Säkerhetsexperterna som sålde ut sina kunder – inifrån är hotet värst
Tre säkerhetsexperter dömda – de sålde sina kunders hemligheter till utpressarna.
När förtroendet är vapnet
Det finns en sorts ironi i att cybersäkerhetsbranschen – vars hela existensberättigande är att skydda andras data – nu har producerat tre fällda dubbelagenter på raken. Angelo Martino, 41 år från Florida, dömdes förra veckan till drygt fem och ett halvt års fängelse efter att ha erkänt sig skyldig till att ha samarbetat med utpressningsnätverket BlackCat/Alphv, enligt SecurityWeek. Hans roll var till synes oantastlig: han anlitades för att hjälpa drabbade företag förhandla med cyberkriminella. I stället sålde han konfidentiell information om sina kunders förhandlingspositioner direkt till angriparna – mot en andel av lösensumman.
Martino är den tredje i en trio av säkerhetsexperter som amerikanska myndigheter åtalade förra året. De två övriga, Kevin Martin och Ryan Goldberg, dömdes i slutet av april till fyra års fängelse vardera. Samtliga tre var anställda vid säkerhetsföretag, samtliga representerade offer i förhandlingar – och samtliga svek det förtroendet systematiskt. Myndigheter beslagtog tillgångar värda tio miljoner dollar från Martino, bland annat kryptovaluta, fordon, en matbil och en fiskebåt.
Det som gör det här fallet tekniskt intressant – och skrämmande – är hur det utnyttjar en strukturell svaghet i krisresponskedjan. När ett företag drabbas av utpressningsprogram är det redan i ett underläge. Man anlitar en specialist med mandat att hantera en livsfarlig situation. Om den specialisten är köpt av motparten finns ingen meningsfull förhandling – offret spelar ett spel vars regler angriparen känner till i detalj.
Samma mål, olika angripare
Parallellt med den amerikanska rättegångsdramat rapporterar säkerhetsföretaget SentinelOne om ett fall av ett helt annat slag – men med en liknande grundläggande insikt om hur sårbar kritisk infrastruktur är. Företagets hotanalysavdelning SentinelLabs har avslöjat att underrättelsegrupper kopplade till både Kina och Indien under perioden februari 2024 till april 2026 infiltrerade pakistanska polisorganisationers nätverk – parallellt, och troligtvis utan vetskap om varandra.
Hårdast utsatt var Balochistanpolisen, vars servrar innehöll biometriska databaser, brottmålsakter, personalregister och ärendehanteringssystem. Forskarna identifierade fyra separata angreppsmönster baserade på verktyg som PlugX, ShadowPad, Cobalt Strike och Remcos – ett urval som spänner från statligt specialutvecklad skadlig kod till allmänt tillgängliga verktyg på den kriminella marknaden.
Det kinesiska engagemanget är diplomatiskt anmärkningsvärt. Pakistan betraktas normalt som en av Pekings närmaste regionala allierade, men SentinelLabs tolkar intrånget som ett utslag av pragmatiskt egenintresse: kinesiska medborgare som arbetar med infrastrukturprojekt inom ramen för Bältet och vägen-initiativet har vid upprepade tillfällen angripits av balochistanska separatiströrelser. Direkt tillgång till pakistansk polisdata ger Peking möjlighet att göra sina egna lägesbedömningar – utan att behöva lita på sin allierades rapportering.
Vad fallen har gemensamt
Vid en första anblick handlar de här två nyheterna om vitt skilda saker: amerikansk brottslighet kontra statlig spionage, kriminella nätverk kontra underrättelsebyråer, ekonomisk utpressning kontra geopolitisk informationsinhämtning. Men det finns en röd tråd.
I båda fallen är målet data om kritisk infrastruktur och samhällsfunktioner – förhandlingsunderlag för företag i kris, respektive brottsregister och biometri hos en poliskår. I båda fallen utnyttjas förtroende och tillgång som det primära vapnet, inte enbart teknisk sofistikering. Och i båda fallen är offret ovetande om den fulla hotbilden tills skadan redan är skedd.
Det är också värt att notera att BlackCat, vars verksamhet upphörde i december 2023, under sin aktiva period riktade in sig på hundratals organisationer globalt – däribland sjukhus, myndigheter och energibolag. Nätverket var inte enbart ett kriminellt projekt utan en komplex affärsmodell med inbyggda svaghetspunkter som insiders aktivt utnyttjade.
Ur ett systemutvecklingsperspektiv är det här ett klassiskt problem: en säkerhetsarkitektur är aldrig starkare än den svagaste länken i förtroendekedjan. Det hjälper inte att ha världens bästa kryptering om den som hanterar nycklarna säljer dem.
Vår analys
De här fallen illustrerar något som är lätt att missa i diskussionen om cyberhot: den tekniska attackytan är inte längre det primära problemet. Verktygen för intrång är i dag tillräckligt tillgängliga för att även välresurssatta statliga aktörer och resursstarka kriminella nätverk ska kunna nyttja samma grundläggande infrastruktur. Det verkliga sårbarhetsgapet finns i de mänskliga och organisatoriska skikten.
Framåt ser jag tre utvecklingslinjer. För det första kommer insynskrav och granskning av tredjepartsleverantörer inom cybersäkerhet att skärpas – de tre amerikanska fallen lär bli ett prejudikat. För det andra antyder det parallella spionaget mot pakistansk polis att vi rör oss mot en värld där även allierade inte delar fullständig information med varandra – vilket driver fram nationella säkerhetslösningar snarare än gemensam infrastruktur. För det tredje är det positivt att se att rättsväsendet faktiskt lyckas åtala och döma aktörer i dessa komplexa kedjor – det bygger avskräckande verkan på sikt.