I løbet af det seneste år har cyberangreb ramt 120 lande, drevet af regeringssponsoreret spionage og med påvirkningsoperationer (IO), der ligeledes er stigende. Til tider har næsten halvdelen af disse angreb være rettet mod NATO-medlemslande, og mere end 40% rettet mod statslige eller private organisationer, der er involveret i opbygning og vedligeholdelse af kritisk infrastruktur. Mens de angreb, der skabte overskrifter i det forgangne år, ofte var fokuseret på ødelæggelse eller økonomisk gevinst gennem ransomware, viser data, at den overvejende motivation nu er et ønske om at stjæle information, overvåge kommunikation i det skjulte eller manipulere hvad folk læser. Eksempelvis:
- Russiske efterretningstjenester har re-fokuseret deres cyberangreb til at være spionageaktiviteter, der kan støtte krigen mod Ukraine, mens de fortsætter med destruktive cyberangreb i Ukraine og en bredere spionageindsats;
- Iranske bestræbelser, der engang fokuserede på at nedlægge deres måls netværk, er i dag også tilbøjelige til at udbrede manipulerende budskaber for at fremme geopolitiske mål eller for at tappe data, der flyder gennem følsomme netværk;
- Kina har udvidet sin brug af spionagekampagner for at få efterretninger for at fremme sit Belt and Road Initiative eller sin regionale politik, for at spionere på USA, herunder på nøglefaciliteter for det amerikanske militær, og for at få adgang til netværk af kritiske infrastrukturenheder;
- Nordkoreanske aktører har forsøgt at stjæle hemmeligheder i det skjulte; de har udset sig en virksomhed, der er involveret i ubådsteknologi, mens de også har udført cyberangreb til at stjæle hundredvis af millioner i kryptovaluta.
Dette er nogle af indsigterne fra den fjerde årlige Microsoft Digital Defense Report, som afdækker tendenser mellem juli 2022 og juni 2023 på tværs af nationalstatsaktivitet, cyberkriminalitet og forsvarsteknikker.
Flere lande og sektorer under angreb
Mens USA, Ukraine og Israel fortsat er hårdest ramt af angreb, har vi det seneste år set en stigning i det globale omfang af angreb. Det er især tilfældet i det globale syd, særligt i Latinamerika og Afrika syd for Sahara. Iran øgede sine operationer i Mellemøsten. Organisationer involveret i politikudformning og -eksekvering var blandt dem, der var målet for flest angreb, i tråd med et skift i fokus til spionage.
De nationer der var målrettede flest angreb mod, opdelt efter regioner* var:
| Europa | Mellemøsten og Nordafrika | Asien-Stillehavsområdet |
| 1. Ukraine (33%) | 1. Israel (38%) | 1. Korea (17%) |
| 2. Storbritanien (11%) | 2. Forenede Arabiske Emirater (12%) | 2. Taiwan (15%) |
| 3. Frankrig (5%) | 3. Saudi-Arabien (9%) | 3. Indien (13%) |
| 4. Polen (5%) | 4. Jordan (6%) | 4. Malaysia (6%) |
| 5. Italien (4%) | 5. Irak (5%) | 5. Japan (5%) |
| 6. Tyskland (3%) | 6. Bahrain (4%) | 6. Australien (5%) |
*Mere fyldestgørende dataopdeling kan findes i rapporten
Rusland og Kina øger deres fokus på diasporasamfund
Både Rusland og Kina øger omfanget af deres påvirkningsoperationer mod en række diasporasamfund. Ruslands mål er at skræmme globale ukrainske samfund og så mistillid mellem krigsflygtninge og værtssamfund i en række lande, særligt Polen og de baltiske stater. Kina anvender et stort netværk af koordinerede konti på en række af platforme til at sprede skjult propaganda. Dette er direkte målrettet globale kinesisk-talende samfund, hvor de underminerer amerikanske institutioner og fremmer et positivt billede af Kina gennem hundredvis af flersprogede livsstilsinfluencers.
Overensstemmelse mellem påvirkningsoperationer og cyberangreb
Nationalstatslige aktører anvender oftere påvirkningsoperationer sammen med cyberoperationer for at sprede propagandafortællinger. Dette har til formål at manipulere den nationale og globale opinion for at underminere demokratiske institutioner i de lande, der opfattes som modstandere – mest farligt er det i forbindelse med væbnede konflikter og nationale valg. Efter invasionen af Ukraine timede Rusland eksempelvis konsekvent sine påvirkningsoperationer med militære angreb og cyberangreb. På samme måde fulgte Iran i juli og september 2022 destruktive cyberangreb på den albanske regering op med en koordineret påvirkningskampagne, som stadig er i gang.
