Det nya decenniet har startat på ett minst sagt spektakulärt sätt. 2020 visade upp alla digitala risker och cybersäkerhetsbrister som man kan förvänta sig nu för tiden, men året var unikt genom det sätt som Covid-19 radikalt förändrade livet runt om i världen. Pandemin skapade också aldrig tidigare skådade förhållanden i cyberrymden genom att stora grupper människor arbetade hemifrån och kapplöpningen mot ett vaccin som har inneburit intensifierade attacker mot forskningsinstitut, nya möjligheter för cyberbrottslingar att genomföra utpressningsförsök och bedrägerier, och har skapat nya möjligheter för nationalstatsspionage.
Hackningen av SolarWinds
Tisdagen den 8 december gjorde det respekterade cybersäkerhetsföretaget FireEye ett dramatiskt avslöjande. Företaget hade drabbats av ett intrång, och hackare hade stulit delar av företagets data rörande säkerhetshot samt stulit hackningsverktyg från deras ”Red Team”, etiska hackare som jobbar med ”penetrationstest” för betalande kunder, där de försöker hitta svagheter så att de kan skyddas innan ”riktiga” hackers hittar dem. I sig var FireEye-intrånget, som The Washington Post snabbt tillskrev ryska hackare, betydande men inte någon katastrof. Vad ingen visste den dagen var dock att detta bara var toppen på isberget.
Med början på söndagen den 13 december kom nyheter i vågor gällande statliga myndigheter i USA, som Handelsdepartementet, Finansdepartementet, Homeland Security, Energidepartementet eller företag och internationella mål som alla hade fallit offer för ett massivt nationalstatsspionage. Hackarna, som allmänt misstänks vara ryska, hade trängt in genom vad som kallas en ”supply chain attack”. Med andra ord, alla attacker möjliggjordes genom ett första intrång, i detta fall på IT-infrastrukturföretaget SolarWinds. Hackare hade brutit sig in i företaget redan i oktober 2019 och planterat skadlig kod i programuppdateringarna för deras nätverksövervakningsverktyg, Orion. Utan att veta om det installerade alla kunder som uppdaterade sin Orion mellan mars och juni också en bakdörr till sitt eget nätverk.
Det finns också vissa bevis för att angriparna tog sig in på andra sätt än bakdörren i SolarWinds produkt, men genom bakdörren ordnade angriparna tillgång till ungefär 18 000 av SolarWinds kunder, enligt företaget. Effekterna av attacken varierade bland offren. I vissa fall har bakdörren inte använts. I andra fall använde man åtkomsten bara tillräckligt länge för att lista ut att målet var ointressant för dem. Men för de hårdast drabbade trängde angriparna djupt in i offrens nätverk för att ägna sig åt spionage och datastöld. Till exempel verkar mer än ett dussin stora företag inom olje-, el- och tillverkningsindustrin ha installerat bakdörren, men det är ännu inte klart hur omfattande de faktiskt infiltrerades av angriparna. Situationen understryker hotet från ”supply chain attacks”, eftersom de effektivt kan ge tillgång till alla ett företags kunder i ett svep.
Ryska hackare har använt tekniken förut, ibland med mer uttryckligen destruktiva mål. SolarWinds attacker verkar hittills ha varit till stor del för spionage, även om vissa experter varnar för att det fortfarande är för tidigt att säga om det även kan finnas en destruktiv komponent. Även om attackerna skulle vara enbart för informationsinsamling, något som vanligtvis är en globalt tolererad verksamhet, säger vissa politiker och forskare att det här intrånget har passerat en gräns vad gäller tolererade normer inom spionage på grund av dess omfattning och storlek. Som den tidigare CIA-agenten Paul Kolbe uttryckte det i en artikel i New York Times: ”USA är naturligtvis engagerad i samma typ av verksamhet i en ännu större skala. Vi är aktiva deltagare i en omgivande cyberkonflikt som rasar, i stort sett osynligt och obekräftat, över hela den digitala världen. Detta är en kamp som vi inte kan undvika, och det finns ingen anledning att spela offer.”
Frågan är nu hur USA kommer att svara på hackningen av SolarWinds och hur digitalt spionage och cyberkonflikter kommer att hanteras i framtiden när Trumpadministrationen slutar och Bidenadministrationen tar över.
I juli svepte en våg av kapade konton över Twitter, inklusive för Joe Biden, Barack Obama, Elon Musk, Kanye West, Bill Gates, och Michael Bloomberg, samt stora företagskonton som Apple och Uber. Kontona användes till att tweeta ut varianter av samma meddelande: ”Jag ger tillbaka till samhället. Alla Bitcoin som skickas till adressen nedan kommer att skickas tillbaka fördubblade! Om du skickar 1 000 dollar skickar jag tillbaka 2 000 dollar. Detta erbjudande gäller bara i 30 minuter.”
Angriparna hade full tillgång till kontona, ett mardrömsscenario som skulle vara alla spionhackares våta dröm. Istället var attacken helt enkelt en del av ett bitcoinbedrägeri som inbringade 120 000 dollar. Totalt attackerade bedragarna 130 konton och tog kontroll över 45. Twitter greps av panik och för att begränsa attacken frös man tillfälligt alla verifierade konton och blockerade alla tweets och möjlighet att ändra kontots lösenord. Några av blockeringarna varade i flera timmar.
En senare undersökning visade att angriparna hade ringt Twitters kundtjänst och teknisk support och lurat de anställda att besöka en phishing-webbplats som hade skapats för att samla in de anställdas inloggningsuppgifter till Twitters kundtjänst, inklusive användarnamn, lösenord och autentiseringskoder. Sedan kunde angriparna använda sin åtkomst till dessa supportkonton för att ändra lösenorden på målens användarkonton. I slutet av juli greps tre misstänkta och åtalades för attacken, inklusive den 17-årige Graham Ivan Clark från Tampa i Florida, som påstås ha lett attacken. Efter incidenten sade Twitter att man genomfört en stor insats för att säkra sina anställdas tillgång till systemen, särskilt med tanke på det då annalkande amerikanska presidentvalet.
”Blueleaks”
Den 19 juni, i USA kallat Juneteenth, befrielsedagen, publicerade aktivistgruppen Distributed Denial of Secrets 269-gigabyte data med information om amerikansk brottsbekämpning, inklusive e-post, underrättelsedokument, ljud och videofiler. DDOSecrets uppgav att uppgifterna kom från en källa som påstår sig vara en del av hackerkollektivet Anonymous. Publiceringen skedde i kölvattnet av George Floyds död, och består av mer än en miljon filer med dokument och intern poliskommunikation om brottsbekämpande åtgärder för att identifiera och spåra demonstranter och dela underrättelser om rörelser som Antifa. En hel del av informationen kom från polisorganisationers så kallade ”fusion centers”, som samlar in och delar underrättelser med brottsbekämpande myndigheter runt om i landet. ”Det är den största publicerade läckan från amerikanska brottsbekämpande organ”, enligt Emma Best, en av grundarna av DDOSecrets. ”Det ger en bild av staten inifrån, lokala och federala myndigheter med uppgift att skydda allmänheten, inklusive regeringens svar på Covid- och BLM-protester.”
Universitetssjukhuset Düsseldorf
I september riktades en ransomware-attack mot Heinrich Heine Universitetet i Düsseldorf som istället lamslog 30 servrar vid Universitetssjukhuset i Düsseldorf, något som skapade en akut kris i sjukhusets system och i patientvården. Ransomware-angripare riktar gärna in sig på sjukhus, på grund av deras trängande behov av att snabbt återställa nätverket på grund av patientsäkerheten. Det är också ganska vanligt att universitetsanslutna sjukhus drabbas oavsiktligt. Incidenten vid Universitetssjukhuset i Düsseldorf var särskilt betydande, eftersom det skulle kunna vara första gången ett dödsfall kan hänföras till en cyberattack. Som ett resultat av ransomware-attacken, transporterades en oidentifierad kvinna i behov av akut behandling från Düsseldorf till ett annat sjukhus i Wuppertal, ungefär tre mil bort, något som orsakade en timmes försening i behandlingen. Hon överlevde inte. Forskarna konstaterar att det är svårt att med säkerhet fastställa kausalitet mellan förflyttningen och dödsfallet, men händelsen är helt klart en viktig påminnelse om de verkliga konsekvenserna av ransomware-attacker mot vårdinrättningar och all kritisk infrastruktur.
Vastaamo
I slutet av oktober hotade hackare med att släppa data som stulits från en av Finlands största psykiatriska vårdinrättningar, Vastaamo, om individer eller företaget inte betalade för att hålla uppgifterna hemliga. Hackarna kan ha stulit informationen från en dåligt skyddad databas eller genom en insider. Sådana digitala utpressningsförsök har funnits i årtionden, men situationen i Vastaamo var särskilt flagrant eftersom de stulna uppgifterna, som gick ungefär två år tillbaka i tiden, innehöll psykoterapianteckningar och annan känslig information om patienternas psykiska hälsa. Vastaamo samarbetade med det privata säkerhetsföretaget Nixu, Finlands kriminalpolis och andra nationella brottsbekämpande organ för att utreda fallet. Regeringstjänstemän uppskattade att incidenten påverkade tiotusentals patienter. Hackare krävde 200 euro i bitcoin från enskilda offer inom 24 timmar efter den första begäran, eller 500 euro efter det för att hemlighålla uppgifterna. Finska medier rapporterade också att Vastaamo mottog ett krav på motsvarande runt 450 000 euro i bitcoin för att undvika publicering av de stulna uppgifterna. En hacker med aliaset ”ransom_man” postade läckt information från minst 300 av Vastaamos patienter på den anonyma webbtjänsten Tor för att bevisa legitimiteten av de stulna uppgifterna.
Garmin
I slutet av juli genomförde hackare en ransomware-attack mot företaget Garmin som tillverkar produkter för navigering (GPS) och träning. Attacken tog ner Garmin Connect, molnplattformen som synkroniserar användarnas aktivitetsdata, samt stora delar av Garmin.com. Företagets e-postsystem och kundtjänst slogs också ut. Förutom idrottare, hälsomedvetna och andra vanliga kunder, drabbades piloter som använder Garminprodukter för positionering och navigering. Apparna flyGarmin och Garmin Pilot hade båda flera dygns avbrott, något som påverkade viss Garminhårdvara som används i flygplan, som flygplaneringverktyg och uppdateringar av kritiska luftfartsdatabaser. Vissa rapporter säger att Garmins ActiveCaptain-app också drabbades av avbrott. Incidenten underströk hur känsliga internet-of-things-enheter är för systemfel. Det är illa nog om din GPS-utrustade aktivitetsspårningsklocka slutar fungera. När man måste låta flygplan stå på marken på grund av problem med navigeringsinstrument som orsakats av en ransomware-attack, visar det mycket tydligt hur känsligt systemet kan vara.
Kinesiska hackerattacker
Kina fortsätter att stärka sin kompetens inom hacking och cyberkrigföring och uppges ha ökat sin räckvidd i år. Kinesiska hackare penetrerade Taiwans viktiga halvledarindustrin och stal en stor mängd immateriella rättigheter, från källkod och programvaruutvecklingsverktyg till mikrochipdesigner. Australiens premiärminister Scott Morrison sade i juni att landets regering och andra organisationer har upprepade gånger varit föremål för en störtflod av attacker. Australien har nu åtagit sig att investera nästan 1 miljard dollar under de kommande 10 åren för att utöka sin defensiva och offensiva cybersäkerhetskapacitet. Även om Morrison inte vill peka ut vilken eller vilka aktörer som har angripit landet, sägs han inofficiellt ha talat om Kina. Australien och Kina har varit involverade i ett intensivt handelskrig som har påverkat förbindelserna mellan de två länderna. En artikel från Reuters denna månad gav också ett exempel på pågående kinesiska hackingoperationer i Afrika efter att den Afrikanska unionen i Addis Abeba i Etiopien upptäckte att vad som misstänks vara kinesiska angripare hade stulit videoövervakningsfilmer från deras servrar. USA har också haft flera år av omfattande digitalt spionage och stöld av immateriella rättigheter som tillskrivs Kina. Och det fortsatte i år, särskilt gällande information relaterad till Covid-19, folkhälsa och vaccinforskning.
