Stortinget utsatt for nytt dataangrep - disse kan stå bak

Stortinget er igjen rammet av et IT-angrep, som knyttes til sikkerhetshull hos Microsoft. Stortingsdirektør Marianne Andreassen sier de ikke kunne ha avverget angrepet.

Stortinget kjenner foreløpig ikke omfanget av angrepet, men opplyser at de vet at data har blitt hentet ut.

– Vi ble angrepet i høst, nå har vi blitt angrepet på nytt. Dette angrepet er større og mer avansert. Det hadde potensiale til å forstyrre parlamentariske prosesser, sa stortingspresident Tone Wilhelmsen Trøen, under en pressekonferanse onsdag ettermiddag.

Stortingsdirektør Marianne Andreassen sa at Microsoft advarte om sårbarhetene ved sine systemer først 2. mars, og at de gjorde sikkerhetsoppdateringer tilgjengelig 3. mars.

ANGREP: Stortingspresident Tone Wilhelmsen Trøen sier at det nyeste IT-angrepet er større enn det forrige. Foto: Stian Lysberg Solum / NTB
ANGREP: Stortingspresident Tone Wilhelmsen Trøen sier at det nyeste IT-angrepet er større enn det forrige. Foto: Stian Lysberg Solum / NTB

– Vi gjennomførte da sikkerhetsoppdateringene ved våre systemer. Stortinget kunne ikke ha avverget dette angrepet, sa Andreassen videre.

Stortinget ble varslet av Nasjonal sikkerhetsmyndighet (NSM) om at det pågikk «uregelmessigheter i systemene» ved Stortinget 5. mars, for så å få bekreftet at dataene hadde blitt trukket ut 8. mars.

Advarsel

NSM advarte forrige uke om at sårbarhetene i Microsoft Exchange er aktivt utnyttet, også i Norge.

I en pressemelding publisert fredag sa de at «dette er en svært alvorlig situasjon, som kan få store konsekvenser».

STORTINGSDIREKTØR: Marianne Andreassen, her avbildet da hun redegjorde for det forrige IT-angrepet mot Stortinget.  Foto: Terje Pedersen / NTB
STORTINGSDIREKTØR: Marianne Andreassen, her avbildet da hun redegjorde for det forrige IT-angrepet mot Stortinget. Foto: Terje Pedersen / NTB

– Vi har scannet hele Norge nå for å se på hvor mange som bruker sårbare servere, og det dreier seg om 1500. De har altså fortsatt ikke installert sikkerhetsoppdateringer, sier informasjonssjef Trond Øvstedal i NSM til TV 2.

– Vi oppfordrer alle som ikke ennå har installert oppdateringen, om å gjøre det, fortsetter han.

Ikke gradert informasjon

Andreassen vil «av hensyn til analysefasen av innbruddet» ikke kommentere hva slags data som er stjålet, men utelukker imidlertid at det dreier seg om gradert informasjon.

Hun ville heller ikke kommentere om dataene ble hentet ut før eller etter Stortinget gjennomførte sikkerhetsoppdateringen.

– Vi har iverksatt omfattende sikkerhetstiltak, sier Andreassen og forteller videre at alle Stortingets representanter og ansatte har endret passordene sine i kjølvannet av hendelsen.

Saken er anmeldt, og overlatt til politiet.

Kyttes til Kina

Stortinget mistenker ikke at det er noen sammenheng mellom dette angrepet og IT-angrepet som rammet Stortinget i august 2020.

Utenriksdepartementet sa at det etter alt å dømme var Russland som var ansvarlige for innbruddet i august i fjor, noe lederen for den internasjonale komiteen i den russiske dumaen, Konstantin Kosatsjev, sa var grunnløse anklager.

Det var Microsoft selv som varslet om en sårbarhet i mailsystemet Exchange 2. mars.

Angrepene skal ha pågått siden januar i år.

Flere datasikkerhetseksperter har allerede slått fast at det er Kina som denne gangen står bak.

Microsoft selv knytter også angrepet til Kina.

For åttende gang

– Microsoft Threat Intelligence Center (MSTIC) tilskriver denne kampanjen med stor sannsynlighet til Hafnium, en gruppe som vurderes å være statsfinansiert og opererer ut av Kina. Denne vurderingen er basert på observert fremgangsmåte, taktikk og prosedyrer, sier Ole Tom Seierstad, sikkerhetsdirektør i Microsoft Norge, i en e-post til TV 2.

Han sier at hackergruppen tidligere har primært rettet seg mot virksomheter i USA, blant annet mot forskning, høyere utdanningsinstitusjoner og leverandører til forsvarsindustrien.

Dette har også Microsoft også skrevet om på sine nettsider.

Der skriver de at dette er åttende gang de siste tolv månedene de offentliggjører nasjonalstatlige grupper.

– 5. og 8. mars gikk Microsoft ut og informerte om at selskapet så økt bruk av sårbarhetene fra andre ondsinnede aktører ut over Hafnium på de systemene som ikke var oppdatert, sier Seierstad.

Microsoft oppfordrer alle som ikke har oppdatert systemene, om å gjøre det.

Angrepsbølge

Nesten 100 000 dataservere over hele kloden skal ha blitt rammet.

Sårbarheten som er utnyttet er en såkalt «null dags-sårbarhet». Det vil si en sårbarhet som leverandøren ikke har vært kjent med, men som trusselaktører kan oppdage og utnytte, ifølge Stortinget.

Kevin Mandia i det anerkjente sikkerhetsfirmaet FireEye sier angrepet er uvanlig, fordi hackerne i tillegg til å hente ut informasjon, ser ut til å ha startet en mer offensiv angrepsbølge nummer to 26. februar.

Den bestod i å sende skadevare inn i systemene som tidligere var blitt hacket.

– Det er uvanlig å se at at et moderne land som Kina med offensive kapasiteter handler slik. De opererer vanligvis med stor grad av disiplin, men nå har de plutselig angrepet mange hundre tusen mål, sier Mandia til nyhetsbyrået AP.

Relatert