Cyber espionage by state actors

Incidenten door statelijke actoren
In reactie op de enquête van Z-CERT laten 94 ondervraagde instellingen weten geen cyberspionage door statelijke actoren te hebben waargenomen. Er zijn in 2021 wel enkele incidenten geweest die te relateren zijn aan statelijke actoren.

Nobelium
In december 2020 werd door FireEye bekendgemaakt dat Orion (een veelgebruikte monitoringssoftwaretool) software had aangepast door een dreigingsactor [50]. Hierdoor ontvingen 18.000 organisaties een malafide update waardoor de actoren toegang kregen tot de interne infrastructuur van de organisaties. Veel van deze organisaties waren bijvangst voor de
hackers, die uit al de geïnfecteerde slachtoffers honderd relevante organisaties selecteerden [15]. De dreigingsactor, ook wel Nobelium genoemd, heeft het vooral gemunt op overheden, NGO’s (niet-gouvernementele organisaties), IT-services en professional services. Een beperkt aantal Nederlandse zorginstellingen raakte geïnfecteerd als gevolg van de inmiddels beroemde ‘state sponsored’ hack. Grootschalige spionage of datadiefstal kon niet worden aangetoond, meestal bleef het
slechts bij een besmetting. Op zich niet heel verwonderlijk, omdat de hackers uit de 18.000 slachtoffers, honderd organisaties selecteerden waarmee ze actief aan de slag gingen [15]. Hun prioriteit lag (gelukkig) minder bij de zorg.

Microsoft Exchange
In maart 2021 maakte Microsoft bekend dat de statelijke actor Hafnium een aantal kwetsbaarheden in hun on-premise mailoplossing (Exchange) actief misbruikte [51]. Hafnium was in januari al actief [52], maar de updates kwamen in maart pas beschikbaar. Deze actor heeft ook onderzoekers van infectieziekten als doelwit [15]. Z-CERT heeft in het ZorgDetectieNetwerk
interactie gezien van deze actor met de infrastructuur van zorginstellingen. Maar ook in deze casus werd net als bij de Solarwinds-casus geen spionage vastgesteld.

Analyse
Cyberspionage en datadiefstal zijn lastig vast te stellen. Bij Z-CERT zijn er geen meldingen over gedaan in 2021. Dat betekent niet dat cyberspionage niet voorkomt in de zorgsector. Ook is het mogelijk dat spionage of datadiefstal pas later plaatsvindt. Een bekende tactiek van statelijke actoren is namelijk dat ze wetenschappelijke instellingen binnendringen zonder daar
direct iets mee te doen. Op het moment dat er interessante ontwikkelingen zijn worden ze wakker en gaan ze over op het inwinnen van inlichtingen [53].

Kwetsbaar
De besproken casussen leggen een kwetsbaarheid bloot. De grote hoeveelheden organisaties die in korte tijd worden geïnfecteerd door statelijke actoren via de supply chain of door misbruik van zero-day kwetsbaarheden,
is verontrustend. Het zegt iets over de offensieve programma’s die overheden hebben waarbij er veel geld wordt geïnvesteerd en veel mankracht wordt ingezet. Microsoft geeft aan dat de Solarwinds-hack de grootste en meest geavanceerde operatie is die ze hebben gezien. Ze schatten dat er minstens 1.000 mensen aan hebben meegewerkt. Het is alleen niet altijd vuurwerk, ook worden op grote schaal standaardmethoden gebruikt zoals die ook bij het hoofdstuk ransomware aan bod komen [15].

Verwachting
Onze verwachting is, gezien de budgetten en geboekte successen dat dit soort supply chain en zero day-aanvallen door zullen zetten in het komend jaar. Het is een trend die al een tijdje gaande is, maar de operaties zijn niet altijd zo opvallend als de hack bij Solarwinds. Z-CERT raadt de Nederlandse zorgsector aan de kroonjuwelen wat betreft onderzoek en innovatie te identificeren en passende verdedigingsmechanismen en monitoring in te richten.