APT-grupper riktar in sig på byggföretag för att stjäla RDP-, SSH- och Citrix-inloggningsuppgifter

Byggbranschen har under 2025 blivit ett primärt mål för avancerade cyberhotaktörer. Statligt sponsrade APT-grupper, ransomware-operatörer och organiserade cyberkriminella nätverk riktar in sig på organisationer inom bygg- och anläggningssektorn för att stjäla känslig information och skapa långsiktig åtkomst till nätverk.

APT-grupper utnyttjar byggbranschens digitalisering

Nationella aktörer från Kina, Ryssland, Iran och Nordkorea drar nytta av byggbranschens snabba digitala transformation och befintliga säkerhetsluckor. Syftet är att etablera långvarig närvaro i nätverk, samla in underrättelser och utvinna värdefull data som kan användas i ekonomiskt eller strategiskt syfte.

Hotbilden förstärks av branschens ökade beroende av IoT-enheter, BIM-system (byggnadsinformationsmodellering) och molnbaserade projektledningsplattformar.
Dessa teknologier förbättrar effektiviteten men öppnar också nya attackytor som utnyttjas av sofistikerade angripare för att etablera fotfästen som ofta förblir oupptäckta.

Annons

Ransomware och leveranskedjeattacker

Cyberbrottslingar riktar sig mot byggföretag med ransomware-kampanjer som syftar till att störa tidsplaner och tvinga företag att betala för att återställa driften.
Samtidigt ökar antalet attacker i leveranskedjan, där angripare slår mot tredjepartsleverantörer av programvara och utrustning för att sprida intrång till flera mål samtidigt.

Även social ingenjörskonst blir allt vanligare. Personer på byggarbetsplatser manipuleras via falska e-postmeddelanden, SMS och telefonsamtal från bedragare som utger sig för att vara kollegor, projektledare eller leverantörer.
Konsekvensen blir operativa störningar och ekonomiska förluster som kan uppgå till miljonbelopp.

Försäljning av nätverksåtkomst på mörka webben

Hotaktörer har identifierat initial nätverksåtkomst som en kritisk punkt för infiltration.
I stället för att själva utföra rekognoscering köper de redan komprometterade inloggningsuppgifter via underjordiska forum på den mörka webben.
Tillgångar till salu omfattar VPN-, RDP-, SSH-, Citrix-, SMTP- och FTP-konton som kommer från tidigare intrång i byggrelaterade nätverk.

Prissättningen på dessa åtkomster korrelerar direkt med målorganisationens storlek och nätverkskomplexitet, vilket gör större byggföretag till särskilt attraktiva mål.
Med dessa uppgifter kan angripare kringgå traditionella säkerhetslager och etablera legitima nätverkssessioner som är svåra att upptäcka.

Väl inne i systemen stjäl angriparna systematiskt arkitektritningar, projektavtal, ekonomiska dokument och personuppgifter som tillhör både anställda och underleverantörer.

Social ingenjörskonst och falska leverantörer

Byggsektorn är särskilt sårbar för phishing- och social-engineering-attacker på grund av sin spridda organisation.
Arbetsstyrkan finns på flera platser, projektledare arbetar ofta på distans, och samarbetet med många leverantörer skapar flera kontaktpunkter för bedragare.

Angripare utger sig ofta för att vara projektledare eller leverantörer och skickar e-post, SMS eller ringer samtal där de begär brådskande betalningar, inloggningar eller åtkomst till känsliga dokument.
Bedrägliga fakturor och falska ändringar i betalningsuppgifter har blivit särskilt effektiva.

Genom att skapa känsla av brådska kringgår angriparna ofta interna kontrollrutiner, vilket leder till betydande ekonomiska skador och förlust av förtroende mellan samarbetspartners.

Leveranskedjans svaga punkter

Ett typiskt byggprojekt involverar många underleverantörer, där varje part introducerar sin egen säkerhetsnivå och potentiella sårbarheter.
Eftersom byggföretag sällan har full insyn i tredjeparts cybersäkerhetsstandarder uppstår blinda fläckar där intrång snabbt kan spridas mellan system.

Komprometterade programuppdateringar, nätverksenheter eller hårdvaruleveranser kan användas för att plantera skadlig kod över hela projektkedjan.
Branschens fokus på snabbhet och kostnadseffektivitet framför säkerhetsgranskning förvärrar risknivån ytterligare.

Mildrande åtgärder och förebyggande strategi

För att möta dessa utmaningar måste byggorganisationer göra cybersäkerhet till en strategisk prioritet.
Säkerhet bör integreras i alla projektfaser – från planering till leverans.

Rekommenderade åtgärder:

• Säkra äldre system och segmentera nätverk för att isolera IoT-enheter.
• Utför regelbundna firmware- och säkerhetsuppdateringar.
• Genomför obligatorisk säkerhetsutbildning för alla medarbetare.
• Kryptera känslig data både i vila och under överföring.
• Inkludera cybersäkerhetskrav i leverantörsavtal.
• Utför tredjepartsrevisioner och realtidsövervakning av sårbarheter.
• Skapa incidentplaner och öva regelbundet på hotrespons.

En proaktiv strategi för riskreducering är avgörande för att skydda byggprojektens kontinuitet och stärka företagens motståndskraft mot framtida cyberhot.