De grens tussen natiestaten en cybercriminaliteit vervaagt: slecht nieuws voor CISO's

De grens tussen natiestaten en cybercriminaliteit vervaagt: dat is slecht nieuws voor CISO's

Door Phil Muncaster • 22 april 2025

Iedereen maakt zich tegenwoordig meer zorgen over geopolitieke risico's. Dat komt grotendeels door de chaos die Washington teistert, hoewel de wereldwijde spanningen al enige tijd toenemen. Het meest recente Wereld Economisch Forum (WEF) Wereldwijd risicorapportbeweert bijvoorbeeld dat het risico dat "in 2025 waarschijnlijk het meest tot een materiële crisis op wereldschaal zal leiden" een "staatsconflict" is. Het voegt zich bij "cyberonveiligheid" en "misinformatie en desinformatie" op de lijst van de tien grootste risico's op korte termijn.

Cybersecurity zal een belangrijk domein zijn voor de grote machtsrivaliteit die de komende decennia zal bepalen. De bijbehorende risico's voor CISO's en hun organisaties zijn echter steeds moeilijker te definiëren. Dat komt doordat de ooit zo duidelijke scheidslijn tussen natiestaten en cybercriminaliteit begint te vervagen. Beveiligingsleiders zullen moeten vertrouwen op best practices in de sector om veilig door deze onbekende wateren te navigeren.

De regels veranderen

Zowel Microsoft als Google Mandiant hebben onlangs de groeiende overlap tussen campagnes van natiestaten en cybercriminaliteit gedocumenteerd. In veel opzichten is dit geen nieuw fenomeen. Recente gebeurtenissen verergeren het probleem echter. Google-rapportnotities dat “het toegenomen niveau van cyberactiviteit na de Russische oorlog in Oekraïne heeft aangetoond dat, in tijden van verhoogde nood, de latente talenten van cybercriminelen betaald of gedwongen kunnen worden om staatsdoelen te ondersteunen”.

Dit heeft verschillende aspecten:

1. Natiestaten die kant-en-klare cybercriminaliteitstools en -diensten gebruiken

Dit heeft verschillende voordelen voor overheden. Het gebruik van kant-en-klare cybercrimetools is goedkoper dan het zelf ontwikkelen van alternatieven op maat. Het helpt de ware oorsprong of bedoeling van aanvallen te verhullen. Bovendien "kunnen dergelijke tools op korte termijn operationeel worden gemaakt zonder directe koppeling met eerdere activiteiten", aldus Google.

Door de staat gesteunde groepen kunnen malware en exploits, inloggegevens, botnetinfrastructuur, gestolen informatie, initiële toegang of andere aanbiedingen kopen of huren die gemakkelijk te vinden zijn in de cybercrime-onderwereld. Bijvoorbeeld:

Microsoft beweerde in December 2024 meldt dat de Russische Turla (Secret Blizzard) groep Amadey bot-malware gebruikte die verband hield met cybercriminele activiteiten, om Oekraïense militaire entiteiten aan te vallen
In mei 2024 identificeerde Google een Iraanse groep, UNC5203, die de RADTHIEF-backdoor gebruikte in een operatie gericht op de Israëlische nucleaire onderzoeksindustrie.

Chinese groep UNC2286 gebruikte STEAMTRAIN-ransomware en een losgeldbrief van de DarkSide-groep om een cyber-espionagecampagne te verbergen, zegt Google

2. Coöptatie van cybercrimegroepen

Natiestaten nemen ook persoonlijk contact op met cybercriminelen om hun hulp in te roepen. Ook dit kan kosten besparen, intern personeel vrijmaken voor meer strategische doelen en de mogelijkheid tot plausibele ontkenning vergroten. We zien dit terug in:

Russische FSB-groep Aqua Blizzard welke "heeft toegang tot 34 gecompromitteerde Oekraïense apparaten overgedragen aan cybercrimegroep Storm-0593 voor post-exploitatiewerk, aldus Microsoft
De cybercrime-bende Cigar (RomCom), die sinds 2022 “spionageoperaties” tegen de Oekraïense regering heeft uitgevoerd, zegt Google
Het Chinese cybersecuritybedrijf i-Soon uit de particuliere sector, dat in de VS onlangs gesanctioneerden zou tussen 2016 en 23 hackoperaties voor Beijing hebben uitgevoerd, waarbij hij $ 10,000-$ 75,000 per gehackte e-mailinbox in rekening bracht. Daarnaast verdiende hij geld met het opleiden van wetshandhavers van de overheid.

3. Het toestaan dat staatshackers hun werk als bijverdienste doen

Er zijn steeds meer voorbeelden waarbij ogenschijnlijk door de staat gesponsorde groepen extra geld mogen verdienen. Volgens Google "kan dit een overheid in staat stellen om de directe kosten te compenseren die nodig zouden zijn om groepen met robuuste capaciteiten in stand te houden". Voorbeelden hiervan zijn:
De productieve Chinese dreigingsgroep APT41, die volgens Google een "lange geschiedenis" heeft van financieel gemotiveerde activiteiten. Dit omvat ransomware gericht op de videogamesector en zelfs de diefstal van COVID-hulpfondsen.
Iraanse groep UNC757, die vorig jaar werd ontdekt, in samenwerking met ransomware-partners van NoEscape, RansomHouse en ALPHV.

