Datasikkerhet

Google avslørte KKP-tilknyttede hackere som angrep 53 mål globalt

20. mars 20265 min lesing

Google avslørte KKP-tilknyttede hackere som angrep 53 mål globalt

Google har lykkes med å avvikle et statsstøttet hackernetteverk med tilknytning til Det kinesiske kommunistpartiet, kjent i cybersikkerhetsmiljøer som UNC2814 eller «Gallium». Gruppen hadde i det stille infiltrert minst 53 organisasjoner i 42 land og hentet ut sensitiv personlig informasjon, inkludert fulle navn, telefonnumre, fødselsdatoer, fødesteder, velger-ID-numre og nasjonale ID-numre. Operasjonen hadde pågått i over et tiår før Google og dets partnere grep inn.

Dette er ikke en historie om et fjernt bedriftsangrep. Det er en historie om den typen personlig informasjon som definerer identiteten din – som høstes i global skala av en ressurssterk, statstilknyttet operasjon.

Hvem er Gallium og hva var de ute etter?

Gallium er det sikkerhetsmiljøet kaller en Advanced Persistent Threat (APT)-gruppe. Dette er ikke opportunistiske nettkriminelle som kjører phishing-svindel for rask gevinst. APT-grupper er typisk støttet av nasjonalstater, opererer med langsiktige strategiske mål, og har tålmodigheten og ressursene til å forbli skjult inne i kompromitterte systemer i måneder eller år.

I dette tilfellet brukte Gallium over et tiår på å gjennomføre innbrudd på tvers av flere bransjer, med særlig fokus på offentlige etater og telekomoperatører. Telekomnett er et primærmål fordi de bærer enorme mengder kommunikasjonsdata. Å kompromittere en telekomoperatør kan gi angriperne tilgang til anropslogger, meldingsmetadata og abonnentinformasjon i stor skala – uten noensinne å måtte hacke enkeltbrukere direkte.

Dataene de fikk tilgang til leses som alt en svindler, en utenlandsk etterretningstjeneste eller en identitetstyv ville ønske seg: navn, fødselsdatoer, fødesteder, telefonnumre, velgerregistreringsdetaljer og nasjonale identifikasjonsnumre.

Hvorfor myndigheter og telekomselskaper bare er inngangspunktet

Det er fristende å lese en slik historie og tro at den bare berører offentlig ansatte eller mennesker som er uheldige nok til å bruke en kompromittert telekomtjeneste. Den antagelsen er verdt å stille spørsmål ved.

Når en statstilknyttet gruppe angriper telekominfrastruktur, når ringvirkningene vanlige abonnenter. Når offentlige databaser brytes, tilhører de personlige opplysningene som er lagret i dem privatpersoner. De 53 enhetene som ble angrepet i 42 land var tilgangspunktene – ikke det endelige målet.

Statsstøttede cyberoperasjoner som Galliums brukes også ofte til å bygge opp dossier på enkeltpersoner for overvåking, utpressing eller fremtidig målretting. Sammenstillingen av tilsynelatende hverdagslige datapunkter – en fødselsdato her, et velger-ID-nummer der – skaper en profil som er farligere enn hva et enkelt stykke informasjon alene ville vært.

Googles inngripen er betydningsfull, men den gjør ikke et tiår med tilgang om igjen. Dataene som ble tilgang til i løpet av den perioden, forsvinner ikke når nettverket er avviklet.

Hva dette betyr for deg

Hvis du bor i ett av de 42 landene som ble angrepet, eller hvis du bruker tjenester som drives av noen av de 53 berørte enhetene, kan dine personlige opplysninger allerede ha blitt eksponert. Det finnes ingen bekreftet offentlig liste over disse organisasjonene på dette tidspunktet, noe som gjør det vanskelig å vite med sikkerhet om du er berørt.

Her er hva du kan gjøre akkurat nå:

Overvåk identiteten din. Se etter ukjente kontoer, uventede kredittforespørsler eller offisiell korrespondanse som tyder på at noen bruker dine opplysninger.
Vær forsiktig med uoppfordret kontakt. Phishing-forsøk og sosiale manipulasjonsangrep følger ofte store databrudd, fordi angripere bruker stjålet informasjon for å gjøre sine henvendelser mer overbevisende.
Begrens din dataeksponering på nett. Jo mindre personlig data du overfører over usikrede forbindelser, desto mindre er angrepsflaten din.
Bruk VPN på offentlige og upålitelige nettverk. Selv om en VPN ikke kan beskytte data som allerede er stjålet fra en tredjepartsorganisasjon, krypterer den internetttrafikken din slik at nettleseraktiviteten din, plassering og kommunikasjon ikke kan avlyttes under overføring av noen som overvåker nettverket – enten det er en kriminell, en datamegler eller en statlig aktør.

