt.
Microsoft verwacht dat meer landen zich gaan bezighouden met offensieve cyberoperaties, en dat die operaties brutaler, hardnekkiger en schadelijker zullen worden, tenzij er ernstiger gevolgen zijn. ‘De markt voor cybercriminaliteit zal steeds geraffineerder en gespecialiseerder worden, tenzij wij allen ons werk om ze te stoppen verder ontwikkelen. Er wordt meer dan ooit gewerkt om deze problemen aan te pakken, maar we zullen ervoor moeten zorgen dat ze de komende jaren boven aan de nationale en internationale agenda blijven staan.’
Een Amerikaans bedrijf meldt dat “de russen” de meeste cyber-aanvallen doen.
MS zou zich beter bezig houden met de gaten in hun produkten.
Eenvoudige vraag hoe stellen die vast dat het “russische hacker” waren?
Misschien moet de welp uit Oostenrijk eerst lezen voordat hij gaat piepen over een Amerikaanse bedrijf want de link naar het rapport is gegeven en daarin staat het antwoord op zijn vraag. Naar mijn mening/opinie zijn betere vragen:
1. Wat heeft Europa aan de Amerikaanse maatregelen?
2. Wat doet Europa zelf op het gebied van maatregelen?
We hebben tenslotte nog weleens de neiging om achterover te leunen in de hoop dat Amerikaanse bedrijven de problemen oplossen, geen Amerikanen geen veiligheid maakt ons kwetsbaar.
Inderdaad lezen. Kritisch lezen. Het artikel staat vol met aannames.
Je bedoelt EU, dat is niet Europa. Europa heeft meer als 2 x zo veel inwoners als de EU.
De manier waarop je een discussie voert getuigt niet van nivo.
Kritisch lezen van wat Jan? De semantiek tussen Europa en de EU is hetzelfde als het artikel en het rapport, ik wijs expliciet op laatste als onderbouwing van het artikel als antwoord op je vraag. Het is hierin ‘RTFM’ want artikel is een zeer summiere samenvatting van het rapport waardoor je tendentieuze reactie m.i. tekort doet aan wat er door een Amerikaans bedrijf wordt waargenomen. Ik stel de vraag over Europa (of voor mijn part de EU) omdat we dezelfde veiligheidsprincipes hebben als met de NAVO, als het geld (of moeite) kost dan laten we het graag aan de Amerikanen over.
Je waardeoordeel over de manier waarop ik een discussie voer is m.i. vooral kritiek op je eigen competenties want alleen een artikel lezen en er verder niet over nadenken is dezelfde gemakszucht als niet de handleiding lezen. Wat betreft het kritisch lezen is het handig om het achterliggende rapport te lezen want Nederlandse AIVD maakt ook melding van statelijke actoren en geeft aan dat verschillende waarneming wijst op het gebruik van de Nederlandse infrastructuur hierin. Zo wordt gewezen op de huur van een server in één van de Nederlandse multi-tenant datacentra als uitvalsbasis omdat onze digitale delta zeer goede connecties heeft tegen lage kosten.
Dan formuleer ik het wat simpeler, zo dat je het begrijpen kan.
Het rapport is een 134 pagina’s lange PDF, daarvan heb ik de relevante hoofdstukken gelezen.
Hoe eenvoudig het is om in internet valse sporen te leggen wat betreft de plaats van waar je een aanval doet zou jou toch bekend moeten zijn als je je als “expert” presenteert.
De manier waarop je EU en Europa verhaspelt toont jouw gebrek aan begrip, of weet je niet dat een groot deel van Rusland bij Europa hoort?
Dat de EU betreffend het veiligheidsbeleid overlappingen heeft met de NAVO is waar, maar het zijn zeker niet “dezelfde veiligheidsprincipes” dat ervaart ook Stoltenberg regelmatig.
Een ander verwijten dat deze “niet nadenkt” is uit jouw pen bijna een kompliment wanneer het niet zo een triest beeld geeft van de persoonlijkheid die die pen hanteert.
@Jan, op de bal spelen, niet op de man.
@Robert
leg dat Ewout uit.
MS wijst primair naar statelijke actoren en niet naar hackers die vanuit een zolderkamer werken. Dat past niet alleen bij de omvang, maar ook bij het feit dat ransomeware hacks, DDoS aanvallen, e.d. zelden plaats vinden in landen waar volgens MS de meeste hackers zouden zitten. Ook valt het op dat datadiefstal vaak wordt gepleegd met behulp van trojans die zowel bij gehackte overheidsinstellingen als bij bedrijven wordt gevonden. Ook dit wijst naar statelijke actoren, al weet je bij niet zeker of er sprake is van onbedoelde bijvangst. Ransomeware opbrengsten bij bedrijven kunnen bovendien onderdeel zijn van de operatie, omdat ze geld opleveren voor de dure omvangrijke inlichtingenoperaties. Verder valt het op dat landen waar bepaalde groepen veel schade toebrengen, juist een slechte relatie hebben met het land waar volgens MS deze groepen vandaan komen. Dit wijst ook weer op statelijke actoren, want gewone criminelen gaan voor het geld.
