Grensen mellom nasjonalstater og nettkriminalitet blir uskarp: Det er dårlige nyheter for CISOer

Av Phil Muncaster • 22 april 2025

Alle føler seg mer bekymret for geopolitisk risiko i disse dager. Det er i stor grad på grunn av kaoset som oppsluker Washington, selv om globale spenninger har bygget seg opp en stund. Det siste World Economic Forum (WEF) Rapport om global risikohevder for eksempel at risikoen «mest sannsynlig vil presentere en materiell krise på global skala i 2025» er en «statsbasert væpnet konflikt». Den føyer seg sammen med "cyberusikkerhet" og "feilinformasjon og desinformasjon" på listen over topp 10 største kortsiktige risikoer.

Cyber vil være et nøkkeldomene for den store maktrivaliseringen som skal definere de kommende tiårene. Likevel er de tilhørende risikoene for CISOer og deres organisasjoner stadig vanskeligere å definere. Det er fordi den en gang klare grensen mellom nasjonalstat og nettkriminalitet begynner å bli uklar. Sikkerhetsledere må stole på industriens beste praksis for å navigere trygt i disse ukjente farvannene.

Reglene endres

Både Microsoft og Google Mandiant har nylig dokumentert den økende overgangen mellom nasjonalstatskampanjer og nettkriminalitet. På mange måter er ikke dette et nytt fenomen. Nylige hendelser forverrer imidlertid problemet. De Google-rapportnotater at "det økte nivået av cyberaktivitet etter Russlands krig i Ukraina har vist at i tider med økt behov, kan den latente talentmassen av cyberkriminelle betales eller tvinges for å støtte statlige mål".

Det er flere aspekter ved dette:

1. Nasjonalstater som bruker hyllevare verktøy og tjenester for nettkriminalitet

Dette har flere fordeler for myndighetene. Å bruke forhåndsbygde verktøy for nettkriminalitet er billigere enn å utvikle tilpassede alternativer internt. Det bidrar til å tilsløre den sanne opprinnelsen eller hensikten med angrep. Og slike verktøy "kan operasjonaliseres på kort varsel uten umiddelbare koblinger til tidligere operasjoner", ifølge Google.

Statsstøttede grupper kan kjøpe eller leie skadevare og utnyttelser, legitimasjon, botnett-infrastruktur, stjålet informasjon, førstegangstilgang eller andre tilbud som enkelt kan lokaliseres på undergrunnen av nettkriminalitet. For eksempel:

Microsoft gjorde krav på desember 2024 at den russiske Turla-gruppen (Secret Blizzard) brukte Amadey bot-malware knyttet til nettkriminalitet, for å målrette mot ukrainske militære enheter
I mai 2024 identifiserte Google en iransk gruppe, UNC5203, som brukte RADTHIEF-bakdøren i en operasjon rettet mot den israelske atomforskningsindustrien.

Den kinesiske gruppen UNC2286 brukte løsepengevare fra STEAMTRAIN og en løsepenge knyttet til DarkSide-gruppen for å skjule det som var en nettspionasjekampanje, sier Google

2. Samordning av cyberkriminalitetsgrupper

Nasjonalstater henvender seg også til nettkriminelle personlig for å få deres hjelp. Nok en gang kan dette redusere kostnadene, frigjøre internt personale til å jobbe med mer strategiske mål og forbedre plausibel fornektelse. Vi kan se dette med:

Den russiske FSB-gruppen Aqua Blizzard hvilken "overførte" tilgang til 34 kompromitterte ukrainske enheter til nettkriminalitetsgruppen Storm-0593 for arbeid etter utnyttelse, ifølge Microsoft
Nettkrimgjengen Cigar (RomCom), som har utført «spionasjeaksjoner» mot den ukrainske regjeringen siden 2022, sier Google
Det kinesiske cybersikkerhetsfirmaet i-Soon i privat sektor, som USA nylig sanksjonert, og drev tilsynelatende hacking-for-hire-operasjoner for Beijing mellom 2016-23, belastet $10,000-$75,000 per kompromittert e-postinnboks, og tjente også penger på opplæring av offentlige lovhåndhevere.

3. Å tillate statlige hackere å få måneskinn

Det er et økende antall eksempler der tilsynelatende statsstøttede grupper får lov til å tjene penger ved siden av. I følge Google kan "dette tillate en regjering å kompensere for direkte kostnader som vil være nødvendig for å opprettholde grupper med robuste evner". Eksempler inkluderer:
Den produktive kinesiske trusselgruppen APT41, som har en «lang historie» med økonomisk motivert aktivitet, ifølge Google. Dette inkluderer løsepengevare rettet mot videospillsektoren og til og med tyveri av COVID-hjelpemidler.
Iran gruppe UNC757, som ble oppdaget i fjor, samarbeider med ransomware-tilknyttede selskaper fra NoEscape, RansomHouse og ALPHV.

