Defensiebedrijven, hun wervingsprocessen en hun werknemers zijn een belangrijk doelwit geworden van door de staat gesponsorde cyberspionagecampagnes, volgens een Google-rapport dat voorafgaand aan de Veiligheidsconferentie van München is vrijgegeven.
Het rapport catalogiseert een “meedogenloos spervuur van cyberoperaties”, meestal door door de staat gesponsorde groepen, tegen industriële toeleveringsketens in de EU en de VS. Dit suggereert dat de reeks doelwitten voor deze hackers is uitgegroeid tot de bredere industriële basis van de Verenigde Staten en Europa, van Duitse lucht- en ruimtevaartbedrijven tot Britse autofabrikanten.
Aan de staat gelieerde hackers richten zich al lange tijd op de mondiale defensie-industrie, maar Luke McNamara, een analist bij de Threat Intelligence-groep van Google, zei dat hij meer ‘gepersonaliseerde’ en ‘op het individu gerichte’ aanvallen op werknemers heeft gezien.
“Het is moeilijker om deze bedreigingen te detecteren als ze zich voordoen op het persoonlijke systeem van een werknemer, toch? Het bevindt zich buiten een bedrijfsnetwerk”, zei hij. “Het hele persoonlijke aspect werd een van de hoofdthema’s.”
Google heeft ook een toenemend aantal afpersingsaanvallen opgemerkt die gericht zijn op kleinere entiteiten die niet direct betrokken zijn bij de toeleveringsketen van defensie, zoals bedrijven die auto’s of kogellagers maken.
Een recente aanval door een groep die banden heeft met de Russische inlichtingendienst geeft aan hoe breed het net is geworden. Het lijkt erop dat de hackers hebben geprobeerd informatie te stelen door de websites van honderden grote defensiebedrijven uit Groot-Brittannië, de VS, Duitsland, Frankrijk, Zweden, Noorwegen, Oekraïne, Turkije en Zuid-Korea te vervalsen.
Rusland heeft ook specifieke hacks ontwikkeld om de Signal- en Telegram-accounts van Oekraïens militair personeel, journalisten en overheidsfunctionarissen in gevaar te brengen, met behulp van methoden en kwetsbaarheden waarvan Google zegt dat ze door andere aanvallers kunnen worden overgenomen.
Hackers hebben ook zeer gerichte aanvallen gelanceerd op drone-eenheden in de frontlinie in Oekraïne door zich voor te doen als Oekraïense dronebouwers of door drone-trainingen te volgen.
Dr. Ilona Khmeleva, secretaris van de Economische Veiligheidsraad van Oekraïne, zei dat veel cyberaanvallen tegen Oekraïens militair personeel geïndividualiseerd waren, waarbij sommige potentiële doelwitten wekenlang vóór een aanval werden gevolgd.
De Oekraïense autoriteiten registreerden tussen 2024 en 2025 een toename van 37% in cyberincidenten, zei hij.
Buiten Europa gebruiken andere groepen soortgelijke tactieken om defensieleveranciers aan te vallen. Deze inspanningen zijn steeds meer gericht op mensen die banen bij de defensie proberen te bemachtigen of op kwetsbaarheden in de wervingsprocessen van grote bedrijven.
Noord-Koreaanse hackers deden zich voor als recruiters van bedrijven in campagnes tegen grote defensie-aannemers, waarbij ze kunstmatige intelligentie gebruikten om werknemers, hun rollen en hun potentiële salarissen breed te profileren om “potentiële doelwitten voor aanvankelijke compromissen te identificeren.”
Veel van deze campagnes zijn enorm succesvol geweest. Afgelopen zomer ontdekte het Amerikaanse ministerie van Justitie dat Noord-Koreanen erin waren geslaagd banen te bemachtigen als ‘IT-werknemers op afstand’ voor meer dan 100 Amerikaanse bedrijven. De Amerikaanse autoriteiten zeiden dat ze dit deden om de Noord-Koreaanse regering te financieren door salarissen te innen en, in sommige gevallen, cryptocurrency te stelen.
Iraanse door de staat gesponsorde groepen hebben nep-banenportals gecreëerd en nep-banenaanbiedingen geplaatst om inloggegevens van defensiebedrijven en drone-bedrijven te verkrijgen.
Een groep genaamd APT5, verbonden met China, heeft zich gericht op werknemers van lucht- en ruimtevaart- en defensiebedrijven met gepersonaliseerde e-mails en berichten op basis van hun geografische locatie, persoonlijke leven en professionele rollen.
Ouders van jonge kinderen hebben bijvoorbeeld valse berichten ontvangen van de Boy Scouts of America of een nabijgelegen middelbare school; inwoners van sommige Amerikaanse staten ontvingen valse informatie over de verkiezingen van 2024. Medewerkers van grote bedrijven ontvingen ook valse uitnodigingen voor evenementen, waaronder Rode Kruis-trainingen en een nationale veiligheidsconferentie in Canada.
Khmeleva zei: “Nu westerse technologieën en investeringen in Oekraïne worden geïntegreerd – onder meer via militaire hulp en gezamenlijke industriële projecten – breidt de pool van potentiële slachtoffers zich uit tot buiten de Oekraïense burgers.
“Werknemers van buitenlandse bedrijven, aannemers, ingenieurs en adviseurs die betrokken zijn bij aan Oekraïne gerelateerde projecten zouden ook doelwitten kunnen worden, waardoor de kwestie een transnationale, en niet louter nationale, veiligheidskwestie wordt.”