Gallium-saken er en påminnelse om at overvåkingsorienterte cyberoperasjoner ikke er hypotetiske trusler. De pågår i årevis, de angriper infrastruktur du er avhengig av hver dag, og de samler inn de samme kategoriene personlig data som du rutinemessig deler med tjenester og institusjoner.

Krypterte forbindelser er en del av et bredere forsvar

Intet enkelt verktøy eliminerer all risiko, og det ville være uærlig å antyde noe annet. Men å lagdele forsvaret sitt har betydning. [Å forstå hvordan VPN-kryptering fungerer](internal-link: encryption explainer) og anvende det konsekvent – særlig når man kobler til via offentlig Wi-Fi eller nettverk utenfor din kontroll – reduserer mengden data som kan fanges opp om deg under overføring.

hide.me VPN krypterer internettforbindelsen din ved hjelp av sterke, reviderte protokoller, maskerer IP-adressen din og forhindrer tredjeparter fra å avlytte trafikken din. Det vil ikke reversere et brudd som allerede skjedde hos en offentlig etat eller et telekomselskap. Det det gjør, er å sikre at din egen forbindelse ikke er et lett mål for den typen passiv overvåking og datainnsamling som gir næring til operasjoner som Galliums.

Googles nedleggelse av dette nettverket er en reell seier for global cybersikkerhet. Den bredere lærdommen er imidlertid at statsstøttet hacking er et vedvarende, tålmodig og godt finansiert problem. Å ta skritt for å beskytte dine egne data – inkludert [å velge personvernverktøy du kan stole på](internal-link: privacy tools guide) – er ikke paranoia. Det er en fornuftig respons på en dokumentert trussel.

// FAQ

S1: Hva er Gallium og hvem står bak det?

S2: Gallium, også kjent som UNC2814, er en statsstøttet Advanced Persistent Threat-gruppe med tilknytning til det kinesiske kommunistpartiet. I motsetning til opportunistiske nettkriminelle opererer APT-grupper med langsiktige strategiske mål og er støttet av ressurser fra nasjonalstater.

S2: Hvor mange organisasjoner klarte Gallium å infiltrere?

S2: Gallium infiltrerte minst 53 organisasjoner i 42 land. Operasjonen pågikk i over et tiår før Google og dets partnere grep inn.

S3: Hvilke typer personopplysninger stjal Gallium?

S3: Gruppen hentet ut sensitive personopplysninger, inkludert fulle navn, telefonnumre, fødselsdatoer, fødesteder, velger-ID-numre og nasjonale ID-numre. Denne kombinasjonen av datapunkter kan skape farlige profiler som er nyttige for overvåking, utpressing eller identitetstyveri.

S4: Hvorfor rettet Gallium seg spesifikt mot offentlige etater og telekomoperatører?

S4: Telekomnett bærer enorme mengder kommunikasjonsdata, noe som gir angripere tilgang til anropsregistre, meldingsmetadata og abonnentinformasjon i stor skala uten å hacke individuelle brukere. Offentlige etater lagrer på samme måte store mengder personopplysninger om vanlige borgere.

S5: Betyr det at de stjålne dataene nå er trygge når Google har tatt ned nettverket?

S5: Nei, å ta ned nettverket reverserer ikke et tiår med tilgang, og dataene som ble hentet ut i løpet av denne perioden forsvinner ikke når nettverket tas ned. Vanlige borgere i de 42 berørte landene kan fortsatt være påvirket av den tidligere innsamlede informasjonen.

Google avslørte KKP-tilknyttede hackere som angrep 53 mål globalt

Hvem er Gallium og hva var de ute etter?

Hvorfor myndigheter og telekomselskaper bare er inngangspunktet

Hva dette betyr for deg

Krypterte forbindelser er en del av et bredere forsvar

// FAQ

// Relatert