4. Nasjonalstater oppfører seg som cyberkriminalitetsgrupper

Denne refererer nesten utelukkende til Nord-Korea, som retter seg mot finans- og kryptofirmaer for midler for å støtte sine atom- og missilprogrammer. Senest:
Nordkoreanske statshackere ble skylden for tidenes største cyberran da 1.5 milliarder dollar i krypto ble stjålet fra Bybit.
En økende trend med Nordkoreanske IT-arbeidere å lure vestlige selskaper til å ansette dem har dukket opp. Når de er på plass og jobber eksternt, sender de lønningene tilbake til Pyongyang. Svindlerne kan også bruke privilegert tilgang til å stjele sensitiv informasjon og/eller presse ut sine tidligere arbeidsgivere når deres rolle er avsluttet. Det er en trussel som vil øke ettersom AI gjør det lettere å skape overbevisende falske personas.

Hva CISOer kan gjøre

Disse trendene gir CISOer flere utfordringer.

"Det gjør det vanskeligere å forutsi angriperens atferd og øker risikoen for sideskade," advarer Bugcrowd-grunnlegger Casey Ellis ISMS.online. "For eksempel kan et løsepengevareangrep i utgangspunktet virke økonomisk motivert, men kan senere avsløre geopolitiske hensikter. CISOer må nå gjøre rede for et bredere spekter av motstandere, hver med varierende nivåer av raffinement, ressurser og mål. I tillegg til dette har cyberkriminelle grupper og offentlige lovbruddsteam svært forskjellige rettigheter rundt hva de vil eller overvinner."

Uten tydelig attribusjon, kan CISO-er også bli hemmet i svaret, legger han til,

"Sterk cybersikkerhetshygiene - som identifikasjon av eiendeler, sårbarhetshåndtering og planlegging av hendelsesrespons - er fortsatt grunnleggende. Men å forstå hvem som angriper deg kan forbedre forsvaret ditt," argumenterer Ellis.

"For eksempel kan en statsstøttet trussel være rettet mot åndsverk, mens en nettkriminell gruppe kan fokusere på økonomisk gevinst. Attribusjon informerer også samarbeid med rettshåndhevelse og etterretningsbyråer, og hjelper til med å løse systemiske problemer som trygge havn for angripere."

Hvis de kan forstå hvem som angriper dem og hvorfor, kan CISO-er begynne å lage en effektiv respons, forteller Fenix24 CISO Heath Renfrow til ISMS.online.

"Hvis det er nettkriminelle, bør fokuset være på rask inneslutning, utryddelse og herde forsvar for å forhindre gjentatte angrep. Men når det gjelder nasjonalstatlige aktører, kan responsinnsats kreve utvidet overvåking, kontraetterretningstaktikk og koordinering med offentlige etater," forklarer han. "Hybride trusler krever et flerlags forsvar - som kombinerer Zero Trust, sanntids trusselintelligens og motstandsdyktighetsstrategier etter hendelsen."

I mellomtiden vil AI og automatisering bli stadig viktigere for CISO-er etter hvert som truslene utvikler seg, hevder Deepwatch CISO, Chad Cragle.

"AI-drevet trusseldeteksjon og automatisert respons hjelper sikkerhetsteam med å skalere mot motstandere som opererer med hastighet og volum. Til syvende og sist må sikkerhetsstrategier være trusselagnostiske og tilpasningsdyktige," sier han til ISMS.online.

"Når grensene mellom nettkriminalitet og nasjonalstatsaktivitet fortsetter å viskes ut, vil stive sikkerhetsprogrammer slite med å følge med. Organisasjoner som prioriterer motstandskraft, tilpasningsevne og etterretningsdrevet forsvar vil være best posisjonert for å redusere risiko - uansett hvem som står bak angrepet."

Sikkerhetsledere som følger standarder som ISO 27001 vil finne det lettere å omfavne disse beste praksisene. Og de ville ha rett til å gjøre det. An tilsynelatende avspenning mellom USA og Russland vil neppe endre det langsiktige trusselbildet. Bedre plan nå for en mer kompleks, ugjennomsiktig og farlig fremtid.

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 5 mars 2026

Britiske finansforetak svikter fortsatt med det grunnleggende, advarer Boe.

Britiske finansselskaper svikter fortsatt i det grunnleggende, advarer BoE

Storbritannias finanssektor presterer langt over gjennomsnittet. London er en god nummer to etter New York som verdens fremste finansknutepunkt, og ...

Phil Muncaster

Cyber sikkerhet 17 februar 2026

Hva LastPass-bruddet forteller oss om samsvar i 2026

GDPR var alltid ment å være vag. Ved å ikke liste opp forskrivende tekniske kontroller – slik for eksempel PCI DSS gjør – gjør forskriften en bedre...

Phil Muncaster

Cyber sikkerhet 12 februar 2026

Er regjeringens cyberhandlingsplan egnet for formålet?

Det skjer ikke ofte at myndighetene innrømmer at de tok feil. Likevel, i begynnelsen av året, ble vi møtt med en sjelden mea culpa: en erkjennelse av at en tidligere...

Phil Muncaster