Narastające powiązania między cyberprzestępcami a hakerami państwowymi budzą obawy o bezpieczeństwo

Granica między grupami cyberprzestępczymi a hakerami wspieranymi przez państwo staje się coraz bardziej niewyraźna, ponieważ na usługach skoncentrowanych na szpiegostwie aktorów korzystają finansowo zmotywowani cyberprzestępcy – podali w tym tygodniu badacze z dziedziny bezpieczeństwa.

Trend ten jest szczególnie widoczny w rosnącym wykorzystaniu taktyk cyberprzestępczości przez wspieranych przez państwo hakerów w celu ukrywania działalności szpiegowskiej i finansowania operacji.

Firma zajmująca się cyberbezpieczeństwem, należąca do Google, Mandiant zwróciła uwagę na ten rozwój w wydarzeniach we wtorek, zauważając, że cyberprzestępczość z motywów finansowych dominuje teraz w zagrożeniach online, stanowiąc większość złośliwej aktywności wykrywanej przez zespoły bezpieczeństwa.

W 2024 roku, Mandiant odpowiedziało na prawie cztery razy więcej cybernatarć z motywów finansowych niż tych powiązanych z państwami-narodami. Jednakże, badacze ostrzegają, że chociaż cyberprzestępczość często otrzymuje mniej uwagi od ekspertów ds. bezpieczeństwa narodowego, jej wpływ może być równie dotkliwy jak ataki związane z szpiegostwem.

„Szpital sparaliżowany przez grupę wspieraną przez państwo, która używa wiper’a, i szpital sparaliżowany przez grupę motywowaną finansowo, która używa ransomware, mają ten sam wpływ na opiekę nad pacjentem” – napisali badacze z Mandiant.

To obawy są szczególnie istotne, ponieważ cyberprzestępcy coraz częściej atakują instytucje opieki zdrowotnej, a incydenty związane z wyciekiem danych w tym sektorze podwoiły się w ciągu ostatnich trzech lat.

Poza bezpośrednimi zagrożeniami, grupy cyberprzestępcze umożliwiają również działania państwowych hakerów. Państwa coraz częściej kupują zdolności cybernetyczne od tych grup lub wykorzystują je do celów szpiegowskich i operacji dezorganizujących.

Rosja, na przykład, polega na wiedzy specjalistów od cyberprzestępczości w swojej cyberwojnie przeciwko Ukrainie. Rosyjska jednostka wywiadu wojskowego APT44, znana również jako Sandworm, podobno używała złośliwego oprogramowania z sieci cyberprzestępczych do przeprowadzania ataków cybernetycznych.

Podobnie, grupa RomCom, historycznie skupiona na cyberprzestępczości finansowej, jest zaangażowana w operacje szpiegowskie przeciwko ukraińskiemu rządowi od 2022 roku, jak donoszą badacze.

Ten wzorzec wykracza poza Rosję. Irańskie grupy hakerów wykorzystują oprogramowanie szantażujące dla zysku finansowego, jednocześnie prowadząc działania szpiegowskie. Chińskie grupy szpiegowskie często angażują się w cyberprzestępstwa, aby uzupełnić swoje dochody.

Badacze argumentują, że Korea Północna prezentuje najbardziej uderzający przypadek, ponieważ jej państwowe grupy hakerów są bezpośrednio zobowiązane do generowania dochodów dla reżimu. Północnokoreańscy hakerzy agresywnie atakują giełdy kryptowalut i indywidualne portfele, zabezpieczając miliony w nielegalnych funduszach.

Pomimo tych pokrywających się elementów, eksperci ostrzegają, że przeciwdziałanie przestępczości cybernetycznej wymaga odrębnych strategii od zwalczania sponsorowanego przez państwo hakowania. Cyberprzestępcy działają ponad granicami i często reorganizują się po interwencjach organów ścigania, co czyni międzynarodową współpracę kluczową.

Mandiant podkreślił, że obok działań organów ścigania, konieczne są systemowe rozwiązania, takie jak wzmacnianie edukacji z zakresu cyberbezpieczeństwa i odporności, aby zahamować rozwijający się ekosystem cyberprzestępstw.

W miarę jak cyberprzestępczość i szpiegostwo coraz bardziej się zbiegają, eksperci ostrzegają, że krajobraz zagrożeń stanie się jeszcze bardziej skomplikowany, wymagając silniejszej globalnej koordynacji do zwalczania zarówno finansowo, jak i politycznie motywowanych zagrożeń cybernetycznych.