Cyberangriffe durch Geheimdienste - Cyberattacks by intelligence agencies

Geheimdienste und Cyberkriminelle, die verdeckt in deren Auftrag handeln, führen Angriffe auf andere Staaten durch. Ziel ist es, zu spionieren, Falschinformationen zu streuen sowie materiellen und finanziellen Schaden anzurichten, erklärt Nick Biasini, Global Lead at Cisco Talos Outreach.	Intelligence agencies and cybercriminals acting covertly on their behalf are carrying out attacks on other nations. The goal is to spy, spread false information, and cause material and financial damage, explains Nick Biasini, Global Lead at Cisco Talos Outreach.
Im Zeichen des Cyberkriegs Russlands gegen die Ukraine werden die Geheimdienste vieler Nationen aggressiver. In den letzten Monaten erweitern sie ihre Cyberoperationen zunehmend auch auf Desinformation, Destabilisierung staatlicher Strukturen oder den Diebstahl von Know-how. „Einige Staaten halten aktuell nach kostenminimalen Möglichkeiten Ausschau, die eigene Wirtschaft durch Cyberoperationen zu unterstützen“, so Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Solche Operationen sind teils billig und haben, selbst wenn sie entdeckt werden, selten politische Auswirkungen. Solange Cyberoperationen für den Bruchteil der Kosten staatlicher Entwicklungsprogramme verfügbar sind, lohnen sie sich. APT-Gruppen werden diesen „Wert“ ihrer Angriffe zunehmend in Mittelpunkt stellen.“ Hier die Analyse von Nick Biasini, Global Lead at Cisco Talos Outreach: In den letzten Jahrzehnten hat sich die Art und Weise, wie staatlich geförderte Angriffe durchgeführt werden, grundlegend verändert. Angefangen bei der traditionellen Spionage mit Angriffen wie Moonlight Maze und Project Gunman bis hin zum Diebstahl von geistigem Eigentum und Angriffen auf Dissidenten mit Angriffen wie Operation Aurora. Jetzt werden zunehmend destruktive oder destabilisierende Angriffe durchgeführt, wie wir in der Ukraine und im Nahen Osten gesehen haben, wobei sich die Informationskriegsführung als eines der wichtigsten Schlachtfelder erweist. Zu beachten ist, dass die Spionage nie aus der Landschaft verschwunden ist. Sie ist eine konstante und bedeutende Kraft, die das staatlich geförderte Hacken vorantreibt, und wird es immer sein. Der Krieg in der Ukraine und die damit verbundenen Angriffe waren im Jahr 2022 eine der einzigartigsten Landschaften, die wir im Cyberspace je gesehen haben. Interessanterweise wurde der Krieg auf unterschiedliche Weise von anderen staatlich gesponserten Gruppen genutzt, nicht nur von solchen, die aus Russland stammen. Wie wir im vergangenen Jahr feststellten, starteten Gruppen wie Mustang Panda bösartige Kampagnen, die mit Dokumenten über den Krieg in der Ukraine lockten. Das zeigt, dass dieser Krieg weitreichende Auswirkungen auf die Bedrohungslandschaft hat, weit über das eigentliche Kriegsgebiet hinaus. Der Krieg lieferte uns eine der ersten realen Demonstrationen dafür, welche Rolle Cyber-Aktivitäten in der kinetischen Kriegsführung spielen würden. Leider wird die Antwort von Zweifeln getrübt, ob sie eine überraschend kleine Rolle spielten oder ob die Russen die Fähigkeiten und das Durchhaltevermögen der ukrainischen Bevölkerung unterschätzten und das volle Ausmaß der Cyberfähigkeiten vernachlässigten. Die Frage ist nun: Wohin bewegen sich die staatlich geförderten Angriffe in Zukunft? Der Rückzug aus der Globalisierung wird die Landschaft verändern und die Art und Weise, wie Nationalstaaten im Cyberspace agieren, verändern. In dem Maße, wie Länder dazu übergehen, intern zu produzieren und zu bauen, werden sich auch ihre Angriffsziele entsprechend ändern. Anstatt nur zu Spionagezwecken anzugreifen, werden wirtschaftliche Überlegungen eine wichtige Rolle spielen. Zum ersten Mal werden wir sehen, wie Nationalstaaten Cyberangriffe einsetzen werden, wenn sie mit der wirtschaftlichen Belastung dieser Abkehr von der Globalisierung in Verbindung mit einer hohen Inflation und Zinssätzen konfrontiert sind, wie wir sie seit Jahrzehnten nicht mehr gesehen haben. Diebstahl von geistigem Eigentum Die Abkehr von der Globalisierung nach der Pandemie könnte in den kommenden Monaten und Jahren eine neue Ära des Diebstahls von geistigem Eigentum aus dem Internet einleiten. Die Pandemie hat die Welt in vielerlei Hinsicht verändert, aber vor allem könnte sie das Ende des jahrzehntelangen Marsches in Richtung Globalisierung einläuten. Länder auf der ganzen Welt wurden mit Engpässen in der Lieferkette und der Erkenntnis konfrontiert, dass Just-in-Time-Versand (JIT) nur funktioniert, wenn die Zulieferer verfügbar sind, und der Versuch, Arbeitsplätze in die USA zurückzuholen, hat bereits begonnen. Ob Apple ankündigt, die Chipfertigung in den USA aufzunehmen, oder ob der CHIPS Act in den USA verabschiedet wird, der Hunderte von Milliarden Dollar in die Halbleiterforschung fließen lässt – sowohl Unternehmen als auch Nationalstaaten überdenken die Fertigung. Diese Verlagerung wird viele nachgelagerte Auswirkungen haben, aber die größten Auswirkungen werden in den Ländern zu spüren sein, in denen die Fertigung das BIP dominiert. Dies wird auch dazu führen, dass mehr autokratische Staaten eigene Versionen von Produkten und Technologien entwickeln. Die Entwicklung dieser neuen Fähigkeiten ist kein einfacher Prozess und erfordert in der Regel beträchtliche Investitionen in Forschung und Entwicklung, um die technologischen Durchbrüche zu erzielen, die für bestimmte Fertigungsverfahren erforderlich sind. Es gibt jedoch noch einen anderen Weg für die Länder, die ihn beschreiten wollen: Diebstahl. Genauer gesagt: Cyberdiebstahl von geistigem Eigentum. Dieses Verhalten ist nicht neu, denn bereits 2012 sagte General Keith Alexander, Cyberdiebstahl sei der „größte Vermögenstransfer in der Geschichte“, doch seitdem hat sich die Aktivität etwas abgekühlt. China und die USA haben sich darauf geeinigt, ihre Offensivoperationen einzuschränken, und es gab schon seit geraumer Zeit nicht mehr so viele hochkarätige Einbrüche bei Rüstungsunternehmen und anderen hochwertigen Zielen. Das Spielfeld für staatlich gesponserte Akteure hat sich erheblich vergrößert. Was früher von einer Handvoll gut ausgestatteter Länder dominiert wurde, wird nun von immer mehr Nationen mit offensiven Fähigkeiten zur Unterstützung ihrer Missionen genutzt. Es ist daher wahrscheinlich, dass andere Länder einen ähnlichen Weg einschlagen werden. Die Geschichte hat gezeigt, dass der schnellste Weg, um auf den neuesten Stand zu kommen, darin besteht, geistiges Eigentum zu stehlen, anstatt es selbst zu entwickeln. Es ist auch denkbar, dass sich kriminelle Organisationen zunehmend für das geistige Eigentum ihrer Opfer von Lösegeldzahlungen und Erpressungen interessieren, da diese Daten für einen Nationalstaat, der versucht, kritischen Boden in der Technologie oder Produktion gutzumachen, ein Vielfaches der Lösegeldforderung wert sein könnten. Zerstörerische Angriffe werden zunehmen In den letzten zehn Jahren haben staatlich geförderte Akteure verstärkt auf destruktive Angriffe zurückgegriffen. In der Vergangenheit wurden