En nylig massiv stigning i cybermisinformation og hackingkampagner mod Filippinerne falder sammen med stigende spændinger mellem landet og dets supermagts nabo Kina.
Cyberangrebene består af en kombination af hack og læk (55 %), distribueret denial-of-service (10 %) og misinformation og indflydelseskampagner (35 %), ifølge forskere hos Resecurity, som har fulgt kampagnerne. Hovedmålene er regeringen (80 %) og uddannelsesinstitutioner (20 %) i Filippinerne, og disse angreb - på politiagenturer, regeringsministerier og universiteter - og tilhørende datalæk, sår ifølge forskerne utilfredshed i landet.
Dette repræsenterer en firedobling (325%) i, hvad forskerne identificerer som ondsindet cyberspionageaktivitet rettet mod Filippinerne i første kvartal af 2024 sammenlignet med samme periode sidste år. "Målet med denne aktivitet er at miskreditere regeringen og skabe kaos via cyberspace, da den filippinske befolkning også er afhængig af digitale mediekanaler og er aktiv på sociale medie-netværk," siger Shawn Loveland, COO for Resecurity.
Resecurity har arbejdet med myndigheder i Filippinerne for at spore kilden til angreb tilbage til online-infrastrukturer i Kina og Vietnam. Disse "falske flag" og "andre territorier" kunne være allierede med Kina i sådanne kampagner eller give dem infrastruktur til det, ifølge Resecurity.
Falske nyheder
Målet med cyberangrebene korrelerer med desinformationskampagner, der spinder kinesiske fortællinger om emner som regionale stridigheder om territorier i Det Sydkinesiske Hav.
I en blogindlæg i denne måned beskrev Resecurity det utal af forskellige grupper, der er forbundet med denne kollektive aktivitet. I et bemærkelsesværdigt angreb hævdede en trusselsaktør under aliaset "KryptonZambie" at have indhentet fra unavngivne kilder over 152 gigabyte stjålne data indeholdende filippinske borgeridentitetskort. Resecurity undersøgte denne påstand, som var relateret til et indlæg på Breach Forums, et mørkt websted, men fandt det udokumenteret. Trusselsaktøren reagerede ikke på nogen beskeder, som Resecurity-efterforskere sendte til en Telegram-konto, der blev brugt til at offentliggøre det formodede brud.
Andre elementer i kampagnen involverede udstationering af en "audio deepfake" af den filippinske præsident Ferdinand Marcos Jr., der angiveligt beordrede militæraktion mod Kina. Der findes ikke et sådant direktiv, ifølge myndigheder i Filippinerne.
Det hele er dog ikke falsk. Flere af de grupper, der var omfattet af Resecuritys rapport – inklusive Philippines Exodus Security og DeathNote Hackers – kørte angreb, der førte til et bekræftet databrud.
Ikke rigtige hacktivister
Selvom noget af denne aktivitet kan ligne haktivisters, mener Resecurity, at nationalstatsstøttede hackere fra Kina eller muligvis Nordkorea (en anden regional modstander af Filippinerne) virkelig har skylden.
Resecurity har rapporteret, at over 12 regeringsorganisationer i Filippinerne er blevet målrettet inden for samme tidsramme - kendetegnende for et velorganiseret koordineret angreb fra nationalstatsaktører snarere end uafhængige hacktivister.
"At udnytte hacktivist-relaterede monikere giver trusselsaktører mulighed for at undgå tilskrivning, mens de skaber opfattelsen af hjemmelavede sociale konflikter online," ifølge Resecurity.
Sidste år en kinesisk statsforbundet avanceret vedvarende trussel (APT) gruppe kendt som Mustang Panda hacket et filippinsk regeringsmål via en simpel side-loading-teknik. "Denne gruppe har et stærkt fokus på Filippinerne og [er] stadig aktiv," ifølge Resecurity. Hacks fra gruppen på filippinske regeringsenheder er blevet aktivt promoveret via sociale medier.
I april 2023, mere end 800 gigabyte af både ansøger- og medarbejderposter fra flere statslige agenturer - inklusive det filippinske nationale politi (PNP), National Bureau of Investigation (NBI), Bureau of Internal Revenue (BIR) og Special Action Force (SAF) ) — blev kompromitteret.
Dette blev efterfulgt i september af et brud og ransomware-angreb på Philippine Health Insurance Corporation (PhilHealth), der førte til afsløring af hospitalsregninger, interne notater og identifikationsdokumenter. Der er fortsat en igangværende undersøgelse af det fulde omfang af lækagen, ifølge cybertrusselsdetektionsfirmaet Gatewatcher.
Hvorfor spion?
Kina (og i mindre grad Nordkorea) er den hovedmistænkte i meget af denne mishandling, ifølge både Resecurity og andre trusselseksperter.
»Kina er et langt mere komplekst og nuanceret territorium, end det generelt er portrætteret. Dets interne pres vil sandsynligvis føre til øget cyberspionageaktivitet i stedet for at bremse den,” siger Ian Thornton-Trump, CISO hos trusselinformationsfirmaet Cyjax.
"Kinas tilgang til cyberspace har altid været at bruge den til at fremme sine forretningsinteresser, udvinde teknologier fra vestlige virksomheder og skabe et beskyttet hjemmemarked for disse industrier, hvilket giver dem en fordel på det globale marked," bemærker Thornton-Trump.
Forholdet mellem Kina og Filippinerne er blevet forværret i løbet af de seneste måneder. Beijing fordømte den filippinske præsident Ferdinand Marcos Jr.s lykønskninger til den nyvalgte Taiwans præsident Lai efter sidstnævntes nylige valg. Kina betragter Taiwan som en frafalden provins.
Filippinerne har for nylig bekræftet sin stærke alliance med USA og bebudet planer om "mere robuste" militære aktiviteter med USA og dets allierede, til stor ærgrelse for Kina. Derudover er Filippinerne og Kina i strid om territoriale krav, der involverer øer og farvande i Det Sydkinesiske Hav.
Hændelsesrespons
USA, Japan og Filippinerne gik for nylig ind i en ordning for deling af cybertrusler i kølvandet på stigende angreb fra Kina, Nordkorea og Rusland, en udvikling, der sandsynligvis vil hjælpe Filippinerne med at holde sig på toppen af den voksende bølge af cybertrusler.
At forstå mønsteret af stigning i ondartet cyberaktivitet er det første skridt mod at bekæmpe det, siger eksperter. "[Med] en bedre forståelse af landets interne styrker, og hvordan disse relaterer til dets cyberstrategi, kan vi planlægge bedre forsvar mod Kinas cyberspionage," siger Cyjax' Thornton-Trump.
Resecurity tilbød anbefalinger for at beskytte både befolkningen og den filippinske virksomhed mod cyberangreb:
-
Fremskynd digital identitetsbeskyttelse af filippinske borgere - da hack- og lækage-aktivitet bringer deres personlige data i fare for at blive afsløret.
-
Skærm webapplikationssikkerheden ved at implementere WAF'er (webapplikationsfirewalls) og løbende sårbarhedsvurdering og pen-test automatiseringsprocedurer for at opdage og indeholde sårbarheder, før dårlige aktører udnytter dem.
-
Opret faktatjektjenester online for at bekæmpe desinformation og påvirke kampagner. Borgerne bør tilbydes en proces til indberetning af mistænkelig onlineaktivitet.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/philippines-pummeled-by-assortment-of-cyberattacks-tied-to-china
