Ekspert: Slik jobber den russiske hackergruppen

– Dette er ikke noen som sitter på gutterommet og prøver å få informasjon, sier Sofie Nystrøm.

Fredag bekreftet Politiets sikkerhetstjeneste (PST) at flere norske institusjoner er rammet av en omfattende datanettverksoperasjon fra hackergruppen APT 29, også kalt «Cozy Bear».

En ondsinnet e-post ble sendt til ni ulike e-postkontoer i Forsvaret, UD, Aps stortingsgruppe, Statens strålevern, en høyskole og PST i et såkalt spear phishing-angrep.

PST ble varslet om den russiske cyberoperasjonen av en samarbeidende tjeneste i utlandet i januar i år. Alle kontoene som ble forsøkt hacket, er åpne kontoer.

Den ondsinnede e-posten ble ifølge VG sendt til PST og Arbeiderpartiet 9. november, dagen etter det amerikanske presidentvalget. Dette betyr at det tok to rundt måneder før hackerforsøket ble oppdaget.

«Cozy Bear» knyttes til den russiske sikkerhetstjenesten FSB, og klarte ifølge amerikanske myndigheter å bryte seg inn i datanettverket til Det demokratiske partiet sommeren 2015.

Hackergruppen har vært aktiv i flere år. Høsten 2015 brukte de samme metode som de benyttet i det norske cyberangrepet mot utvalgte e-epostadresser i Pentagon, og Pentagons åpne datanettverk måtte stenges mens saken ble etterforsket. «Cozy Bear» knyttes også til målrettede angrep mot amerikanske politiske organisasjoner og tenketanker.

Rammes ukentlig

PST ønsker ikke å kommentere om angrepet til den russiske hackergruppen har vært vellykket, og kan ikke si med sikkerhet hva formålet med den massive datanettverksoperasjonen mot Norge har vært.

Ifølge PSTs seksjonssjef Arne Christian Haugstøyl utsettes flere norske aktører ukentlig for ondsinnet bruk av e-post fra statlige aktører.

– For oss er det vanskelig å vite hva formålet til trusselaktøren har vært. Dette kan i stor grad sammenlignes med et forsøk på innbrudd i den fysiske verden, der egentlig kun innbruddstyven kan fortelle hva han har hatt som formål. Normalt ved et sånt type angrep som vi har sett her, er det å få tilgang til informasjon, men det kan også være for å legge igjen skadevare til bruk senere. Det kan også være å gjøre en form for skadeverk, sier Haugstøyl til TV 2.

Geir Hågen Karlsen ved Forsvarets stabsskole er ekspert på psykologiske operasjoner. Han sier at russisk etterretning kan ha en langsiktig interesse av å utføre slike angrep.

– De jobber langsiktig med å ivareta russiske politiske målsettinger. Mye er knyttet til norsk utenriks- og sikkerhetspolitikk som Svalbard, nordområdene, norsk energiproduksjon og eksport, og forsvars- og beredskapssaker. Noe er rent etterretningsarbeid, for å skaffe informasjon. De vil vite hvor vi står, vite hva vi planlegger og hva vi har tenkt å gjøre i fremtiden, og kunne forholde seg til det. Og så brukes noe av det til påvirkning. De jobber jo for å påvirke Norge i en retning som de ønsker i forhold til hva Russland ønsker å oppnå, sier oberstløytnant Karlsen til TV 2.

Slik jobber de russiske hackerne

Leder Sofie Nystrøm ved Center for Cyber and Information Security (CCIS) sier at hackergruppen «Cozy Bear» etter alt å dømme har tilknytning til russiske myndigheter.

– Det er flere angrep som man kan spore tilbake til denne gruppen, for eksempel angrepet mot tyske myndigheter, Usbekistan, Sør-Korea og ikke minst amerikanske myndigheter – både Det hvite hus og amerikansk UD. Dette er en gruppering som har vært aktiv siden 2008, sier Nystrøm til TV 2.

Slik beskriver CCIS-leder Nystrøm hvordan den russiske hackergruppen jobber:

– Først peker de ut noen mål i forhold til nøkkelpersoner som kan være av interesse, i forhold til viktig informasjon, enten det er statlige hemmeligheter, kontrakter eller andre ting. Så er det slik at man må finne ut av e-postadresser, og begynne å nøste i hvilken type informasjon som denne personen høyst trolig får til daglig, for å kunne manipulere seg inn og få brukeren til å klikke på lenker og vedlegg. Det er i første ledd en manipulasjon av brukeren.

– En del spor tilsier at de har en vanlig arbeidsdag, og det er faktisk tidssonen til Russland. Man går hjem en fredag klokken 16 og starter igjen klokken 08 på en mandag, men det er nok noen skiftordninger der også. Vi ser et tydelig mønster; det er ikke bare noen som sitter på gutterommet og prøver å få informasjon. Dette er systematisk en arbeidsplass, sier Nystrøm.

Hun sier at hackergruppen legger igjen spor etter seg.

– Man kan få en signatur ved å bruke en kode om igjen, og hvis man har klart å finne ut hvem som står bak, kan man ofte si at det er høyst trolig samme hackergruppe. Så det er signaturen i koden som er viktig i den sammenhengen, forklarer Nystrøm.

Gradert informasjon

Ifølge Nystrøm er det langt vanskeligere for hackere å få tilgang til gradert informasjon.

– Der er det en stor terskel. Det er ikke enkelt å komme seg inn på graderte systemer. Da må man høyst trolig med en «innsider», som kan plante en kode, noe man har sett eksempler på i andre land. Har man store ressurser, kan man jobbe over lang tid for å få innsidere som kan plante kode, sier hun.

Sofie Nystrøm sier det er en utfordring at det er store mørketall knyttet til denne type virksomhet.

– Teknologien er relativt umoden i forhold til å oppdage denne typen angrep. Vi kan anta at det har vært mange angrep allerede mot viktige norske interesser som ikke har blitt meldt til myndighetene, og ikke er blitt etterforsket.

Lik TV 2 Nyhetene på Facebook