sie weitgehend mit russischen Aggressionen in Verbindung gebracht: NotPetya, OlympicDestroyer, WhisperGate, CaddyWiper, usw. Es gibt jedoch auch Beispiele dafür, dass andere Gruppen destruktive Angriffe starten, insbesondere gegen Saudi Aramco und andere mit Shamoon verbundene Ziele. Der Einsatz von destruktiver Malware wird in den kommenden Monaten und Jahren noch zunehmen. Diese Akteure haben gelernt, dass Wipers ein wirksames Mittel sind, um eine Region zu destabilisieren oder lebenswichtige Dienste zu beeinträchtigen. Am deutlichsten zeigte sich dies beim Angriff auf die Colonial Pipeline, bei dem ein Ransomware-Angriff auf die Unternehmenssysteme des Unternehmens dazu führte, dass die Pipelines gestoppt wurden. Dieser Angriff hat gezeigt, dass Staaten kritische Infrastrukturen nicht direkt angreifen müssen, um sie zu stören. Für diese Akteure gibt es kaum einen Grund, kritische Infrastrukturen zu meiden, da auf Angriffe aus dem Cyberspace bisher kaum oder gar nicht reagiert wurde. Kritische Infrastrukturen waren schon immer eine rote Linie, wenn auch eine, die bereits mehrfach überschritten wurde. Russland hat das ukrainische Stromnetz mehrfach angegriffen, was zu einem Ausfall der Stromversorgung und in einigen Fällen zu Stromausfällen führte. Ich würde jedoch behaupten, dass alle Angriffe Russlands mit dem Krieg gegen die Ukraine in Verbindung gebracht werden können, einem Krieg, der 2014 mit dem Einmarsch Russlands auf der Krim begann. Betrachtet man den Konflikt in seiner jetzigen Form, so scheint es, dass in regionalen Kriegen kinetische Angriffe auf kritische Infrastrukturen weitaus effizienter sind, da Bomben einen nachhaltigeren Schaden anrichten können. Bei Gegnern, die über größere Entfernungen angreifen, ist dies möglicherweise nicht der Fall, da kinetische Angriffe kostspieliger und schwieriger sind. Der einzige Grund für den Einsatz ausschließlich digitaler Angriffe wäre der Wunsch, die Anlagen funktionsfähig zu halten, obwohl es keine Garantie dafür gibt, dass ein Cyberangriff nicht zerstörerisch sein könnte, wie Stuxnet gezeigt hat. Heute suchen staatlich geförderte Akteure nach Möglichkeiten, kritische Infrastrukturen zu stören, ohne sie direkt anzugreifen, da sie Vergeltungsmaßnahmen fürchten. Der Angriff auf das Energieunternehmen Colonial Pipeline hat ihnen das nötige Handwerkszeug geliefert, und höchstwahrscheinlich wird sich dies wiederholen. Die einzige Möglichkeit zu verhindern, dass kritische Infrastrukturen zur Zielscheibe werden, besteht darin, Einsatzregeln für den Cyberspace aufzustellen, was in absehbarer Zeit wohl kaum geschehen wird, es sei denn, es kommt zu einem katastrophalen Cyber-Ereignis. Der Grund dafür ist, dass die großen Akteure nicht bereit sind, ihre eigenen Fähigkeiten für Kriegszeiten aufzugeben, zumindest noch nicht. Kritische Infrastrukturen sind nicht der einzige Bereich, in dem diese Gruppen versuchen, ihre Gegner zu destabilisieren. Das Informationsschlachtfeld hat sich seit den Tagen der Flugblattabwürfe und Fälschungen nur vergrößert. Mit dem Aufkommen der sozialen Medien können Informationen auf mächtige und unerwartete Weise genutzt werden. Fake News Informationen verbreiten sich heute unvorstellbar schnell. Virale Nachrichten verbreiten sich wie ein Lauffeuer über den gesamten Globus und haben ihn innerhalb weniger Stunden um ein Vielfaches überquert. Die Frage ist: Woher wissen wir, dass sie wahr sind? Die Grenze zwischen Wahrheit und Lüge wurde von gewählten und nicht gewählten Politikern in der ganzen Welt wiederholt verwischt. Dadurch wurde eine Gelegenheit für staatlich geförderte Gruppen geschaffen, dies als Keil zu nutzen und Falschinformationen (Fake News) zu verbreiten. Wir haben es bei den US-Wahlen 2016 gesehen, wir haben es wieder beim Hacking der französischen Wahlen gesehen und wir haben es unzählige Male in der COVID-Ära gesehen. Fehlinformationen und Desinformationen sind heute mächtige Werkzeuge, die eingesetzt werden können, um Veränderungen in einem Ausmaß zu bewirken, von dem man früher dachte, dass es physische Beteiligung erfordert, und diejenigen, die in der Lage sind, sie zu missbrauchen, haben das bemerkt. Einer der interessanten Aspekte der sozialen Medien ist, dass die Erfahrungen jedes Nutzers weitgehend einzigartig sind. Das bedeutet, dass sie auf Aspekten des eigenen Lebens basiert, z. B. auf dem Wohnort, dem Beruf und dem sozialen Umfeld. Dies bietet Möglichkeiten für gezielte Fehlinformationen und Desinformationen, um bestimmte Gruppen zu treffen. Wir haben dies bereits bei der Wahlbeeinflussung gesehen, wo Dinge auf bestimmte Demografien oder Gruppen ausgerichtet waren. Für die meisten Nationalstaaten ist dies ein unglaublich attraktiver Weg, da er leicht durchzuführen, relativ billig und leicht zu leugnen ist. Im schlimmsten Fall werden sie entlarvt, stellen die aktuelle Kampagne ein und gründen neue Unternehmen oder Organisationen, um die nächste Kampagne zu starten, bewaffnet mit den Lehren aus den vorherigen Misserfolgen. Die Aktivitäten der Nationalstaaten in den sozialen Medien enden kaum mit Fehlinformationen und Desinformationen. Mobile Spionageprogramme werden Bürger ins Visier nehmen In den letzten fünf Jahren hat sich der Markt für mobile Spionageprogramme explosionsartig entwickelt. Die NSO Group ist die bekannteste, aber es gibt auch neue Start-ups, die den Markt überschwemmen und alle das gleiche Maß an Zero-Day-Support und wiederholbarem In-Memory-Zugriff versprechen. Diese Tools werden als das ultimative Spionagewerkzeug vermarktet, um Kriminelle und Terroristen rund um den Globus aufzuspüren, doch werden sie häufig gegen Dissidenten, Aktivisten und Journalisten eingesetzt. Heutzutage befindet sich das Leben eines jeden Menschen auf seinen Geräten, von E-Mails über Dokumente bis hin zu privaten Mitteilungen. Es ist alles da, und wenn man Millionen von Dollar ausgeben kann, ist es leicht zugänglich. Die Wahrheit ist: Wenn jemand Ihre Informationen für wertvoll genug hält, kann er sie bekommen, er muss nur bereit sein, das Geld dafür auszugeben. Für die meisten von uns bedeutet das, dass wir in Sicherheit sind. Leider sind die Risiken für die wenigen, die sich dazu entschließen, die Machthaber herauszufordern oder ihnen dabei zu helfen, ziemlich hoch. Um es klar zu sagen: Das ist nichts, was eine durchschnittliche Person oder sogar ein Unternehmen kaufen könnte, aber für Geheimdienstapparate rund um den Globus ist es nur allzu leicht zu erreichen. In vielen Ländern auf der ganzen Welt gibt es Vorschriften und Schutzmaßnahmen, um häuslichen Missbrauch oder eine Übervorteilung der Zielpersonen zu verhindern. Das Problem ist, dass es viele Länder gibt, die Zugang zu den üblichen Regeln haben und bereit sind, diese zu umgehen. Die Regierungen beginnen, gegen diese mobilen Spionageprogramme vorzugehen, aber für jedes Unternehmen, das sie ausschalten, wird ein anderes auftauchen. Es gibt keine einfachen Lösungen für die kleine Minderheit von Menschen, die ins Visier dieser Spionageprogramme geraten, aber die Technologieunternehmen beginnen, sich damit