Russiske cyberangrep mot vestlige selskaper som støtter Ukraina øker i omfang ettersom trusselaktører utnytter falske nettleseroppdateringer for å spre avansert skadevare. En ny analyse viser hvordan statsstøttede angrep blander seg med tradisjonell nettkriminalitet, noe som skaper et stadig mer komplekst trussellandskap selv for nordiske organisasjoner.
En russisk hackergruppe utnytter falske nettleseroppgraderinger for å spre skadelig programvare til land som støtter Ukraina, og demonstrerer hvordan nettkriminalitet har blitt grenseløs og hvordan de samme teknikkene brukes i både statsstøttede angrep og løsepengeviruskampanjer.
Russisk cyberangrep har blitt en av de mest betydelige truslene mot cybersikkerhet mot bedrifter og organisasjoner i Europa og Norden.
Hackergrupper med bånd til Russland utnytter legitime og ofte pålitelige nettsteder for å spre avansert skadelig programvare til vestlige selskaper som samarbeider med eller gir bistand til Ukraina. En fersk analyse fra cybersikkerhetsfirmaet Arktisk ulv påpeker at deler av den russiske militære etterretningstjenesten GRU sannsynligvis står bak angrepene.
Analysen viser at angrepene er en ny variant av den velkjente SocGholish-metoden. Angrepet er basert på å plante skadelig kode på nettsteder der besøkende blir lurt til å tro at nettleseren deres må oppdateres. Når brukeren klikker på oppdateringen, får angriperne muligheten til å ta neste steg i angrepskjeden. Dette betyr at selv sikkerhetsbevisste brukere risikerer å ubevisst igangsette alvorlige inntrenginger.
Å utnytte falske oppdateringer er en etablert teknikk blant nettkriminelle. Det nye i denne saken er at angriperne kan knyttes til Russland, og at de retter seg mot spesifikke organisasjoner i Vesten som støtter Ukraina på ulike måter, sier Petter Glenstrup, nordisk direktør i Arctic Wolf.
Analysen beskriver en hendelse der en ansatt klikket på en falsk nettleseroppdatering på et infisert nettsted. Popup-vinduet virket legitimt, men aktiverte skadelig programvare som umiddelbart ga angriperne tilgang til systemet. Kort tid etter forsøkte de å installere avansert skadelig programvare fra den russiskstøttede RomCom-gruppen. Kombinasjonen av RomCom og SocGholish har ikke blitt observert før.
RomComs ondsinnede kode aktiveres bare når den identifiserer et spesifikt mål. På denne måten kan snevert målrettede angrep skjules i brede globale kampanjer. Det som på overflaten kan virke som masseangrep, er i praksis angrep mot nøye utvalgte organisasjoner med spesifikke forbindelser til Ukraina.
Hendelsen som danner grunnlaget for analysen rammet et amerikansk teknologiselskap som tidligere hadde samarbeidet med en by med nære bånd til Ukraina. Hendelsen illustrerer en tydelig trend der russisk trusselaktører retter seg mot organisasjoner som direkte eller indirekte jobber til støtte for Ukraina. Dette gjør trusselen svært relevant også for Norden, hvor mange selskaper, myndigheter og ideelle organisasjoner har gitt aktiv bistand siden 2022.
Russiske cyberangrep endrer trusselbildet i Norden
Ifølge Petter Glenstrup Dette er et tydelig eksempel på hvordan dagens cybertrusler ikke har noen geografiske grenser. Det samme verktøy og tilnærminger som brukes både i økonomisk motivert nettkriminalitet og i statsstøttede angrep. Trusselaktørene opererer i et felles marked til tross for helt forskjellige mål, noe som gjør trussellandskapet mer komplekst og vanskeligere å forutsi.
SocGholish er også sterkt assosiert med ransomware. Hackergruppen bak metoden, kalt TA569, fungerer som en digital mellommann og videreselger tilgang til kompromitterte systemer til andre nettkriminelle eller statsstøttede aktører. Mange angrep iverksettes opportunistisk uten umiddelbare konsekvenser, men bør alltid sees på som et varseltegn på et potensielt mer alvorlig brudd.
Alle som oppdager et SocGholish-brudd bør oppføre seg som om de er i de tidlige stadiene av et ransomware-angrep. Rask handling kan begrense spredningen og forhindre at angrepet eskalerer til et fullskala brudd, ifølge Petter Glenstrup.
For mange organisasjoner betyr denne utviklingen at tradisjonelle sikkerhetsforutsetninger ikke lenger er tilstrekkelige. Når legitime nettsteder brukes som en distribusjonskanal for skadelig programvare, blir grensen mellom pålitelige og risikable miljøer uklar, noe som stiller større krav til både teknisk beskyttelse og kontinuerlig brukeropplæring.
Tips for å beskytte deg mot falske oppdateringer
Arktisk ulv anbefaler flere forebyggende tiltak for å redusere risikoen for SocGholish og lignende angrep. Programvareoppdateringer bør alltid gjøres gjennom sentrale og godkjente kanaler og aldri gjennom popup-vinduer i nettleseren. Organisasjoner bør overvåke klienter for unormal nettverksadferd og automatisert skriptkjøring. Det er også viktig å bruke moderne løsninger for endepunktbeskyttelse som kan oppdage og stoppe forsøk på å installere skjult skadelig programvare. Tydelige prosedyrer for hvordan oppdateringsvarsler skal håndteres og kontinuerlig brukeropplæring er avgjørende for å redusere risikoen for vellykkede angrep.
Hele analysen kan leses på Arktisk ulv.











