Datum och tid: 2025-02-26 01:35 CET
Ökad cyberaktivitet i takt med globala kriser
CERT-EU:s Threat Landscape Report 2024 visar att cyberhoten mot EU:s institutioner och närliggande sektorer fortsätter att öka, ofta i samband med geopolitiska händelser såsom val, militära konflikter och internationella toppmöten. Totalt analyserades 643 skadliga cyberaktiviteter under året, vilket är en ökning från 602 incidenter föregående år.
Rapporten belyser en tydlig trend där statsstödda hotaktörer från Kina, Ryssland, Iran och Nordkorea står bakom en stor del av attackerna. Målen har varierat från offentliga institutioner och försvarsindustrin till teknikföretag och finansiella tjänster.
Val och konflikter som drivkraft för cyberattacker
CERT-EU har identifierat en kraftig ökning av cyberattacker i samband med nio större val, inklusive EU-parlamentsvalet i juni 2024. Bland de metoder som användes fanns DDoS-attacker mot politiska partier och valadministrationer, samt desinformationskampanjer för att påverka väljarnas uppfattning.
Även militära konflikter, såsom Rysslands krig mot Ukraina och Israel-Hamas-kriget, har varit katalysatorer för cyberaktiviteter. Dessa inkluderar sabotage mot kritisk infrastruktur, hacktivistkampanjer och avancerad cyberespionage.
Framträdande hotaktörer och tekniker
CERT-EU har identifierat 110 aktiva hotaktörer, där 20 bedöms utgöra en kritisk risk för EU:s institutioner. Bland dessa finns APT29 (kopplad till ryska underrättelsetjänster) och Kimsuky (en nordkoreansk cybergrupp som riktat in sig på diplomatiska mål i Europa).
Hotaktörerna har använt sofistikerade tekniker för att ta sig in i system och dölja sin närvaro:
• Exploatering av sårbara publika applikationer och nätverksenheter (t.ex. Fortinet, Cisco, Ivanti).
• Living-off-the-Land (LoL) – utnyttjande av legitima verktyg inom målsystemet för att undvika upptäckt.
• Adversary-in-the-Middle (AitM) – attacker för att kapa autentiseringsprocesser och kringgå säkerhetsåtgärder som multifaktorautentisering.
• Supply-chain-attacker – där mjukvaruuppdateringar infekteras med skadlig kod.
Tjänsteleverantörer – en attraktiv väg in för angripare
Cyberkriminella har riktat in sig på telekomoperatörer, molnleverantörer och fjärråtkomstlösningar, eftersom dessa kan ge tillgång till många slutkunder. Orange Spanien drabbades av ett intrång som påverkade kunders internetuppkoppling, och Free (en stor fransk ISP) fick känsliga kunduppgifter läckta, inklusive bankinformation för över fem miljoner personer.
Även säkerhetsföretag och fjärråtkomstverktyg har blivit måltavlor. TeamViewer utsattes för intrång av APT29, och vid en incident kopplad till CrowdStrike försökte angripare utnyttja en mjukvarubugg för att distribuera falska uppdateringar med inbyggd skadlig kod.
Vilka sektorer drabbades hårdast?
Förutom offentliga myndigheter var försvarssektorn det mest drabbade området, följt av transport, teknologi och finans.
• Försvarsindustrin var en central måltavla, med Kimsuky som attackerade en tysk vapentillverkare.
• Transportsektorn, inklusive frakt- och flygindustrin, utsattes för cyberespionage, där Mustang Panda riktade in sig på europeiska rederier.
• Teknikföretag drabbades av intrång och dataläckor, exempelvis en incident där Sisense, ett analysföretag, exponerade känsliga kunduppgifter.
• Finansiella institutioner utsattes för hacktivistattacker i samband med EU-länders stöd till Ukraina. Pro-ryska hacktivister genomförde DDoS-attacker mot tjeckiska banker efter att landet ingått en säkerhetspakt med Ukraina.
Sammanfattning: Ett hotlandskap i snabb förändring
CERT-EU:s rapport bekräftar att cyberhoten mot EU är alltmer sofistikerade och starkt kopplade till geopolitik. Med en ökning av statsstödd cyberespionage, kritisk infrastruktur som måltavla och en fortsatt trend av supply-chain-attacker är det tydligt att EU:s cybersäkerhet måste stärkas på flera fronter.
Källförteckning