zu befassen. Rückzug aus der Globalisierung In der Zeit nach der Pandemie zieht sich die Welt von der Globalisierung zurück. Die Zinssätze explodieren, und die Kreditaufnahme ist sehr viel teurer geworden. Staatlich geförderte Gruppen werden unter Druck geraten, genau wie wir alle. Cyberoperationen sind sowohl finanziell als auch politisch billig. Man muss nur selten Stiefel auf den Boden stellen und kann den Angriff von der anderen Seite des Planeten aus starten, ohne dass auch nur ein einziges physisches Objekt Gefahr läuft, entdeckt zu werden. Außerdem sind Cyber-Kampagnen viel leichter zu leugnen und haben selten politische Auswirkungen. Das Bedürfnis, knappe Ressourcen für Spionageaktivitäten aufzuwenden, wird immer bestehen, aber wenn eine Behörde fünf oder sechs Cyberoperationen für jede Nicht-Cyber-Kampagne durchführen kann, dann liegt der Wert im Cyberbereich. Die Maximierung des Wertes wird immer wichtiger, da die Budgets weltweit gekürzt werden, um den gestiegenen Kosten der Kreditaufnahme entgegenzuwirken. Darüber hinaus dürfte die Abkehr von der Globalisierung die Zahl der nichtstaatlichen Ziele für staatlich gesponserte Gruppen in Zukunft erhöhen.	In the wake of Russia’s cyberwar against Ukraine, many nations‘ intelligence agencies are becoming more aggressive. In recent months, they are increasingly expanding their cyber operations to include disinformation, destabilization of state structures or the theft of expertise. „Some states are currently looking for minimum-cost ways to support their own economies through cyber operations,“ said Holger Unterbrink, technical leader for Cisco Talos in Germany. „Such operations are sometimes cheap and, even if detected, rarely have political repercussions. As long as cyber operations are available for a fraction of the cost of government development programs, they are worthwhile. APT groups will increasingly focus on this „value“ of their attacks.“ Here’s the analysis from Nick Biasini, Global Lead at Cisco Talos Outreach: As we begin 2023 I wanted to take some time and look at the state sponsored threat landscape. Over the last few decades we’ve seen seismic shifts in how state sponsored actors attack, starting with traditional espionage with attacks like Moonlight Maze and Project Gunman and evolving into more intellectual property theft and dissident targeting with attacks like Operation Aurora. Now activity is moving into increasingly destructive or destabilizing attacks we’ve seen used in both Ukraine and the Middle East with information warfare emerging as one of the key battlefields. One thing to note is espionage never left the landscape. It is a constant and significant force driving state sponsored hacking and always will be. Throughout 2022 we faced one of the more unique landscapes that we have seen in cyberspace due to the ongoing war in Ukraine and associated attacks. Interestingly we saw the war leveraged in different ways by other state sponsored groups, not just those originating from Russia. As we discovered this past year, groups like Mustang Panda were launching malicious campaigns with documents related to the Ukrainian war as a lure. Demonstrating how this war is having far reaching impacts on the threat landscape, far beyond the actual war zone. The war provided us with one of the first real life demonstrations of how much of a role cyber activities would play in kinetic warfare. Unfortunately, the answer is clouded by doubt of whether it played a surprisingly small role or if the Russians underestimated the capabilities and perseverance of Ukrainian people, neglecting the full scope of cyber capabilities. The question now is: where do state sponsored attacks move in the future? The retreat from globalization is going to shift the landscape and change the ways nation states are operating in cyberspace. As countries move to manufacture and build internally, their targeting will change accordingly. Instead of just attacking for espionage purposes, economic considerations will play a significant role. For the first time we will see how nation states will leverage cyber when facing the economic strain of this move away from globalization coupled with high inflation and interest rates that we haven’t seen in decades. Retreat from globalization could usher in another era of IP theft The post pandemic push against globalization could drive a new era in cyber-based intellectual property theft in the months and years ahead. The pandemic has changed the world in a staggering number of ways, but most crucially it could precipitate the end to the decades long march to globalization. Countries around the world were met with supply chain bottlenecks and the realization that just-in-time (JIT) shipping only works when your suppliers are available, and the push to bring jobs back stateside has already begun. Whether it’s Apple announcing chip manufacturing will begin in the United States or the CHIPS act being passed in the United States pushing hundreds of billions of dollars into semiconductor research, both enterprises and nation states are revisiting manufacturing. This shift will have many downstream impacts, but the largest impacts will be felt in those countries where manufacturing dominates their GDP. This is also going to result in more autocratic nations spinning up domestic versions of products and technologies. Developing these new capabilities isn’t a simple process and typically requires significant investment into research and development to achieve the technological breakthroughs required for some manufacturing. However, there is another avenue for those nations willing to take it –theft. More specifically cyber theft of intellectual property. This isn’t a new behavior, in fact back in 2012 General Keith Alexander famously said, cyber theft was the „greatest transfer of wealth in history“ but since then the activity has cooled slightly. China and the US agreed to scale back their offensive operations and we haven’t had a barrage of high profile breaches at defense contractors and other high value targets in some time. The playing field has grown considerably for state-sponsored actors. What used to be dominated by a handful of well-resourced countries is now seeing more nations turn to offensive capabilities to support their missions. As such the likelihood that other countries take a similar path seems likely. History has shown that the fastest way to come up to speed is to steal the intellectual property instead of developing it yourself. It’s also plausible that you could start to see criminal organizations take increasing interest in the intellectual property of their ransom and extortion victims as that data could be worth many times the ransom demand to a nation state trying to make up critical ground in technology or manufacturing. Destructive attacks will increase as the retreat from globalization hastens Over the last decade state-sponsored actors have increased their use of destructive attacks. They have historically been largely associated with Russian aggression: NotPetya, OlympicDestroyer, WhisperGate, CaddyWiper, etc. However, we have seen examples of other groups launching destructive attacks, most notably against Saudi Aramco and other Shamoon-associated targets. The use of destructive malware is poised to increase in the months and years ahead. These actors have learned that wipers are an effective means to destabilize a region or impact vital services. This was demonstrated most clearly in the Colonial Pipeline attack where a ransomware attack against its enterprise systems resulted in pipelines being stopped. This attack demonstrated how nations don’t need to attack critical infrastructure directly to disrupt it. There is little reason for these actors to avoid critical infrastructure as, to this point, cyberspace based aggression has seen little or no response. Critical infrastructure has always been a red line, albeit one that’s already been crossed several times. Russia has attacked Ukraine’s power system multiple times, resulting in a loss of service and in some cases black outs. However, I’d argue that all of Russia’s attacks could be associated with the war against Ukraine, a war that started in 2014 with Russia’s invasion of Crimea. Looking at the conflict as it stands now, it appears that, in regional wars, kinetic attacks against critical infrastructure seem far more efficient with bombs being able to inflict more lasting damage. This may not be the case for more long distance opponents where kinetic attacks are more costly and difficult. The only reason to use exclusively digital attacks would be the desire to keep the facilities functioning, although there is no guarantee that a cyber attack couldn’t be destructive, as demonstrated by Stuxnet. Today state-sponsored actors are looking for ways to disrupt critical infrastructure without attacking it directly, for fear of reprisal. The colonial pipeline attack gave them the playbook they needed and in all likelihood we’ll see it play out again. The only way to prevent critical infrastructure from being a target is to establish rules of engagement for cyberspace which is unlikely to happen anytime soon, barring a calamitous cyber event. The reason is that the big players aren’t willing to give up their own capabilities for times of war, at least not yet. Critical infrastructure isn’t the only place where these groups attempt to destabilize their adversaries. The information battlefield has only grown from the days of pamphlet drops and forgeries. With the advent of social media, information can be used in powerful and unexpected ways. Weaponized information will continue to play an outsized role in state sponsored activities Information moves impossibly fast today. Viral news spreads like wildfire across the globe and in a matter of hours has traversed it many times over. The issue is, how do we know it’s true? The line between true and false has been blurred repeatedly by leaders both elected and otherwise around the world. As such an opportunity has been created for state-sponsored groups to leverage this as a wedge. We’ve seen it in the US elections in 2016, we saw it again in the French election-related hacking, and we saw it countless times in the COVID era. Misinformation and disinformation are now powerful tools that can be wielded to effect change on a scale previously thought to require physical involvement, and those with the capacity to abuse it have noticed. One of the interesting aspects of social media is that each user’s experience is largely unique to them. Meaning that it’s based on aspects of your life, for instance your location, profession, and social circle. This provides avenues for targeted misinformation and disinformation to hit specific groups. We’ve already seen this done in the election interference where things were targeted at certain demographics or groups. For most nation states this is an incredibly attractive avenue as it’s easy to conduct, relatively cheap, and easy to plausibly deny. Worst case scenario they get exposed, fold up the current campaign and spin up new companies or organizations to start the next one armed with the lessons learned from the previous failures. The activities on social media for nation states hardly ends with misinformation and disinformation. Targeting of citizens will continue as mobile spyware market grows The last five years has seen an explosion in the mobile spyware market. NSO Group is the most well known but there are new startups flooding the market, all promising the same level of zero-day support and repeatable in-memory access. These tools are marketed as the ultimate spy tool to expose criminals and terrorists around the globe but it is often being found used against dissidents, activists, and journalists. Today everyone’s life exists on their devices from email to documents to private communications. It’s all right there and if you have millions of dollars to spend it’s easily accessible. The truth is that if someone deems your information valuable enough, they can get it, they just have to be willing to spend the money to accomplish it. For most of us that means we’re in the clear. Unfortunately, the risks are quite high for the few that choose to challenge those in positions of power or aid those in doing so. To be clear this isn’t something an average person or even company would be able to purchase, but for intelligence apparatuses around the globe it’s all too easy to achieve. In many countries around the world there are rules and protections in place to prevent domestic abuse or targeting overreach. The problem is that there are lots of countries with access and willingness to skirt the typical rules of engagement. Governments are starting to take action against these mobile spyware companies, but for every company they knock down another one will rise up. There are no easy solutions for the small minority of people that fall into this targeting, but technology companies are beginning to work on it. Retreat from globalization likely increases state-sponsored activity The world is shifting away from globalization in the post pandemic era. Interest rates are exploding and borrowing just got a lot more expensive. State-sponsored groups are going to be squeezed just as we all are. Cyber operations are cheap both financially and politically. Rarely do you need to put boots on the ground and you can launch the attack from the other side of the planet without a single physical asset at risk of being discovered. Additionally, cyber campaigns carry a much higher level of deniability and rarely have political repercussions. The appetite to expend scarce resources in espionage activities will always exist, but if an agency can conduct five or six cyber operations for every non-cyber campaign, then the value is in cyber. Maximizing value will be increasingly important as budgets around the world tighten to counter the increased cost of borrowing. Additionally, the push away from globalization likely increased the non-governmental targets for state-sponsored groups going forward.

