Den nyaste hybridpåverkansmetoden och formen av hot är fortfarande det svåraste att förstå, även om det har funnits i tjugo år. Skadliga cyberaktiviteter kan riktas mot datanätverk på tre sätt: genom spionage, attack och manipulation av data (bearbetning).

Cyber spionage eller datanätverksspionage liknar traditionell underrättelse- och spionageaktivitet utformad för att samla information. Stulna uppgifter som samlats in via cyberspionagen kan hållas hemliga som din egen information för eget bruk eller läckas ut för inflytandeändamål (t.ex. Wiki Leaks) som en del av hybridpåverkan.

Två kända hackergrupper (APT 28 / Fancy Bear och APT 29 / Cozy Bear) med band till ryska underrättelsetjänster är kända för att ha genomfört spionoperationer i datanät mot andra stater. År 2015 infiltrerade APT 29 USA: s, Vita husets datanätverk, liksom också nätverk från flera organisationer i Västeuropa, Central- och Östasien och Central- och Sydamerika. APT 28 visade sig också ha brutit sig in i militära och försvarsföretags nätverk i Amerika, Europa och Asien. De låg också bakom intrången i det tyska parlamentets nätverk och den franska TV5 Monde 2015.

Hemlig insamling av information är inte nytt, men cyberdimensionen ger nya verktyg och sänker kostnaderna. Cyberverksamhet är billig och riskerna är låga och de kan ge bra resultat. Detta gör cyberverktyg också attraktiva för fattigare länder.

En cyberattack, eller datanätverksattack, är ett kontinuum av cyberspionage som specifikt riktar sig mot informationsnätverksinfrastrukturerna i samhällets elektriska, kommunikations-, vatten-, finans- och andra kritiska system. Hittills har dessa varit relativt få, men aktiviteten har ökat betydligt de senaste åren.

Upptäckten av Stuxnet i Irans datorsystem 2010 markerade förverkligandet av en ny typ av cyberkrigsmetod. Detta ”världens första digitala vapen” skilde sig från tidigare sabotageprogram genom att det, förutom att stjäla data, förstörde fysiska enheter som styrs av datorer. Det fanns två olika versioner av attacken: den första skadade centrifugerna i Irans kärncentrifuger och det andra manipulerade företagsdatasystemen. Dessa företag levererade industriella kontroll- och bearbetningssystem till Irans kärnkraftsprogram.

En av de mest oroväckande attackerna har varit den framgångsrika attacken mot det kanadensiska företagets, Telvent-datanätverk utförd av cyberoperationsgruppen (APT 1 / Comment Crew / Comment Panda) som tillhör den kinesiska arméns enhet 61398. Företaget planerar programvara för fjärrkontroll av ventiler, brytare och säkerhetssystem för olje- och gasledningsföretag och elnätsoperatörer. Telvent har tillgång till detaljerade planer för mer än hälften av alla nord- och sydamerikanska olje- och gasledningar och deras system.

Cyberattacker mot kritisk infrastruktur, särskilt elnät, har ägt rum i samband med nästan alla politiska och militära kriser på senare tid, t.ex. Estland 2007, Balkan, Georgien 2008, Ukraina sedan 2014, Syrien och på andra håll i Mellanöstern.

Vid cybermanipulation kan hackergrupper manipulera eller ändra data som lagras i ett datanätverk när det kommer in i systemet. Manipulation kan vara en allvarlig utmaning i framtiden. Hittills har de flesta intrång i datanätverk varit datastölder. Hotet är att en inkräktare kommer åt att manipulera och ändra information så att nätägaren inte längre kan lita på informationen i sitt eget system. Tidigare USA: s nationella underrättelsedirektör (DNI), James Clapper, har bland annat uttryckt oro över detta: ”Jag tror att vi kommer att se fler cyberoperationer som förändrar eller bearbetar elektronisk information för att äventyra dess integritet”. En av de allvarligaste incidenterna av elektronisk manipulation var 2013, när syriska hackare kom in på Twitter-kontot för nyhetsbyrån Associated Press och twittade falska nyheter om Vita husets explosion. Detta hade också en direkt effekt på amerikanska aktiekurser. Ett av de första försöken att manipulera data för att uppnå politiska mål ägde rum under 2016 års amerikanska presidentval. Ryska hackare som besökte Illinois-väljardatabas försökte ändra registerinformation utan framgång.

