Norge

Slik jobber de russiske hackerne som skal ha angrepet Norge

Derfor kan sikkerhetsmyndighetene slå fast at det er profesjonelle hackere som står bak angrepet mot norske e-postkontoer.

– Det er ikke vanskelig å sende en e-post i en annens navn, og det er få som benytter systemer som gjør det mulig for mottager av en e-post å verifisere avsenderens identitet, sier Nils Kalstad Svendsen, leder for NTNUs Institutt for informasjonssikkerhet og kommunikasjonsteknologi. Foto: KACPER PEMPEL/REUTERS

  • Frank Lynum

Det var en avansert gruppe som sto bak og det er godt gjennomført, sa NSM NorCert-sjef Håkon Bergsjø fredag.

Da ble det kjent at ni e-postkontoer til personer i Arbeiderpartiet, Utenriksdepartementet, Forsvaret PST, Statens strålevern og en høgskole ble angrepet med det som omtales «spear phishing».

Men hva betyr det egentlig at hackerne var avanserte? Alle har vel mottatt e-poster på dårlig norsk, fra ukjente avsendere, og de fleste vet at de ikke skal klikke på lenker eller åpne vedlegg i slike e-poster.

Utnytter svakhetene ved internett

Disse hackerne har vært mer sofistikerte.

– Internett har en rekke svakheter. Det krever litt innsikt, men det er ikke avansert å få det til å se ut som om e-posten kommer fra en du kjenner og har tillit til, sier Nils Kalstad Svendsen, leder for NTNUs Institutt for informasjonssikkerhet og kommunikasjonsteknologi.

Han sier at det heller ikke er vanskelig å fremstå som ekte, med perfekt norsk, det krever bare litt flid. Det som er vanskelig, er å klare å lure mottageren til å aktivisere den skadelige programvaren.

Legger ved tillitvekkende vedlegg

Et vanlig grep her er å benytte tillitvekkende vedlegg som i realiteten inneholder et program som infiltrerer datamaskinen til mottageren.

– Det er dette vedlegget som gjør at hackeren kommer seg inn i mottagerens maskin. Når sikkerhetsmyndighetene sier at hackerne var avanserte, så tror jeg det handler om at dette vedlegget er laget sånn at mottageren faktisk åpner det, og aller helst ikke skjønner at det er skadelig programvare.

– Det kan være et budsjettdokument, eller en PDF-fil som du har ventet på fra nærmeste leder eller en god kollega. I tillegg kan det vedlegget gjør, hvordan det skaffer informasjon for eksempel, også være grunnen til at myndighetene mener at dette angrepet var avansert, sier Svendsen.

Onsdag la PST-sjefen Benedicte Bjørnland frem den årlige trusselvurderingen. Fredag bekreftet PST at flere norske institusjoner nylig er blitt rammet av hackerangrep, antagelig av den russiske gruppen Cozy Bear. Foto: Roald, Berit / NTB scanpix

Flere grupper jobber parallelt

Både den russiske hackergruppen Cozy Bear, som PST nå mener står bak angrepene mot Norge, og Fancy Bear (ATP 28) skal ha vært involvert i hackingen av det demokratiske partiet i USA.

Ifølge en artikkel i The Economist visste de to gruppene ikke om hverandres hacking. Fancy Bear skal være forbundet med GRU, den russiske militære etterretningen, mens Cozy Bear skal være knyttet til sikkerhetstjenesten FSB.

Dette er dermed et eksempel på det Russlands-kjenneren Mark Galeotti beskriver som «adhockratiet» i Moskva. President Putin operer ikke etter en stor plan og detaljstyrer ikke etterretning og hackerangrep. Mange ulike grupper opererer i sfæren rundt Kreml, ikke alle kjenner til hverandre.

– Målet er å underminere vesten

Andrew Foxall, en direktør i tenketanken Henry Jackson Society, sier Russland ønsker å bryte ned organisasjoner som EU og NATO og å returnere til et Europa av nasjonalstater. Hver for seg stiller landene langt svakere overfor Russland i for eksempel spørsmål om sanksjoner, energi og handel.

– Målet er å underminere Vesten, Vestens system og den vestlige levemåten, sa Foxall til Aftenposten i fjor.

Russland satser tungt på å bruke informasjon som våpen, ikke minst fordi Kreml vet man er underlegent USA og EU på flere andre områder,

Under den store russiske militærøvelsen Kavkaz-2016 med 120.000 deltagere i september, var informasjonskrig og dataangrep for første gang en viktig del.

I en artikkel i avisen til Det russiske militærakademiet beskrives hvordan dataangrep, desinformasjon, manipulering og propaganda benyttes for å «endre befolkningens tradisjonelle verdier og kultivere en negativ holdning til sitt eget samfunn».

I Nederland har regjeringen bestemt at stemmeopptellingen ved valget i mars skal gjøres manuelt, av frykt for hacking. Foto: PAWEL KOPCZYNSKI/REUTERS/SCANPIX

Tyskland vil svare med motangrep

I Tyskland har etterretningen registrert en voldsom økning i antall såkalte Spear-fishing angrep mot politiske partier og Forbundsdagen, skriver Frankfurter Rundschau.

Dette er den samme type angrep som norske institusjoner blir utsatt for.

Derfor har både innenriksminister Thomas de Maizière og presidenten for Bundesamt für Verfassungsschutz Hans-Georg Maassen tatt til orde for at Tyskland må utvikle muligheten til å svare med motangrep.

− Vi må være i stand til angripe motstandere slik at de slutter med sine kontinuerlige angrep, sa Maassen til det tyske nyhetsbyrået DPA. Som eksempel bruker han muligheten til å slette servere der angripere har lagret tidligere stjålet datamateriale. Slik lovgivningen er nå, har ikke etterretningen lov til å gjøre dette.

Nederland endrer valgopptellingen

I Nederland har regjeringen bestemt at alle stemmene skal telles manuelt ved valget 15. mars. Avgjørelsen kom etter at TV-stasjonen RTL Nieuws avslørte at datasystemet som brukes ved valg er lette å hacke – noe som også betyr at valgresultatet er enkelt å manipulere.

De ti siste årene er valg i mange byer og kommuner i Nederland gjennomført digitalt.

Les mer om

  1. PST
  2. Etterretning
  3. Hacking