Russiske hackere går målrettet efter vestlige logistikaktiviteter

Krige og geopolitiske spændinger har de seneste år fået hackeraktiviteten til at stryge i vejret, og transportfirmaer er særligt udsatte.  Rederier, havneselskaber og 3PL’er (tredjepartslogistik) er hovedmål for hackere, der vil knække de globale forsyningskæder, og det giver en skarp stigning i angreb på branchen.  

Det viser ifølge Børsen den 5. august en undersøgelse fra hollandske NHL Stender University of Applied Sciences. 73 angreb på transportbranchen har undersøgelsen opgjort for 2024. Det er en stigning fra 64 tilfælde i 2023 og 20 i 2020.  

Hackeraktiviteten er eksploderet siden 2020, fortæller Stephen McCombie, professor i maritim it-sikkerhed på NHL Stenden. Det er særligt krigene i Ukraine og Gaza samt konflikten mellem Taiwan og Kina i Det Sydkinesiske Hav, der er baggrund for angreb, fortæller professoren.  

“Transport er en topprioritet for hackere, for det kan få omfattende konsekvenser, hvis forsyningskæderne stoppes. I takt med globale konflikter tager til, så bliver det et endnu vigtigere våben,” siger Stephen McCombie til Børsen.  

Russiske hackere har travlt 

Stephen McCombies undersøgelse flugter med rapporten ‘Russian GRU Targeting Western Logistics Entities and Technology Companies’, der er forfattet af National Security Agency (NSA), Federal Bureau of Investigation (FBI), National Cyber Security Centre (NCSC-UK), Forsvarets Efterretningstjeneste og 17 andre vestlige sikkerhedsorganisationer. 

Siden 2022 har russiske hackere intensiveret deres cyberkampagner mod vestlige logistikvirksomheder og teknologiselskaber, der er involveret i koordinering, transport og levering af udenlandsk hjælp til Ukraine. Ifølge rapporten er disse angreb primært fokuseret på cyberspionage, hvor hackerne forsøger at indsamle følsomme oplysninger om forsyningskæder og logistikoperationer.  

Angrebene er ikke tilfældigt rettet, men fokuserer på specifikke sektorer, herunder forsvar, transport, maritim, lufttrafikstyring og it-tjenester. Geografisk set er angrebene blevet observeret i mange NATO-lande som for eksempel Bulgarien, Tjekkiet, Frankrig, Tyskland, Grækenland, Italien, Moldova, Holland, Polen, Rumænien, Slovakiet, Ukraine og USA. 

Sådan foregår angrebene

De russiske hackere anvender en blanding af kendte taktikker, teknikker og procedurer (TTPs) for at gennemføre deres angreb. Nogle af de mest almindelige metoder inkluderer: 

1. Credential Guessing og Brute Force: Hackerne bruger automatiserede værktøjer til at gætte adgangskoder og udføre brute force-angreb for at få adgang til systemer. Dette inkluderer brug af Tor og kommercielle VPN'er for at skjule deres identitet og undgå detektion. 
2. Spear phishing: Hackerne sender målrettede phishing-e-mails, der indeholder links til falske login-sider, der efterligner officielle regeringers og vestlige skybaserede e-mail-udbydere. Disse e-mails er ofte skrevet på modtagerens modersmål og sendt fra kompromitterede konti eller gratis webmail-konti. 
3. Udnyttelse af sårbarheder: Hackerne udnytter kendte sårbarheder i software og hardware, såsom Outlook NTLM-sårbarheden (CVE-2023-23397) og Roundcube-sårbarheder (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026). De bruger også sårbarheder i WinRAR (CVE-2023-38831) til at udføre vilkårlig kode. 
4. Lateral Movement: Når hackerne først har fået adgang til et system, bruger de native kommandoer og open-source-værktøjer som Impacket og PsExec til at bevæge sig lateralt inden for netværket. De bruger også Remote Desktop Protocol (RDP) til at få adgang til yderligere værter og forsøger at dumpe Active Directory NTDS.dit-domænedatabaser. 
5. Malware: Hackerne bruger en række malware-varianter, herunder HEADLACE og MASEPIE til at etablere vedvarende adgang og eksfiltrere data. De bruger også DLL search order hijacking til at lette udførelsen af malware. 

Vigtigste tiltag til beskyttelse 

For at beskytte sig mod disse avancerede cybertrusler anbefale rapporten, at danske og vestlige logistikvirksomheder implementerer en række sikkerhedsforanstaltninger: 1. 

1. Netværkssegmentering og adgangskontrol: Implementer passende netværkssegmentering og adgangsbegrænsninger for at begrænse adgangen til følsomme systemer. Brug Zero Trust-principper til at designe systemer og baser produktvalg på, hvordan disse produkter kan løse specifikke risici identificeret som en del af ende-til-ende-designet. 
2. Multi-faktor autentificering (MFA): Brug MFA med stærke faktorer, såsom passkeys eller PKI-smartcards og kræv regelmæssig genautentificering. Dette kan hjælpe med at forhindre uautoriseret adgang, selv hvis adgangskoder bliver kompromitteret. 
3. Overvågning og trusselsjagt: Brug automatiserede værktøjer til at overvåge adgangslogfiler for sikkerhedsmæssige bekymringer og identificere unormale adgangsanmodninger. Dette kan hjælpe med at opdage og reagere på mistænkelig aktivitet hurtigt. 
4. Opdatering og patch management: Sørg for, at alle systemer og enheder er opdateret med de seneste sikkerhedsopdateringer og patches. Dette inkluderer at deaktivere og fjerne uønskede tjenester og protokoller, der kan udgøre en sikkerhedsrisiko. 
5. Brugeruddannelse og bevidsthed: Uddan brugere i at genkende og rapportere mistænkelige e-mails og aktiviteter. Dette kan hjælpe med at forhindre succesfulde phishing-angreb og andre former for social manipulation. 
6. Incident response plan: Udvikl og vedligehold en omfattende incident response plan, der dækker alle aspekter af håndtering af cyberangreb fra detektion og inddæmning til genopretning og efteranalyse. 

Rapporten fremhæver, at vestlige logistikvirksomheder står over for en betydelig og vedvarende trussel fra russiske statssponsorerede hackergrupper. Ved at forstå de taktikker og teknikker, der anvendes i disse angreb, og ved at implementere robuste sikkerhedsforanstaltninger, kan virksomhederne bedre beskytte sig mod disse trusler og sikre deres forsyningskæder og logistikoperationer.