Regeringen willen niet zo veel vertellen over wat ze weten. Als publiek moeten we het hebben van grote private partijen, zoals MS, die door cyber crime zelf ook heel veel schade lijden. MS geeft aan hoe zij meten, analyseren en classificeren, maar geven daarbij geen details weg om cyber criminals niet wijzer te maken. Volgens MS zouden meer dan 60 % van de aanvallen uit de Russische Federatie afkomstig zijn. De Russische Federatie (met 2% van de wereldbevolking) zou dan exorbitant veel cyber criminelen huizen. Ik weet niet of dat zo is, maar het zou best kunnen. Het is onaannemelijk dat MS vanwege de politiek van de USA vooral naar Rusland wijst als het thuisland van de meeste aanvallen door statelijke actoren. De USA heeft al lange tijd veel meer problemen met de volksrepublieken China en Noord-Korea en met Iran. De wijze van communicatie van de bekendste ransomeware groepen doet mij ook denken aan het melancholische Rusland. Verder lijkt de tactiek bij de grootschalige brutale ransomeware aanvallen veel op die van de Russisch militaire inlichtingendienst GROe. Heeft Rusland de mensen die hacken? De IT-opleidingen in Rusland behoren al decennia tot de beste van de wereld, maar er is geen Silicon Valley om in te werken, offshoring komt niet van de grond zoals in India. Je moet toch wat als je talent hebt. Dan kan je als IT-er een kapersbrief krijgen om illegaal werk te (blijven) doen, in een kantoor met gratis koffie. De niet-militaire Russische inlichtingendiensten zijn ook niet de minste en goed voorwerk maakt cyber aanvallen een stuk effectiever. Dit kan verklaren waarom sommige Russische hackers vooral met hagel schieten en anderen meer gericht.
Dus wellicht verdient Rusland inderdaad (het nieuwe) goud, gaat het zilver naar Noord-Korea en gaat het brons naar runner up Iran. En nu maar afwachten wanneer het beloftenteam vanuit de Volksrepubliek China bovenaan komt te staan. Natuurlijk wordt er door vrijwel alle landen met de benodigde middelen hacks voor militaire en politieke (contra)spionage gepleegd, maar dan gaat men meestal discreet te werk.
Het rapport is zeer lezenswaardig en geeft ook inzicht in de geo- en binnenlandse politiek van bepaalde landen. MS geeft ook aan welke kant het op gaat met cyber crime en cyber warfare en wat men op verschillende niveaus er aan doet en kan doen.
Ja Robert, leg me eens uit wat je bedoeld met op de bal spelen want naar mijn optiek deed ik een reglementaire onderschepping door de bal op het veld te houden terwijl Jan probeerde deze uit te schieten met het op voorhand diskwalificeren van een rapport. Ik deed de tackle op mijn gebruikelijke wijze omdat we de amusementswaarde van dit platform hoog moeten houden maar Oostenrijkers zijn halve Duitsers en Duitsers maken geen grappen dus is de humor Jan ontgaan. Helaas zijn hem ook vragen ontgaan en bleef hij proberen de bal buiten de lijnen te schieten door wel op de geografie van Europa te wijzen maar niet op een politieke tweedeling naar de nog altijd aanwezige Oost-West verhouding. Op dit moment heb ik alleen nog maar een wat en wie (de conclusie van Jaap over too many chiefs and not enough indians is zeker waar met de drang naar oosten voor goedkope arbeid maar levert dus ook direct weer een probleem op met de loyaliteit) antwoord op de vragen maar niet een waarom want de verschillende statelijke actoren hebben verschillende interesses als het om spionage gaat, de Amerikaanse bondgenoot wordt niet genoemd in het rapport maar is zeker ook één van de statelijke actoren op het Europese speelveld als het om politieke en economische beïnvloeding gaat. De vraag van Jan wordt beantwoord in het rapport waarna eigenlijk de vraag zou moeten volgen over hoeveel meer kunnen ze nog zien?
Uiteindelijk komen we daarmee op de klassieke vraag van: “Who watches the watchmen?” oftewel Q…. want een neutraal en wereldomvattend netwerk heeft zijn nadelen, een continentale of nationale segmentering ervan lijkt me niet onredelijk gezien de gevaren. Sommigen geloven in het “Wir sind alle Brüder” maar wat betreft de sloten op de deur geloof ik uiteindelijk toch wat meer in een mein en dijn, de kapersbrief in de bedot.com economie gaat niet alleen om spionage door statelijke actoren want inderdaad wil Microsoft ook alles van je weten om je zo behulpzaam te kunnen zijn bij je volgende aankoop. Dat is vriendelijk maar niet vriendschappelijk om met de Nederlandse taal te spelen want alleen oude communisten geven elkaar komplimenten 😉
Alweer, Ewout, bewijs je mijn punt over jouw manier van discusseren. Triest.