Geheimdienste und Cyberkriminelle, die verdeckt in deren Auftrag handeln, führen Angriffe auf andere Staaten durch. Ziel ist es, zu spionieren, Falschinformationen zu streuen sowie materiellen und finanziellen Schaden anzurichten, erklärt Nick Biasini, Global Lead at Cisco Talos Outreach.

Intelligence agencies and cybercriminals acting covertly on their behalf are carrying out attacks on other nations. The goal is to spy, spread false information, and cause material and financial damage, explains Nick Biasini, Global Lead at Cisco Talos Outreach.

Im Zeichen des Cyberkriegs Russlands gegen die Ukraine werden die Geheimdienste vieler Nationen aggressiver. In den letzten Monaten erweitern sie ihre Cyberoperationen zunehmend auch auf Desinformation, Destabilisierung staatlicher Strukturen oder den Diebstahl von Know-how.

„Einige Staaten halten aktuell nach kostenminimalen Möglichkeiten Ausschau, die eigene Wirtschaft durch Cyberoperationen zu unterstützen“, so Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Solche Operationen sind teils billig und haben, selbst wenn sie entdeckt werden, selten politische Auswirkungen. Solange Cyberoperationen für den Bruchteil der Kosten staatlicher Entwicklungsprogramme verfügbar sind, lohnen sie sich. APT-Gruppen werden diesen „Wert“ ihrer Angriffe zunehmend in Mittelpunkt stellen.“

Hier die Analyse von Nick Biasini, Global Lead at Cisco Talos Outreach: In den letzten Jahrzehnten hat sich die Art und Weise, wie staatlich geförderte Angriffe durchgeführt werden, grundlegend verändert. Angefangen bei der traditionellen Spionage mit Angriffen wie Moonlight Maze und Project Gunman bis hin zum Diebstahl von geistigem Eigentum und Angriffen auf Dissidenten mit Angriffen wie Operation Aurora.

Jetzt werden zunehmend destruktive oder destabilisierende Angriffe durchgeführt, wie wir in der Ukraine und im Nahen Osten gesehen haben, wobei sich die Informationskriegsführung als eines der wichtigsten Schlachtfelder erweist. Zu beachten ist, dass die Spionage nie aus der Landschaft verschwunden ist. Sie ist eine konstante und bedeutende Kraft, die das staatlich geförderte Hacken vorantreibt, und wird es immer sein.

Der Krieg in der Ukraine und die damit verbundenen Angriffe waren im Jahr 2022 eine der einzigartigsten Landschaften, die wir im Cyberspace je gesehen haben. Interessanterweise wurde der Krieg auf unterschiedliche Weise von anderen staatlich gesponserten Gruppen genutzt, nicht nur von solchen, die aus Russland stammen.

Wie wir im vergangenen Jahr feststellten, starteten Gruppen wie Mustang Panda bösartige Kampagnen, die mit Dokumenten über den Krieg in der Ukraine lockten. Das zeigt, dass dieser Krieg weitreichende Auswirkungen auf die Bedrohungslandschaft hat, weit über das eigentliche Kriegsgebiet hinaus.

Der Krieg lieferte uns eine der ersten realen Demonstrationen dafür, welche Rolle Cyber-Aktivitäten in der kinetischen Kriegsführung spielen würden. Leider wird die Antwort von Zweifeln getrübt, ob sie eine überraschend kleine Rolle spielten oder ob die Russen die Fähigkeiten und das Durchhaltevermögen der ukrainischen Bevölkerung unterschätzten und das volle Ausmaß der Cyberfähigkeiten vernachlässigten. Die Frage ist nun: Wohin bewegen sich die staatlich geförderten Angriffe in Zukunft? Der Rückzug aus der Globalisierung wird die Landschaft verändern und die Art und Weise, wie Nationalstaaten im Cyberspace agieren, verändern.

In dem Maße, wie Länder dazu übergehen, intern zu produzieren und zu bauen, werden sich auch ihre Angriffsziele entsprechend ändern. Anstatt nur zu Spionagezwecken anzugreifen, werden wirtschaftliche Überlegungen eine wichtige Rolle spielen. Zum ersten Mal werden wir sehen, wie Nationalstaaten Cyberangriffe einsetzen werden, wenn sie mit der wirtschaftlichen Belastung dieser Abkehr von der Globalisierung in Verbindung mit einer hohen Inflation und Zinssätzen konfrontiert sind, wie wir sie seit Jahrzehnten nicht mehr gesehen haben.

Diebstahl von geistigem Eigentum

Die Abkehr von der Globalisierung nach der Pandemie könnte in den kommenden Monaten und Jahren eine neue Ära des Diebstahls von geistigem Eigentum aus dem Internet einleiten. Die Pandemie hat die Welt in vielerlei Hinsicht verändert, aber vor allem könnte sie das Ende des jahrzehntelangen Marsches in Richtung Globalisierung einläuten.

Länder auf der ganzen Welt wurden mit Engpässen in der Lieferkette und der Erkenntnis konfrontiert, dass Just-in-Time-Versand (JIT) nur funktioniert, wenn die Zulieferer verfügbar sind, und der Versuch, Arbeitsplätze in die USA zurückzuholen, hat bereits begonnen. Ob Apple ankündigt, die Chipfertigung in den USA aufzunehmen, oder ob der CHIPS Act in den USA verabschiedet wird, der Hunderte von Milliarden Dollar in die Halbleiterforschung fließen lässt – sowohl Unternehmen als auch Nationalstaaten überdenken die Fertigung.

Diese Verlagerung wird viele nachgelagerte Auswirkungen haben, aber die größten Auswirkungen werden in den Ländern zu spüren sein, in denen die Fertigung das BIP dominiert. Dies wird auch dazu führen, dass mehr autokratische Staaten eigene Versionen von Produkten und Technologien entwickeln. Die Entwicklung dieser neuen Fähigkeiten ist kein einfacher Prozess und erfordert in der Regel beträchtliche Investitionen in Forschung und Entwicklung, um die technologischen Durchbrüche zu erzielen, die für bestimmte Fertigungsverfahren erforderlich sind.

Es gibt jedoch noch einen anderen Weg für die Länder, die ihn beschreiten wollen: Diebstahl. Genauer gesagt: Cyberdiebstahl von geistigem Eigentum. Dieses Verhalten ist nicht neu, denn bereits 2012 sagte General Keith Alexander, Cyberdiebstahl sei der „größte Vermögenstransfer in der Geschichte“, doch seitdem hat sich die Aktivität etwas abgekühlt. China und die USA haben sich darauf geeinigt, ihre Offensivoperationen einzuschränken, und es gab schon seit geraumer Zeit nicht mehr so viele hochkarätige Einbrüche bei Rüstungsunternehmen und anderen hochwertigen Zielen.

Das Spielfeld für staatlich gesponserte Akteure hat sich erheblich vergrößert. Was früher von einer Handvoll gut ausgestatteter Länder dominiert wurde, wird nun von immer mehr Nationen mit offensiven Fähigkeiten zur Unterstützung ihrer Missionen genutzt. Es ist daher wahrscheinlich, dass andere Länder einen ähnlichen Weg einschlagen werden.