Senaste trenderna

Under 2017 uppdagades många lösenprogram (ransomware; WannaCry, NotPetya och BadRabbit), i nästan epidemisk i stil. År 2018 avslöjades hur bristande möjligheterna är att möta cyberhot relaterade till sidokanalattacker och sårbarheter i mikroprocessorer och olika komponenter och enheter (manipulerade komponenter, tampering). Från och med 2019 började hemliga militära operationer relaterade till interstatliga konflikter äga rum i cyberrymden. Som ett resultat har cyberhot-forskare runt om i världen börjat rikta sin uppmärksamhet från ekonomiskt motiverade cyberbrottslingar till statligt sponsrade cyberaktiviteter.

Under de senaste åren har Internet of Things (IoT) tillfört en ny dimension till cybervärlden som kan utnyttjas i cyberoperationer. På grund av enheternas låga säkerhet och skydd är det möjligt att komma åt datanätverk och sprida skadlig kod genom dem.

Fokus för cyberoperationer av stater och deras stödda grupper är på spionage. Det finns över hundra aktiva grupper runt om i världen, kopplade till organisationer i nästan 20 länder. Sådana länder inkluderar åtminstone Sydkorea, Indien, Iran, Israel, Kina, Libanon, Nigeria, Pakistan, Palestina, Nordkorea, Syrien, Ryssland, Vietnam, Turkiet, Förenade Arabemiraten och USA. Flera västländer, som Storbritannien, Frankrike, Tyskland och USA, arbetar i cyberrymden som aktörer som en del av deras underrättelse- och försvarsorganisationers verksamhet.

Cyberoperationer i kombination med annan hybridpåverkan har gett stater möjlighet att agera på ett sätt som åtminstone till viss del kan genomföras i hemlighet och på ett sådant sätt att staternas engagemang i exponerade fall kan förnekas. Offensiva cyberoperationer har använts, särskilt i samband med krisen i Ukraina och ockupationen av Krim, och i Mellanöstern i samband med det syriska inbördeskriget och situationen i Iran.

Av de statligt stödda cyberoperationerna är de ryska aktörerna de mest aktiva och orsakat störst förödelse. Sedan 2014 har deras huvudsakliga mål varit den ukrainska regeringen och dess brottsbekämpande organ och väpnade styrkor. Sedan 2017 har ryska åtgärder också riktats mot kritisk infrastruktur och energisektorn i Europa och USA, såsom kärnkraftverk. Minst sju ryska grupper har identifierats och fungerar under olika namn.

Kinesiska grupper har visat sig vara inriktade på regeringens krav i planen Made in China 2025 för teknik-, energi- och hälsovårdssektorn. Under de senaste åren har aktiviteten i kinesiska grupper ökat, vilket åtminstone delvis är relaterat till försämringen av förbindelserna mellan USA och Kina.

Under de senaste åren har iranska grupper intensifierat sin verksamhet med nya taktiker, tekniker och förfaranden. Dessa inkluderar till exempel strategiska webbkomprometteringskampanjer och mobila skadliga program. De har använts mot regionala rivaler, för att begränsa landets oppositionsaktiviteter och för att stödja sina egna ”mjuka krig” -kampanjer.

Nordkoreanska grupper har också ökat sin aktivitet. Bland målen utmärker sig finanssektorn och spionaget mot Sydkorea.

Nationella och multinationella myndigheter:

• Danish Defence Intelligence Service: : https://fe-ddis.dk/da/
• Estonian Foreign Intelligence Service: https://www.valisluureamet.ee/sec_env.html
• The European Centre of Excellence for Countering Hybrid Threats: https://www.hybridcoe.fi/
• European Union Institute for Strategic Studies: https://www.iss.europa.eu/
• Norwegian Intelligence Service: https://www.forsvaret.no/sokeresultat/_/attachment/download/7bc5fcbd-e39c-4cb6-966a-0f7115205b44:d282e733ce4f5697c9e4a7afc5a63c16dab6c151/Focus%202020%20english.pdf
• State Security Department of Lithuania: https://www.vsd.lt/en/threats/threats-national-security-lithuania/
• US CERT (Department of Homeland Security & Federal Bureau of Investigation): https://us-cert.cisa.gov/

Privata företag och organisationer som forskar och undersöker cyberaktiviteter::

• Attack Mitre: https://attack.mitre.org/
• Balkan Service Group: balkanservicegroup.wordpress.com
• CrowdStrike: https://www.crowdstrike.com/
• Eset: eset.com
• Fireeye: fireeye.com
• Intezer: intezer.com
• Kaspersky Lab: kaspersky.com
• Palo Alto Networks Unit 42: paloaltonetworks.com
• Symantec: broadcom.com
• Wired: wired.com