När geopolitiska spänningar eskalerar riktas den mesta uppmärksamheten mot fysiska konflikter, ekonomiska störningar och politiska konsekvenser. Det som ofta är mindre synligt, men som redan pågår parallellt, är en kraftig ökning av cyberaktiviteten.
I den här bloggen förklarar Richard Ford, CTO på Integrity360, hur globala konflikter leder till ökade cyberrisker, varför hacktivism blir allt vanligare och vad organisationer behöver förstå för att minska sin exponering.
Hacktivism har blivit ett utmärkande drag i moderna cyberkonflikter, särskilt under perioder av geopolitisk instabilitet. Till skillnad från traditionell cyberbrottslighet är dessa grupper inte i första hand ekonomiskt motiverade. Deras mål är ideologiska.
Richard Ford förklarar:
"Termen hacktivism syftar på hackergrupper som är politiskt eller socialt motiverade, som drivs av ideologi eller en önskan om social rättvisa eller politisk förändring snarare än av ekonomiska motiv.
Beroende på grupp och/eller motivation är måltavlorna vanligtvis regeringar eller stora företag. I det här specifika fallet talar vi om hacktivistgrupper som antingen har band till eller sympatiserar med Iran och som triggas av de händelser som utspelat sig under de senaste veckorna. I det här fallet kommer iranska hacktivister att försöka störa statliga organisationer, tjänster och befolkningen i alla målländer, delvis för att sätta press på dem men framför allt för att hämnas.
Detta markerar ett skifte i hur cyberaktiviteter används under konflikter. I stället för isolerade incidenter blir attackerna alltmer samordnade och utformade för att skapa bredare samhälleliga effekter.
Richard fortsätter:
"För närvarande är man rädd att de troliga målen för en attack, för att maximera effekten, kommer att vara kritisk nationell infrastruktur (CNI). Det har varit mycket fokus på att säkra CNI, med antagandet av NIS2-direktivet i EU och den kommande Cyber Security & Resilience Bill i Storbritannien som fastställer säkerhetskraven för leverantörer och operatörer av CNI.
Detta fokus drivs för det första av de enorma konsekvenser som intrång kan få, inklusive dödsfall i extrema fall, men för det andra av att dessa miljöer traditionellt har varit mycket osäkra och drivits med fokus på drift och tillgänglighet snarare än säkerhet.
I det nuvarande landskapet lanserar grupper som sympatiserar med geopolitiska frågor störande cyberoperationer i snabb takt. Deras mål är inte bara synlighet. Det är påtryckningar. Genom att rikta in sig på organisationer som utgör grunden för det dagliga livet försöker de påverka regeringar indirekt genom att störa befolkningen.
Richard Ford beskriver hur dessa attacker typiskt sett utförs:
"Angripare använder i allmänhet en rad olika metoder för att angripa sina mål. En attackteknik som är vanlig inom hacktivism och som är relativt enkel och billig att utföra via dark web-tjänster är DDoS-attacker (Distributed Denial of Service).
Den mörka webben är en dold, anonym och krypterad del av internet som är ökänd för sina illegala marknadsplatser, och vissa av dessa erbjuder verktyg och tjänster för angripare som en del av en leverantörskedja för angripare.
Dessa tjänster har avsevärt sänkt inträdesbarriären för angripare.
"DDoS-tjänster ger tillgång till befintliga botnät, som är storskaliga komprometterade maskiner, och gör det möjligt för angripare att rikta in sig på webbplatser och tjänster med extremt stora trafikmängder till ett relativt lågt pris och slå ut dem offline, om än tillfälligt.
Men även om DDoS-attacker är mycket synliga är de sällan de mest skadliga.
"Även om DDoS-attacker är mer förenklade och lättare att genomföra, är de verkligt effektiva attackerna de där en organisation komprometteras och deras system utsätts för långvariga störningar. Detta följer mer av en traditionell attack, som ofta inleds med ett enkelt phishingmejl eller utnyttjande av en sårbarhet, innan de arbetar sig in i kritiska system för att starta ransomware-liknande attacker som krypterar, inaktiverar eller förändrar systemen.