Die Geschichte hat gezeigt, dass der schnellste Weg, um auf den neuesten Stand zu kommen, darin besteht, geistiges Eigentum zu stehlen, anstatt es selbst zu entwickeln. Es ist auch denkbar, dass sich kriminelle Organisationen zunehmend für das geistige Eigentum ihrer Opfer von Lösegeldzahlungen und Erpressungen interessieren, da diese Daten für einen Nationalstaat, der versucht, kritischen Boden in der Technologie oder Produktion gutzumachen, ein Vielfaches der Lösegeldforderung wert sein könnten.

Zerstörerische Angriffe werden zunehmen

In den letzten zehn Jahren haben staatlich geförderte Akteure verstärkt auf destruktive Angriffe zurückgegriffen. In der Vergangenheit wurden sie weitgehend mit russischen Aggressionen in Verbindung gebracht: NotPetya, OlympicDestroyer, WhisperGate, CaddyWiper, usw. Es gibt jedoch auch Beispiele dafür, dass andere Gruppen destruktive Angriffe starten, insbesondere gegen Saudi Aramco und andere mit Shamoon verbundene Ziele.

Der Einsatz von destruktiver Malware wird in den kommenden Monaten und Jahren noch zunehmen. Diese Akteure haben gelernt, dass Wipers ein wirksames Mittel sind, um eine Region zu destabilisieren oder lebenswichtige Dienste zu beeinträchtigen. Am deutlichsten zeigte sich dies beim Angriff auf die Colonial Pipeline, bei dem ein Ransomware-Angriff auf die Unternehmenssysteme des Unternehmens dazu führte, dass die Pipelines gestoppt wurden. Dieser Angriff hat gezeigt, dass Staaten kritische Infrastrukturen nicht direkt angreifen müssen, um sie zu stören. Für diese Akteure gibt es kaum einen Grund, kritische Infrastrukturen zu meiden, da auf Angriffe aus dem Cyberspace bisher kaum oder gar nicht reagiert wurde.

Kritische Infrastrukturen waren schon immer eine rote Linie, wenn auch eine, die bereits mehrfach überschritten wurde. Russland hat das ukrainische Stromnetz mehrfach angegriffen, was zu einem Ausfall der Stromversorgung und in einigen Fällen zu Stromausfällen führte. Ich würde jedoch behaupten, dass alle Angriffe Russlands mit dem Krieg gegen die Ukraine in Verbindung gebracht werden können, einem Krieg, der 2014 mit dem Einmarsch Russlands auf der Krim begann. Betrachtet man den Konflikt in seiner jetzigen Form, so scheint es, dass in regionalen Kriegen kinetische Angriffe auf kritische Infrastrukturen weitaus effizienter sind, da Bomben einen nachhaltigeren Schaden anrichten können.

Bei Gegnern, die über größere Entfernungen angreifen, ist dies möglicherweise nicht der Fall, da kinetische Angriffe kostspieliger und schwieriger sind. Der einzige Grund für den Einsatz ausschließlich digitaler Angriffe wäre der Wunsch, die Anlagen funktionsfähig zu halten, obwohl es keine Garantie dafür gibt, dass ein Cyberangriff nicht zerstörerisch sein könnte, wie Stuxnet gezeigt hat.

Heute suchen staatlich geförderte Akteure nach Möglichkeiten, kritische Infrastrukturen zu stören, ohne sie direkt anzugreifen, da sie Vergeltungsmaßnahmen fürchten. Der Angriff auf das Energieunternehmen Colonial Pipeline hat ihnen das nötige Handwerkszeug geliefert, und höchstwahrscheinlich wird sich dies wiederholen. Die einzige Möglichkeit zu verhindern, dass kritische Infrastrukturen zur Zielscheibe werden, besteht darin, Einsatzregeln für den Cyberspace aufzustellen, was in absehbarer Zeit wohl kaum geschehen wird, es sei denn, es kommt zu einem katastrophalen Cyber-Ereignis.

Der Grund dafür ist, dass die großen Akteure nicht bereit sind, ihre eigenen Fähigkeiten für Kriegszeiten aufzugeben, zumindest noch nicht. Kritische Infrastrukturen sind nicht der einzige Bereich, in dem diese Gruppen versuchen, ihre Gegner zu destabilisieren. Das Informationsschlachtfeld hat sich seit den Tagen der Flugblattabwürfe und Fälschungen nur vergrößert. Mit dem Aufkommen der sozialen Medien können Informationen auf mächtige und unerwartete Weise genutzt werden.

Fake News

Informationen verbreiten sich heute unvorstellbar schnell. Virale Nachrichten verbreiten sich wie ein Lauffeuer über den gesamten Globus und haben ihn innerhalb weniger Stunden um ein Vielfaches überquert. Die Frage ist: Woher wissen wir, dass sie wahr sind? Die Grenze zwischen Wahrheit und Lüge wurde von gewählten und nicht gewählten Politikern in der ganzen Welt wiederholt verwischt.

Dadurch wurde eine Gelegenheit für staatlich geförderte Gruppen geschaffen, dies als Keil zu nutzen und Falschinformationen (Fake News) zu verbreiten. Wir haben es bei den US-Wahlen 2016 gesehen, wir haben es wieder beim Hacking der französischen Wahlen gesehen und wir haben es unzählige Male in der COVID-Ära gesehen. Fehlinformationen und Desinformationen sind heute mächtige Werkzeuge, die eingesetzt werden können, um Veränderungen in einem Ausmaß zu bewirken, von dem man früher dachte, dass es physische Beteiligung erfordert, und diejenigen, die in der Lage sind, sie zu missbrauchen, haben das bemerkt.

Einer der interessanten Aspekte der sozialen Medien ist, dass die Erfahrungen jedes Nutzers weitgehend einzigartig sind. Das bedeutet, dass sie auf Aspekten des eigenen Lebens basiert, z. B. auf dem Wohnort, dem Beruf und dem sozialen Umfeld. Dies bietet Möglichkeiten für gezielte Fehlinformationen und Desinformationen, um bestimmte Gruppen zu treffen. Wir haben dies bereits bei der Wahlbeeinflussung gesehen, wo Dinge auf bestimmte Demografien oder Gruppen ausgerichtet waren.

Für die meisten Nationalstaaten ist dies ein unglaublich attraktiver Weg, da er leicht durchzuführen, relativ billig und leicht zu leugnen ist. Im schlimmsten Fall werden sie entlarvt, stellen die aktuelle Kampagne ein und gründen neue Unternehmen oder Organisationen, um die nächste Kampagne zu starten, bewaffnet mit den Lehren aus den vorherigen Misserfolgen. Die Aktivitäten der Nationalstaaten in den sozialen Medien enden kaum mit Fehlinformationen und Desinformationen.

Mobile Spionageprogramme werden Bürger ins Visier nehmen

In den letzten fünf Jahren hat sich der Markt für mobile Spionageprogramme explosionsartig entwickelt. Die NSO Group ist die bekannteste, aber es gibt auch neue Start-ups, die den Markt überschwemmen und alle das gleiche Maß an Zero-Day-Support und wiederholbarem In-Memory-Zugriff versprechen.

