Kyberhyökkäykset saavuttavat uuden työnjaon ansiosta 'koneellisen nopeuden'
Raportti 'Nation-Aligned APTs in 2025' analysoi valtion tukemien hakkeriryhmien aktiviteetteja Kiinasta, Venäjältä ja Pohjois-Koreasta vuonna 2025 ja tunnistaa neljä keskeistä kehityskulkua, jotka muuttavat merkittävästi yritysten ja viranomaisten strategista ympäristöä.
Premier Pass-as-a-Service: Työnjako valtion hakkereiden kesken
TrendAI havaitsee ensimmäistä kertaa systemaattisesti mallin, jossa APT-ryhmät jakavat pääsyä tärveltyihin verkkoihin kuin 'Priority Pass' keskenään. Erikoistunut ryhmä hankkii aluksi pääsyn, ja muut jatkavat sitten vakoilua, tietovarkauksia tai sabotointia ilman, että heidän tarvitsee suorittaa murtoa. Tämä työnjako nopeuttaa hyökkäyksiä huomattavasti ja vaikeuttaa yksittäisten toimijoiden tunnistamista. Esimerkiksi Kiinaan liittyvät ryhmät Earth Estries (tunnetaan myös nimellä Salt Typhoon) ja Earth Naga toimivat samoissa verkkoyhteyksissä, mikä on selvä osoitus koordinoidusta yhteistyöstä.
Tekoälyyn perustuvat hyökkäysketjut: Apuvälineistä autonomisiin agentteihin
Vuosi 2025 merkitsee suurten kielimallien (LLMs) ensimmäistä käytännön soveltamista aktiivisessa haittaohjelmassa. Venäjään liittyvä ryhmä Pawn Storm (APT28) käytti haittaohjelmaa LAMEHUG, joka generoi komentoja dynaamisesti LLM:ien avulla. Muita ryhmiä käyttää tekoälyä automatisoituun tiedusteluun ja kohteiden tunnistamiseen. Hyökkääjät eivät enää käytä tekoälyä pelkkänä tukena, vaan kehittävät autonomisia 'AI Agents', jotka voivat reaaliajassa sopeutua puolustusmekanismeihin. TrendAI odottaa, että seuraavat 24 kuukautta johtavat 'resilienssikilpailuun koneellisella nopeudella'.
'Valtion tukemat kyberaktiviteetit teollistuvat yhä enemmän', sanoo Feike Hacquebord, TrendAI:n pääuhkatutkija. 'Uhkaryhmät erikoistuvat hyökkäysketjun eri vaiheisiin ja jakavat sitten pääsyn tärveltyihin verkkoihin, jotta toiset toimijat voivat suoraan aloittaa vakoilun tai sabotoinnin. Kun tämä malli yhdistetään tekoälyllä tuettuun tiedusteluun ja automatisoituun haavoittuvuuksien etsintään, aikaa monimutkaisien kampanjoiden suorittamiseen lyhenee huomattavasti.'
Supply Chain ja Edge-Dominanssi: Hyökkäykset toimitusketjuihin ja reunainfrastruktuureihin
Reunainfrastruktuurin haavoittuvuuksien hyödyntäminen ja hyökkäykset kehittäjä-ekosysteemeihin (esim. Pohjois-Korean ryhmä Void Dokkaebi:n vilpilliset työpaikkatarjoukset) ovat kehittyneet pitkäaikaiseksi ja vaikeasti havaittavaksi pysyvyysreitiksi. Esimerkki: Hyökkääjät yrittivät käyttää taiwanilaisen ohjelmistotoimittajan serveriä haittaohjelman jakelupisteenä, jolla olisi potentiaalinen pääsy koko korkean teknologian valmistuksen toimitusketjuun.
Geopoliittinen kytkentä: Kyberhyökkäykset sotilaallisten konfliktien oheistoimina
Kyberoperaatioilla on nykyään läheinen yhteys geopoliittisiin tapahtumiin ja sotilasoperaatioihin. Raportti dokumentoi logistiikka- ja infrastruktuuriketjuihin kohdistuvia hyökkäyksiä Ukrainan tukemisen yhteydessä, sabotointihyökkäyksiä energia- ja liikenneverkkoihin sekä vakoilukampanjoita, jotka tapahtuvat samanaikaisesti diplomaattisten neuvottelujen kanssa. Pohjois-Korean droonitiedustelu Ukrainassa tapahtui rinnakkain kyberkampanjoiden kanssa. Tämä synkronointi osoittaa, että kyberavaruus ja fyysinen sodankäynti sulautuvat yhä enemmän.
Toimintasuositukset yrityksille
Raportti osoittaa, että suurin riski ei ole hyökkääjän kykyjen äkillinen kasvu, vaan tekoälyllä tuettujen kyberhyökkäysten normalisoituminen. TrendAI suosittelee siksi yrityksiä sisällyttämään APT-hyökkäykset turvastrategioihinsa. Keskeisiä ovat:
- Toimitusketjun riskienhallinnan integrointi ja jatkuva tarkistaminen toimittajilta ja palveluntarjoajilta
- Nopeat havaitsemis- ja eristämismekanismit tekoälyn vauhdittamille hyökkäyksille
- Vahvistettu tiedonvaihto viranomaisten ja toimialakumppaneiden kanssa
- 'Defensive AI':n käyttö autonomisten uhkien ennakoimiseksi ja neutralisoimiseksi
- Säännölliset Incident-Response-harjoitukset ja Red-Team-testit APT-skenaarioita hyödyntäen
Kohdealat
Vuonna 2025 valtion tukemien hyökkäysten yleisimmät kohteet olivat hallintoviranomaiset ja teknologiayritykset, joita seurasivat kriittinen infrastruktuuri (energia, liikenne, logistiikka), valmistus ja rahoituspalvelut.