Defensiebedrijven, hun wervingsprocessen en hun werknemers zijn een belangrijk doelwit geworden van door de staat gesponsorde cyberspionagecampagnes, volgens een rapport van Google dat voorafgaand aan de Veiligheidsconferentie van München is vrijgegeven.
Het rapport catalogiseert een “meedogenloos spervuur van cyberoperaties”, meestal door door de staat gesteunde groepen, tegen industriële toeleveringsketens in de EU en de VS. Het suggereert dat het scala aan doelwitten voor deze hackers is uitgegroeid tot de bredere industriële basis in de VS en Europa – van Duitse lucht- en ruimtevaartbedrijven tot Britse autofabrikanten.
Aan de overheid gelieerde hackers richten zich al lange tijd op de mondiale defensie-industrie, maar Luke McNamara, een analist voor de Threat Intelligence-groep van Google, zei dat ze meer ‘persoonlijke’ en ‘direct op individuele’ gerichte aanvallen op werknemers hadden gezien.
“Het is moeilijker om deze bedreigingen te detecteren wanneer deze zich voordoen op het persoonlijke systeem van een werknemer, toch? Het bevindt zich buiten een bedrijfsnetwerk”, zei hij. “Het hele personeelsgedeelte is een van de hoofdthema’s geworden.”
Google had ook meer afpersingsaanvallen opgemerkt die gericht waren op kleinere spelers die niet direct in de defensie-toeleveringsketen actief zijn, zei hij, zoals bedrijven die auto’s of kogellagers maken.
Een recente aanval door een groep die banden heeft met de Russische inlichtingendienst geeft aan hoe breed het internet is geworden. Het leek erop dat hackers informatie probeerden te stelen door de websites van honderden toonaangevende defensiebedrijven uit Groot-Brittannië, de VS, Duitsland, Frankrijk, Zweden, Noorwegen, Oekraïne, Turkije en Zuid-Korea te vervalsen.
Rusland heeft ook specifieke hacks ontwikkeld om de Signal- en Telegram-accounts van Oekraïens militair personeel, journalisten en overheidsfunctionarissen in gevaar te brengen, met behulp van methoden en kwetsbaarheden waarvan Google zegt dat andere aanvallers deze zouden kunnen gebruiken.
Hackers hebben ook uiterst gerichte aanvallen gelanceerd op de drone-eenheden in de frontlinie van Oekraïne door zich voor te doen als Oekraïense dronebouwers of door drone-trainingen te geven.
Dr. Ilona Khmeleva, de secretaris van de Oekraïense Economische Veiligheidsraad, zei dat veel cyberaanvallen tegen Oekraïens militair personeel geïndividualiseerd waren, waarbij sommige potentiële doelwitten wekenlang vóór een aanval werden gevolgd.
De Oekraïense autoriteiten hebben tussen 2024 en 2025 een toename van 37% in cyberincidenten geregistreerd, zei ze.
Buiten Europa gebruiken andere groepen soortgelijke tactieken om defensieleveranciers aan te vallen. Deze inspanningen zijn steeds meer gericht op mensen die banen proberen te krijgen in de defensie of op kwetsbaarheden in de aanwervingsprocessen bij grote bedrijven.
Noord-Koreaanse hackers hebben zich voorgedaan als recruiters van bedrijven in campagnes tegen vooraanstaande defensiebedrijven, waarbij ze kunstmatige intelligentie gebruiken om werknemers, hun rol en hun potentiële salarissen uitgebreid te profileren om “potentiële doelwitten voor een aanvankelijk compromis te identificeren”.
Veel van deze campagnes zijn zeer succesvol geweest. Afgelopen zomer ontdekte het Amerikaanse ministerie van Justitie dat Noord-Koreanen erin waren geslaagd banen te bemachtigen als ‘IT-werknemers op afstand’ voor meer dan 100 Amerikaanse bedrijven. De Amerikaanse autoriteiten beweerden dat ze dit deden om de Noord-Koreaanse regering te financieren door lonen te innen en in sommige gevallen cryptocurrency te stelen.
Iraanse door de staat gesponsorde groepen hebben nep-banenportals gecreëerd en nep-banenaanbiedingen geplaatst om inloggegevens te verkrijgen van defensie- en dronebedrijven.
Een groep genaamd APT5, verbonden aan China, heeft werknemers van lucht- en ruimtevaart- en defensiebedrijven aangevallen met e-mails en berichten die zijn afgestemd op hun geografische locatie, persoonlijke leven en professionele rollen.
Ouders van jonge kinderen ontvingen bijvoorbeeld valse berichten van de Boy Scouts of America of van een nabijgelegen middelbare school; inwoners van bepaalde Amerikaanse staten ontvingen valse informatie over de verkiezingen van 2024. Medewerkers van belangrijke bedrijven kregen ook valse uitnodigingen voor evenementen, waaronder Rode Kruis-cursussen en een nationale veiligheidsconferentie in Canada.
Khmeleva zei: “Nu westerse technologieën en investeringen in Oekraïne worden geïntegreerd – onder meer door militaire hulp en gezamenlijke industriële projecten – breidt de pool van potentiële slachtoffers zich uit tot buiten de Oekraïense burgers.
“Werknemers van buitenlandse bedrijven, aannemers, ingenieurs en adviseurs die betrokken zijn bij aan Oekraïne gerelateerde projecten kunnen ook doelwitten worden, waardoor dit een transnationale veiligheidskwestie wordt, en niet een puur nationale kwestie.”