Diese Tools werden als das ultimative Spionagewerkzeug vermarktet, um Kriminelle und Terroristen rund um den Globus aufzuspüren, doch werden sie häufig gegen Dissidenten, Aktivisten und Journalisten eingesetzt. Heutzutage befindet sich das Leben eines jeden Menschen auf seinen Geräten, von E-Mails über Dokumente bis hin zu privaten Mitteilungen. Es ist alles da, und wenn man Millionen von Dollar ausgeben kann, ist es leicht zugänglich.

Die Wahrheit ist: Wenn jemand Ihre Informationen für wertvoll genug hält, kann er sie bekommen, er muss nur bereit sein, das Geld dafür auszugeben. Für die meisten von uns bedeutet das, dass wir in Sicherheit sind. Leider sind die Risiken für die wenigen, die sich dazu entschließen, die Machthaber herauszufordern oder ihnen dabei zu helfen, ziemlich hoch. Um es klar zu sagen: Das ist nichts, was eine durchschnittliche Person oder sogar ein Unternehmen kaufen könnte, aber für Geheimdienstapparate rund um den Globus ist es nur allzu leicht zu erreichen.

In vielen Ländern auf der ganzen Welt gibt es Vorschriften und Schutzmaßnahmen, um häuslichen Missbrauch oder eine Übervorteilung der Zielpersonen zu verhindern. Das Problem ist, dass es viele Länder gibt, die Zugang zu den üblichen Regeln haben und bereit sind, diese zu umgehen.

Die Regierungen beginnen, gegen diese mobilen Spionageprogramme vorzugehen, aber für jedes Unternehmen, das sie ausschalten, wird ein anderes auftauchen. Es gibt keine einfachen Lösungen für die kleine Minderheit von Menschen, die ins Visier dieser Spionageprogramme geraten, aber die Technologieunternehmen beginnen, sich damit zu befassen.

Rückzug aus der Globalisierung

In der Zeit nach der Pandemie zieht sich die Welt von der Globalisierung zurück. Die Zinssätze explodieren, und die Kreditaufnahme ist sehr viel teurer geworden. Staatlich geförderte Gruppen werden unter Druck geraten, genau wie wir alle.

Cyberoperationen sind sowohl finanziell als auch politisch billig. Man muss nur selten Stiefel auf den Boden stellen und kann den Angriff von der anderen Seite des Planeten aus starten, ohne dass auch nur ein einziges physisches Objekt Gefahr läuft, entdeckt zu werden. Außerdem sind Cyber-Kampagnen viel leichter zu leugnen und haben selten politische Auswirkungen.

Das Bedürfnis, knappe Ressourcen für Spionageaktivitäten aufzuwenden, wird immer bestehen, aber wenn eine Behörde fünf oder sechs Cyberoperationen für jede Nicht-Cyber-Kampagne durchführen kann, dann liegt der Wert im Cyberbereich. Die Maximierung des Wertes wird immer wichtiger, da die Budgets weltweit gekürzt werden, um den gestiegenen Kosten der Kreditaufnahme entgegenzuwirken. Darüber hinaus dürfte die Abkehr von der Globalisierung die Zahl der nichtstaatlichen Ziele für staatlich gesponserte Gruppen in Zukunft erhöhen.

In the wake of Russia’s cyberwar against Ukraine, many nations‘ intelligence agencies are becoming more aggressive. In recent months, they are increasingly expanding their cyber operations to include disinformation, destabilization of state structures or the theft of expertise.

„Some states are currently looking for minimum-cost ways to support their own economies through cyber operations,“ said Holger Unterbrink, technical leader for Cisco Talos in Germany. „Such operations are sometimes cheap and, even if detected, rarely have political repercussions. As long as cyber operations are available for a fraction of the cost of government development programs, they are worthwhile. APT groups will increasingly focus on this „value“ of their attacks.“

Here’s the analysis from Nick Biasini, Global Lead at Cisco Talos Outreach: As we begin 2023 I wanted to take some time and look at the state sponsored threat landscape. Over the last few decades we’ve seen seismic shifts in how state sponsored actors attack, starting with traditional espionage with attacks like Moonlight Maze and Project Gunman and evolving into more intellectual property theft and dissident targeting with attacks like Operation Aurora. Now activity is moving into increasingly destructive or destabilizing attacks we’ve seen used in both Ukraine and the Middle East with information warfare emerging as one of the key battlefields. One thing to note is espionage never left the landscape. It is a constant and significant force driving state sponsored hacking and always will be.

Throughout 2022 we faced one of the more unique landscapes that we have seen in cyberspace due to the ongoing war in Ukraine and associated attacks. Interestingly we saw the war leveraged in different ways by other state sponsored groups, not just those originating from Russia. As we discovered this past year, groups like Mustang Panda were launching malicious campaigns with documents related to the Ukrainian war as a lure. Demonstrating how this war is having far reaching impacts on the threat landscape, far beyond the actual war zone.

The war provided us with one of the first real life demonstrations of how much of a role cyber activities would play in kinetic warfare. Unfortunately, the answer is clouded by doubt of whether it played a surprisingly small role or if the Russians underestimated the capabilities and perseverance of Ukrainian people, neglecting the full scope of cyber capabilities. The question now is: where do state sponsored attacks move in the future? The retreat from globalization is going to shift the landscape and change the ways nation states are operating in cyberspace. As countries move to manufacture and build internally, their targeting will change accordingly. Instead of just attacking for espionage purposes, economic considerations will play a significant role. For the first time we will see how nation states will leverage cyber when facing the economic strain of this move away from globalization coupled with high inflation and interest rates that we haven’t seen in decades.

Retreat from globalization could usher in another era of IP theft

The post pandemic push against globalization could drive a new era in cyber-based intellectual property theft in the months and years ahead. The pandemic has changed the world in a staggering number of ways, but most crucially it could precipitate the end to the decades long march to globalization. Countries around the world were met with supply chain bottlenecks and the realization that just-in-time (JIT) shipping only works when your suppliers are available, and the push to bring jobs back stateside has already begun. Whether it’s Apple announcing chip manufacturing will begin in the United States or the CHIPS act being passed in the United States pushing hundreds of billions of dollars into semiconductor research, both enterprises and nation states are revisiting manufacturing.

This shift will have many downstream impacts, but the largest impacts will be felt in those countries where manufacturing dominates their GDP. This is also going to result in more autocratic nations spinning up domestic versions of products and technologies. Developing these new capabilities isn’t a simple process and typically requires significant investment into research and development to achieve the technological breakthroughs required for some manufacturing.

However, there is another avenue for those nations willing to take it –theft. More specifically cyber theft of intellectual property. This isn’t a new behavior, in fact back in 2012 General Keith Alexander famously said, cyber theft was the „greatest transfer of wealth in history“ but since then the activity has cooled slightly. China and the US agreed to scale back their offensive operations and we haven’t had a barrage of high profile breaches at defense contractors and other high value targets in some time.