Hur dessa attacker påverkar den verkliga världen beror både på vilken metod som används och vilken typ av organisation som attacken riktas mot. Vissa attacker kan orsaka tillfälliga störningar, medan andra kan få långtgående konsekvenser.
Richard Ford förklarar:
"Målet och typen av attack avgör vilka konsekvenser som människor och organisationer kan drabbas av. Eftersom DDoS-attacker är relativt enkla att genomföra och är en typisk taktik för hacktivister och de aktiviteter som hittills har setts, är de mest sannolika och kan slå ut offentliga webbtjänster. De flesta kommer dock att ha någon form av skydd och effekterna kommer bara att vara tillfälliga.
I den mer allvarliga änden av spektrumet blir konsekvenserna betydligt allvarligare.
"Det värsta fallet, som är mindre trivialt att starta och framgångsrikt orkestrera, skulle vara ett intrång i kritisk nationell infrastruktur som el-, vatten-, hälso- och livsmedelsförsörjning. Det skulle kunna få en mängd olika effekter och vara det som får störst konsekvenser för befolkningen.
Den senaste tidens cyberincidenter i den kommersiella sektorn ger en bra fingervisning om hur störningarna kan eskalera.
"Marks & Spencers attack i Storbritannien är ett mycket bra exempel på en cyberattack, särskilt när det gäller allvarlighetsgrad och påverkan, där hyllor lämnades tomma och kunder inte kunde göra beställningar. Även om det var en ekonomiskt motiverad ransomware-attack kan tillvägagångssättet vara mycket likartat i attacker mot CNI-leverantörer.
Dessutom nämndes JLR-attacken som följde månaderna efter M&S, kopplad till samma angripare, som något som påverkade den ekonomiska tillväxten under kvartalet. Så det behöver inte vara CNI för att ha en betydande inverkan.
Även om hacktivistaktiviteter kan dominera rubrikerna är det bara en del av en bredare trend. Globala konflikter skapar möjligheter i hela hotbilden.
När uppmärksamheten riktas mot specifika aktörer eller regioner verkar andra grupper parallellt. Nationellt allierade aktörer, cyberbrottslingar och opportunistiska angripare drar alla nytta av ökad distraktion och komplexitet. Detta leder till överlappande hot, ökad attackvolym och en högre sannolikhet för framgångsrik kompromettering.
För organisationer innebär detta att hotnivåerna ändras snabbt som svar på globala händelser, ofta utan förvarning.
I den här miljön räcker det inte längre med en reaktiv strategi. Organisationer måste anta att cyberhoten kommer att öka under perioder av geopolitisk instabilitet och förbereda sig därefter.
Detta kräver följande:
Viktigast av allt är att organisationerna måste gå bortom enbart förebyggande åtgärder och fokusera på motståndskraft. Förmågan att upptäcka, reagera och återhämta sig snabbt är det som i slutändan avgör effekten av en attack.
Dagens globala konflikter är inte bara begränsade till fysiska eller politiska domäner. De sträcker sig till och börjar ofta i cyberrymden, där flera aktörer verkar samtidigt med olika motiv men ofta överlappande mål.
Cyberopportunism frodas i osäkerhet, och perioder av geopolitisk spänning skapar de perfekta förutsättningarna för ökade attacker. På samma sätt som den fysiska säkerheten ökar under sådana perioder måste även cybersäkerheten intensifieras.
Organisationer som känner igen detta mönster och förbereder sig för det mer komplexa och snabbrörliga hotlandskapet kommer att vara mycket bättre positionerade för att stå emot effekterna. De som inte gör det riskerar att bli tagna på sängen när cyberkonflikten fortsätter att utvecklas parallellt med händelserna på den globala arenan.
Om du är orolig för något av de hot som beskrivs i den här bloggen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta oss för att ta reda på hur du kan skydda din organisation.