Nationalstaters tendenser
Mens der generelt har været en stigning i trusselsaktiviteten, er der observeret tendenser hos de mest aktive nationalstatsaktører.
- Rusland går efter Ukraines NATO-allierede
Russiske statslige aktører har udvidet deres Ukraine-relaterede aktiviteter til at være rettet mod Kyivs allierede, hovedsageligt NATO-medlemmer. I april og maj 2023 observerede Microsoft en stigning i aktivitet mod vestlige organisationer, hvoraf 46% var i NATO-medlemslande, især USA, Storbritannien og Polen. Flere russiske, statslige aktører udgav sig for at være vestlige diplomater og ukrainske embedsmænd og forsøgte at få adgang til konti. Målet var at få indsigt i vestlig udenrigspolitik i forhold til Ukraine, forsvarsplaner og intentioner samt efterforskning af krigsforbrydelser. - Kina går efter USA’s forsvar, lande i Det Sydkinesiske Hav og partnere i det såkaldte “Belt and Road Initiative”
Kinas udvidede og sofistikerede aktiviteter afspejler landets todelte stræben efter global indflydelse og indsamling af efterretninger. Deres mål er oftest USA’s forsvar og kritiske infrastruktur, nationer, der grænser op til Det Sydkinesiske Hav (især Taiwan) og endda Kinas egne strategiske partnere. Ud over de mange sofistikerede angreb på amerikansk infrastruktur, som er beskrevet i rapporten, har Microsoft også set Kina-baserede aktører angribe Kinas Belt and Road Initiative-partnere som Malaysia, Indonesien og Kasakhstan. - Iran udfører nye angreb i Afrika, Latinamerika og Asien
Det seneste år har nogle af de iranske statslige aktører øget kompleksiteten af deres angreb. Iran har ikke kun rettet angreb mod vestlige lande, som de mener skaber uro i Iran, men har også udvidet deres geografiske rækkevidde til at omfatte flere asiatiske, afrikanske og latinamerikanske lande. På IO-fronten har Iran skubbet på fortællinger, der søger at styrke den palæstinensiske modstand, skabe panik blandt israelske borgere, opildne til shiamuslimsk uro i de arabiske Golf-lande og modarbejdet normaliseringen af de arabisk-israelske bånd. Iran har også gjort en indsats for at øge koordineringen af sine aktiviteter med Rusland. - Nordkorea går blandt andet efter russiske organisationer
Nordkoreas cyberoperationer er blevet mere sofistikerede det seneste år, især når det gælder tyveri af kryptovaluta og angreb på forsyningskæder. Derudover bruger Nordkorea spear-phishing-mails og LinkedIn-profiler til at ramme eksperter fra den koreanske halvø rundt om i verden for at indsamle efterretninger. På trods af det nylige møde mellem Putin og Kim Jong-Un går Nordkorea efter Rusland, især for at indsamle oplysninger om atomenergi, forsvars- og regeringspolitik.
Kunstig intelligens skaber nye trusler – og nye forsvarsmuligheder
Kunstig intelligens (AI) benyttes allerede som våben til at forfine phishing-meddelelser og forbedre påvirkningsoperationer med syntetiske billeder. Men AI vil også være afgørende for et optimalt forsvar ved at automatisere og forbedre aspekter af cybersikkerhed som f.eks. detektering af trusler, respons, analyse og forudsigelse. AI kan også gøre det muligt for store sprogmodeller (LLM’er) at generere indsigter og anbefalinger i naturligt sprog fra komplekse data, hvilket gør analytikere mere effektive og reaktive.
Vi ser allerede AI-drevet cyberforsvar vende strømmen af cyberangreb; i Ukraine har AI f.eks. hjulpet i forsvaret mod Rusland.
Eftersom transformativ AI omformer mange aspekter af samfundet, skal vi engagere os i ansvarlig AI-praksis, som er afgørende for at bevare brugernes tillid og privatliv og for at skabe langsigtede fordele. Generative AI-modeller kræver, at vi udvikler cybersikkerheds-praksisser og trusselsmodeller for at håndtere nye udfordringer, såsom skabelsen af realistisk indhold – herunder tekst, billeder, video og lyd – som kan bruges af trusselsaktører til at sprede misinformation eller skabe skadelig kode. For at være på forkant med disse nye trusler er vi fortsat forpligtet til at sikre at alle vores AI-produkter og -tjenester udvikles og bruges på en måde, der opretholder vores AI-principper.
