Hoewel het meerendeel van regeringen over de wereld vrij welwillend is, of op zijn minst handelen met goede bedoelingen, zit er een duistere kant aan enkele officieel goedgekeurde activiteiten. Voor de meeste natiestaten zijn Advanced Persistent Threat (APT) Groups een waardevol instrument dat in de schaduw werkt, gegevens steelt, operaties verstoort of de infrastructuur van gerichte vijanden vernietigt.
Volgens het meest recente Threat Intelligence Report van Netscout zijn deze groepen in opkomst. Het ATLAS Security Engineering & Response Team (ASERT), een elitegroep van engineers en onderzoekers die experts op het gebied van informatiebeveiliging vertegenwoordigen, heeft wereldwijd actief ongeveer 35 APT-groepen gevolgd. Op basis hiervan hebben zij de conclusie getrokken dat de activiteiten van deze groepen in een stroomversnelling komen, omdat ze steeds meer facetten van cyber spionage toevoegen aan hun toolkit, door methoden toe te voegen en zich te richten op nieuwe slachtoffers.
Terwijl de belangrijkste sponsors van de APT-groep, zoals de regeringen van China, Rusland, Iran en Noord-Korea, de meeste aandacht krijgen, sponsoren veel andere landen hun eigen groepen. ASERT is zich bewust van ongeveer 163 groepen in 29 landen.
Wat proberen APT-groepen te bereiken?
"Als het gaat om door de staat gesponsorde cyberaanvallen, worden deze inspanningen meestal gedreven door de strategische behoeften van die specifieke overheid," verklaarde Jill Sopko, een senior veiligheidsonderzoeker bij ASERT. "Het is belangrijk om te weten dat in veel van de landen waar deze groepen actief zijn, de overheid, de economie en religieuze instellingen niet noodzakelijkerwijs afzonderlijke entiteiten zijn. Gecentraliseerd leiderschap kan veel minder kritisch of verantwoordingsplichtig zijn, wat hen vrij laat om alle beschikbare instrumenten in te zetten om nationale doelstellingen na te streven".
De doelstellingen van APT-groepen lopen sterk uiteen, maar vallen in een breed scala aan categorieën. Aanvallen kunnen aangedreven worden door onder andere:
- Geopolitieke belangen - Regeringen met zorgen waarbij buurlanden betrokken zijn, gebruiken vaak APT-groepen om toezicht te houden op en/of te infiltreren in naburige landen om informatie te verkrijgen over economische of militaire activiteiten, intenties of strategieën.
- Diefstal van intellectueel eigendom - Aanvallen door APT-groepen hebben vaak als hoofddoel het stelen van intellectueel eigendom om de economische of militaire doelen van het gastland te bevorderen. Het stelen van eigen technologie kan miljarden dollars aan onderzoeks- en ontwikkelingskosten besparen, waardoor het land in kwestie een concurrentievoordeel op de markt krijgt of een kloof in militaire paraatheid kan helpen dichten. Door het stelen van vertrouwelijke communicatie van een ander land of bedrijf, kan de APT-groep hun regering de overhand geven in onderhandelingen, of in een fusie- of overnameconversatie.
- Desinformatiecampagnes - Zoals blijkt uit de recente inmenging in vrije verkiezingen over de hele wereld, gebruiken APT-groepen in toenemende mate cyberactiviteiten als een middel om desinformatie te verspreiden om de stemgerechtigde bevolking in bepaalde landen te beïnvloeden. Dit wordt over het algemeen gedaan om kiezers te overtuigen voor een kandidaat te kiezen, die minder tegenstrijdig is met overheidsbeleid en die op ideologisch gebied meer aansluit bij de zaak van het gastland.
- Verstoring en vernietiging - APT-groepen kunnen ook destructieve handelingen verrichten, zoals het actief uitschakelen van communicatiesystemen, Industrial Control Systems (ICS) en openbare voorzieningen. Deze kunnen ook economisch gemotiveerde aanvallen omvatten. Sommige natiestaten hopen op deze manier dat het eenvoudigweg laat zien dat ze de macht hebben om een ander land grote schade aan te richten. Hiermee hopen ze voldoende dreiging uit te stralen om acties van een vijand of rivaal af te schrikken.
Wereldwijde waakzaamheid neemt toe
"Het goede nieuws is dat de zichtbaarheid van deze APT-groepen wereldwijd toeneemt", concludeert Sopko. "Door de intensieve wereldwijde samenwerking van DataOps, zien we het volledige spectrum van APT-activiteiten. Als gevolg daarvan nemen landen en bedrijven deze veiligheidsbedreigingen veel serieuzer. We zien steeds meer organisaties die zich bezighouden met supply chain-risico's en dat is een overwinning voor de good guys".
Terwijl dreigingen toenemen, neemt ook het werk om ze op te sporen en te identificeren toe. De infosecurity-gemeenschap komt samen om geobserveerde tactieken, technieken en procedures (TTP's) te delen en de collectieve kennis te vergroten. Deze vorm van threat intelligence en samenwerking zal absoluut noodzakelijk zijn om de groeiende dreigingen te beperken.
David Pitlik is een ervaren technology en business auteur. Hij levert regelmatig bijdragen aan Netscout blogs.