The playing field has grown considerably for state-sponsored actors. What used to be dominated by a handful of well-resourced countries is now seeing more nations turn to offensive capabilities to support their missions. As such the likelihood that other countries take a similar path seems likely. History has shown that the fastest way to come up to speed is to steal the intellectual property instead of developing it yourself. It’s also plausible that you could start to see criminal organizations take increasing interest in the intellectual property of their ransom and extortion victims as that data could be worth many times the ransom demand to a nation state trying to make up critical ground in technology or manufacturing.

Destructive attacks will increase as the retreat from globalization hastens

Over the last decade state-sponsored actors have increased their use of destructive attacks. They have historically been largely associated with Russian aggression: NotPetya, OlympicDestroyer, WhisperGate, CaddyWiper, etc. However, we have seen examples of other groups launching destructive attacks, most notably against Saudi Aramco and other Shamoon-associated targets. The use of destructive malware is poised to increase in the months and years ahead. These actors have learned that wipers are an effective means to destabilize a region or impact vital services. This was demonstrated most clearly in the Colonial Pipeline attack where a ransomware attack against its enterprise systems resulted in pipelines being stopped. This attack demonstrated how nations don’t need to attack critical infrastructure directly to disrupt it. There is little reason for these actors to avoid critical infrastructure as, to this point, cyberspace based aggression has seen little or no response.

Critical infrastructure has always been a red line, albeit one that’s already been crossed several times. Russia has attacked Ukraine’s power system multiple times, resulting in a loss of service and in some cases black outs. However, I’d argue that all of Russia’s attacks could be associated with the war against Ukraine, a war that started in 2014 with Russia’s invasion of Crimea. Looking at the conflict as it stands now, it appears that, in regional wars, kinetic attacks against critical infrastructure seem far more efficient with bombs being able to inflict more lasting damage. This may not be the case for more long distance opponents where kinetic attacks are more costly and difficult. The only reason to use exclusively digital attacks would be the desire to keep the facilities functioning, although there is no guarantee that a cyber attack couldn’t be destructive, as demonstrated by Stuxnet.

Today state-sponsored actors are looking for ways to disrupt critical infrastructure without attacking it directly, for fear of reprisal. The colonial pipeline attack gave them the playbook they needed and in all likelihood we’ll see it play out again. The only way to prevent critical infrastructure from being a target is to establish rules of engagement for cyberspace which is unlikely to happen anytime soon, barring a calamitous cyber event. The reason is that the big players aren’t willing to give up their own capabilities for times of war, at least not yet. Critical infrastructure isn’t the only place where these groups attempt to destabilize their adversaries. The information battlefield has only grown from the days of pamphlet drops and forgeries. With the advent of social media, information can be used in powerful and unexpected ways.

Weaponized information will continue to play an outsized role in state sponsored activities

Information moves impossibly fast today. Viral news spreads like wildfire across the globe and in a matter of hours has traversed it many times over. The issue is, how do we know it’s true? The line between true and false has been blurred repeatedly by leaders both elected and otherwise around the world. As such an opportunity has been created for state-sponsored groups to leverage this as a wedge. We’ve seen it in the US elections in 2016, we saw it again in the French election-related hacking, and we saw it countless times in the COVID era. Misinformation and disinformation are now powerful tools that can be wielded to effect change on a scale previously thought to require physical involvement, and those with the capacity to abuse it have noticed.

One of the interesting aspects of social media is that each user’s experience is largely unique to them. Meaning that it’s based on aspects of your life, for instance your location, profession, and social circle. This provides avenues for targeted misinformation and disinformation to hit specific groups. We’ve already seen this done in the election interference where things were targeted at certain demographics or groups.

For most nation states this is an incredibly attractive avenue as it’s easy to conduct, relatively cheap, and easy to plausibly deny. Worst case scenario they get exposed, fold up the current campaign and spin up new companies or organizations to start the next one armed with the lessons learned from the previous failures. The activities on social media for nation states hardly ends with misinformation and disinformation.

Targeting of citizens will continue as mobile spyware market grows

The last five years has seen an explosion in the mobile spyware market. NSO Group is the most well known but there are new startups flooding the market, all promising the same level of zero-day support and repeatable in-memory access. These tools are marketed as the ultimate spy tool to expose criminals and terrorists around the globe but it is often being found used against dissidents, activists, and journalists. Today everyone’s life exists on their devices from email to documents to private communications. It’s all right there and if you have millions of dollars to spend it’s easily accessible. The truth is that if someone deems your information valuable enough, they can get it, they just have to be willing to spend the money to accomplish it. For most of us that means we’re in the clear. Unfortunately, the risks are quite high for the few that choose to challenge those in positions of power or aid those in doing so. To be clear this isn’t something an average person or even company would be able to purchase, but for intelligence apparatuses around the globe it’s all too easy to achieve.

In many countries around the world there are rules and protections in place to prevent domestic abuse or targeting overreach. The problem is that there are lots of countries with access and willingness to skirt the typical rules of engagement. Governments are starting to take action against these mobile spyware companies, but for every company they knock down another one will rise up. There are no easy solutions for the small minority of people that fall into this targeting, but technology companies are beginning to work on it.

Retreat from globalization likely increases state-sponsored activity

The world is shifting away from globalization in the post pandemic era. Interest rates are exploding and borrowing just got a lot more expensive. State-sponsored groups are going to be squeezed just as we all are. Cyber operations are cheap both financially and politically. Rarely do you need to put boots on the ground and you can launch the attack from the other side of the planet without a single physical asset at risk of being discovered. Additionally, cyber campaigns carry a much higher level of deniability and rarely have political repercussions. The appetite to expend scarce resources in espionage activities will always exist, but if an agency can conduct five or six cyber operations for every non-cyber campaign, then the value is in cyber. Maximizing value will be increasingly important as budgets around the world tighten to counter the increased cost of borrowing. Additionally, the push away from globalization likely increased the non-governmental targets for state-sponsored groups going forward.

Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.

Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.

Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Cyberangriffe durch Geheimdienste – Cyberattacks by intelligence agencies

VonJakob Jung

Von Jakob Jung

Ähnliche Beiträge

CTERA öffnet Honigtopf – CTERA opens honeypot

WithSecure enttarnt russische Malware – WithSecure uncovers Russian malware

Betrug kostet Geld – Fraud costs money

Schreibe einen Kommentar Antworten abbrechen

Versäumt

QStar Technologies bringt Global ArchiveSpace – QStar Technologies Introduces Global ArchiveSpace

CTERA stellt Data Intelligence Plattform vor – CTERA Introduces Data Intelligence Platform

DACH Channel optimistisch – DACH channel optimistic

Kyocera ehrt Office360 – Kyocera honors Office360