Cyberkriminalitetstilstanden
Kattens og musens leg mellem cyberkriminelle og -forsvarere fortsætter med at udvikle sig. Mens trusselsgrupper har øget tempoet i deres angreb betydeligt i løbet af det sidste år, har indbygget beskyttelse på tværs af Microsoft-produkter blokeret titusindvis af milliarder malware-trusler, afværget 237 milliarder brute-force password-angrebsforsøg og afbødet 619.000 distributed denial of service-angreb (DDoS-angreb), der sigter mod at deaktivere en server, en tjeneste eller et netværk ved at overvælde det med en strøm af internettrafik.
Kriminelle søger også mod at øge deres anonymitet og effektivitet ved at bruge fjernkryptering til at dække deres spor mere effektivt samt cloud-baserede værktøjer som virtuelle maskiner. Men stærkere private og offentlige partnerskaber betyder, at de i stigende grad befinder sig i politiets søgelys. For eksempel blev ransomware-operatøren kendt som “Target” afsløret, og der blev foretaget anholdelser og rejst tiltale. Men da de kriminelle fortsætter med at lede efter de steder, hvor det er nemmest at komme ind i systemerne, kræver det en kontinuerlig og accelererende indsats at være et skridt foran.
Ransomware-angreb bliver mere sofistikerede og hurtigere
Microsofts telemetri indikerer, at organisationer har oplevet en stigning på 200% i personudført ransomware-angreb, siden september 2022. Disse angreb er generelt af typen “hænderne på tastaturet” snarere end et automatiseret angreb, der typisk er rettet mod en hel organisation med tilpassede krav om løsepenge.
Der udvikles også angreb med minimalt fodaftryk. 60% bruger fjernkryptering, hvilket gør procesbaseret afhjælpning ineffektiv.
Disse angreb er også bemærkelsesværdige i måden hvorpå de forsøger at få adgang til ikke-administrerede eller private enheder. Over 80 procent af alle kompromitteringer, vi har observeret, stammer fra ikke-administrerede enheder. Ransomware-operatører udnytter i stigende grad sårbarheder i mindre almindelig software, hvilket gør angreb sværere at forudsige og forsvare sig mod.
Ransomware-kriminelle truer også med at afsløre stjålne oplysninger for at afpresse ofrene mod betaling. Siden november 2022 har vi observeret en fordobling af potentielle tilfælde af dataeksfiltrering, efter at trusselsaktører har kompromitteret et miljø. Men ikke al datatyveri er forbundet med ransomware; det kan også være for at høste legitimationsoplysninger eller for at udfører spionage af nationalstater.
Angreb med password og multifaktorautentificering (MFA) skyder i vejret
MFA er den stadig mere almindelige autentificeringsmetode, som kræver, at brugerne angiver to eller flere “faktorer” til identifikation for at få adgang til en hjemmeside eller et program – f.eks. et password sammen med ansigtsgenkendelse eller en engangskode. Selvom implementering af MFA er et af de nemmeste og mest effektive forsvar, organisationer kan implementere mod angreb, og som reducerer risikoen for kompromittering med 99,2%, udnytter trusselsaktører i stigende grad “MFA-træthed” til at bombardere brugere med MFA-meddelelser i håb om, at de vil acceptere og give adgang.
Microsoft har observeret ca. 6.000 MFA-træthedsforsøg om dagen i løbet af det sidste år. Derudover bød første kvartal af 2023 på en dramatisk tidobling af password-baserede angreb mod cloud-identiteter, især i uddannelsessektoren, fra omkring 3 milliarder om måneden til over 30 milliarder – et gennemsnit på 4.000 password-angreb pr. sekund rettet mod Microsofts cloud-identiteter i år.
Det eneste sikre forsvar vil være et kollektivt forsvar
Omfanget og karakteren af de trusler, der er beskrevet i Microsoft Digital Defense Report, kan virke nedslående. Men der bliver gjort enorme fremskridt på teknologifronten for at overvinde disse angribere, og samtidig bliver der indgået stærke partnerskaber, som går på tværs af grænser, industrier og den private-offentlige sektor. Disse partnerskaber har stadig større succes med at holde os alle sikre, og derfor er det vigtigt, at vi fortsætter med at udvide dem. 75% af de stemmeberettigede borgere i demokratiske lande har mulighed for at stemme i løbet af det næste halvandet år. At holde valgene sikre og de demokratiske institutioner stærke, er en hjørnesten i vores kollektive forsvar.
Læs hele rapporten her: Microsoft Digital Defense Report 2023.