4. Natiestaten gedragen zich als cybercrimegroepen

Deze heeft bijna uitsluitend betrekking op Noord-Korea, dat financiële en cryptobedrijven aanvalt voor geld om zijn nucleaire en raketprogramma's te ondersteunen. Recentelijk:
Noord-Koreaanse staatshackers werden beschuldigd voor de grootste cyberroof ooit, waarbij 1.5 miljard dollar aan crypto werd gestolen van Bybit.
Een groeiende trend van Noord-Koreaanse IT-medewerkers Er is een toename in het aantal pogingen om westerse bedrijven te misleiden om hen in dienst te nemen. Zodra ze op hun plek zitten en op afstand werken, sturen ze hun salaris terug naar Pyongyang. De fraudeurs kunnen ook gebruikmaken van geprivilegieerde toegang om gevoelige informatie te stelen en/of hun voormalige werkgevers af te persen nadat hun functie is beëindigd. Deze dreiging zal toenemen naarmate AI het gemakkelijker maakt om overtuigende neppersona's te creëren.

Wat CISO's kunnen doen

Deze trends leveren CISO's meerdere uitdagingen op.

"Het maakt het moeilijker om het gedrag van aanvallers te voorspellen en verhoogt het risico op collateral damage", waarschuwt Casey Ellis, oprichter van Bugcrowd, ISMS.online. "Een ransomware-aanval kan bijvoorbeeld aanvankelijk financieel gemotiveerd lijken, maar kan later geopolitieke bedoelingen onthullen. CISO's moeten nu rekening houden met een breder scala aan tegenstanders, elk met een eigen niveau van verfijning, middelen en doelstellingen. Bovendien hebben cybercriminele groepen en overheidsteams zeer verschillende belangen bij wat ze wel en niet zullen doen, wat de algehele onvoorspelbaarheid vergroot."

Zonder een duidelijke toeschrijving kunnen CISO's ook belemmerd worden in hun reactie, voegt hij toe.

"Sterke cybersecurityhygiëne – zoals identificatie van activa, kwetsbaarheidsbeheer en planning van incidentrespons – blijft essentieel. Maar inzicht in wie u aanvalt, kan uw verdediging verfijnen", betoogt Ellis.

Een door de staat gesponsorde dreiging kan bijvoorbeeld gericht zijn op intellectueel eigendom, terwijl een cybercriminele groep zich kan richten op financieel gewin. Attributie is ook belangrijk voor de samenwerking met wetshandhavings- en inlichtingendiensten, wat helpt bij het aanpakken van systemische problemen zoals veilige havens voor aanvallers.

Als CISO's begrijpen wie hen aanvalt en waarom, kunnen ze een effectief antwoord formuleren, vertelt Heath Renfrow, CISO van Fenix24, aan ISMS.online.

"Als het cybercriminelen betreft, zou de focus moeten liggen op snelle inperking, uitroeiing en het versterken van de verdediging om herhaalde aanvallen te voorkomen. Maar in het geval van actoren van nationale staten vereisen responsinspanningen mogelijk uitgebreide monitoring, contraspionage en coördinatie met overheidsinstanties", legt hij uit. "Hybride dreigingen vereisen een gelaagde verdediging – een combinatie van Zero Trust, realtime dreigingsinformatie en strategieën voor veerkracht na incidenten."

Ondertussen worden AI en automatisering steeds belangrijker voor CISO's naarmate de bedreigingen evolueren, betoogt Chad Cragle, CISO van Deepwatch.

"AI-gestuurde dreigingsdetectie en geautomatiseerde respons helpen beveiligingsteams op te schalen tegen tegenstanders die snel en massaal opereren. Uiteindelijk moeten beveiligingsstrategieën dreigingsonafhankelijk en aanpasbaar zijn", vertelt hij aan ISMS.online.

Naarmate de grenzen tussen cybercriminaliteit en activiteiten van de natiestaat vervagen, zullen rigide, verkokerde beveiligingsprogramma's moeite hebben om bij te blijven. Organisaties die prioriteit geven aan veerkracht, aanpassingsvermogen en inlichtingengestuurde verdediging, zullen het beste gepositioneerd zijn om risico's te beperken, ongeacht wie er achter de aanval zit.

Beveiligingsleiders die normen zoals ISO 27001 volgen, zullen deze best practices gemakkelijker kunnen omarmen. En dat is terecht. schijnbare détente Het is onwaarschijnlijk dat de relatie tussen de VS en Rusland het dreigingslandschap op de lange termijn zal veranderen. Plan nu beter voor een complexere, ondoorzichtige en gevaarlijkere toekomst.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster