PST bekrefter: Russiske hackere har angrepet Forsvaret, UD, Ap, Statens strålevern og PST

PST sier til TV 2 at hackergruppen er kjent som APT 29, også kalt «Cozy Bear».

Denne artikkelen er over ett år gammel, og kan inneholde utdatert informasjon.

Politiets sikkerhetstjeneste (PST) bekrefter at flere norske institusjoner er rammet av en omfattende datanettverksoperasjon fra en hackergruppe tilknyttet en fremmed etterretningstjeneste.

I et intervju med TV 2 forteller seksjonssjef Arne Christian Haugstøyl i PST at ikke bare Arbeiderpartiet var mål for inntrengeren som beskrives som en avansert, målrettet aktør med store ressurser.

Statsminister Erna Solberg sier til TV 2 at dette er et alvorlig angrep på våre demokratiske institusjoner.

– Angrep av den typen er et angrep mot de demokratiske styringssystemene i vårt land. Det er det når man angriper regjeringen, UD, Forsvaret eller politiske partier. Vi er alle nødt til å ta cybertrusselen på alvor. Vi kan ikke regne med at vi er mindre sårbare enn andre land, derfor er det utrolig viktig at alle tar forhåndsregler som å ikke åpne e-poster du ikke kjenner avsenderen på, sier Solberg til TV 2.

Torsdag fortalte TV 2 at Arbeiderpartiets stortingsgruppe har vært utsatt for et cyberangrep som PST knytter til fremmed etterretning.

Angrepet mot Arbeiderpartiet sammenlignes med den russiske cyberoperasjonen som ble brukt til å påvirke den amerikanske presidentvalgkampen.

Arbeiderpartiets medlemmer ble varslet om angrepet onsdag, samme dag som PST la frem sin trusselvurdering for 2017. PST mener russisk spionasje har størst skadepotensial for Norge.

Arbeiderpartiets gruppeledelse har varslet partiets stortingsrepresentanter og bedt dem om å opptre varsomt med hva som skrives i e-poster og sendes via sms. Det ble også opplyst at representantenes mobiltelefoner kan bli avlyttet.

I tillegg til Arbeiderpartiet ble også Forsvaret, Utenriksdepartementet, Statens strålevern, en ikke navngitt utdanningsinstitusjon og PSTs åpne nett utsatt for cyberoperasjonen fra hackergruppen.

– Det vi kan bekrefte, er at ni ulike e-postkontoer er rammet av et spear phishing-angrep, det vil si ondsinnet e-post sendt til flere norske aktører. En av dem, som allerede har vært ute i media, er Arbeiderpartiets stortingsgruppe. De andre er Utenriksdepartementet, Forsvaret, Statens strålevern og en høyskole. PST er også selv blitt utsatt for den ondsinnede e-posten, sier Haugstøyl til TV 2.

Opplysningene om den massive cyberoperasjonen kom fra en samarbeidende tjeneste, og ble ikke oppdaget av noen av de norske etterretnings- og sikkerhetstjenestene. PSTs seksjonssjef ønsker ikke å si hvor vellykket dette angrepet har vært.

Derfor bekrefter PST cyberangrepet

PST sier til TV 2 at hackergruppen er kjent som APT 29, også kalt «Cozy Bear». «Cozy Bear» knyttes til den russiske sikkerhetstjenesten FSB, og klarte ifølge amerikanske myndigheter å bryte seg inn i datanettverket til Det demokratiske partiet sommeren 2015. Hackergruppen har vært aktiv i flere år, og PST mener det er viktig å bevisstgjøre Norges befolkning og beslutningstakere om hvordan de arbeider.

– De har gjennom lang tid rammet flere vestlige mål, og APT 29 knyttes til russiske myndigheter. Det er meget vanskelig å stoppe denne formen for virksomhet. PST vurderer det som det beste tiltaket vi kan gjøre er å bevisstgjøre befolkningen og beslutningstakere, og da spesielt de som forvalter nasjonale interesser om trusselen. Det vil være veldig krevende for oss å klare å stoppe denne type virksomhet, men det er også litt av grunnen til at vi velger å bekrefte dette. At vi velger å gå ut forebyggende, er jo nettopp for at folk skal være oppmerksom på at en del av e-postene de kan motta, kan inneholde denne formen for skadevare, sier Haugstøyl til TV 2.

Justisminister Per-Willy Amundsen sier at PSTs trusselvurdering for 2017 i høyeste grad er relevant, siden den peker på problemstillingen PST løfter frem.

– Den viser at vi som samfunn skal være årvåken, vi skal ikke være naive. Vi må være forberedt på at vi kan bli utsatt for denne typen hendelser, sier Amundsen til TV 2.

Utenriksdepartementet bekrefter til TV 2 at de har vært blant målene for den russiske datanettverksoperasjonen.

– Jeg kan bekrefte det som PST har sagt i dag, at det har vært angrep mot enkelte e-postadresser i Utenriksdepartementet. Men jeg overlater øvrige kommentarer til PST. Dette er en politietterforskning, og det er viktig at det blir fulgt opp på en ordentlig måte, sier UDs kommunikasjonssjef Frode Andersen til TV 2.

Hackergruppen APT 28, også kjent som «Fancy Bear», brøt seg ifølge en analyserapport fra FBI og det amerikanske sikkerhetsdepartementet inn i Demokratenes datanettverk våren 2016. Som TV 2 fortalte i 2014, sto «Fancy Bear» bak et cyberangrep mot det norske forsvaret. Ifølge det amerikanske sikkerhetsfirmaet FireEye hadde «Fancy Bear» Forsvaret som ett av målene for dataspionasjen som hadde foregått siden 2007. «Fancy Bear» knyttes til den russiske militære etterretningstjenesten GRU.

Utførte skreddersydde angrep mot USA

Det langvarige og komplekse russiske cyberangrepet mot USA omtales av amerikanske etterretnings- og sikkerhetsmyndigheter som operasjon «Grizzly Steppe». Både offentlige kontorer, infrastrukturforetak, tenketanker, universiteter, politiske organisasjoner og firmaer ble utsatt. Over 1000 skreddersydde angrep skal ha blitt rettet mot mottakere i det amerikanske regjeringsapparatet sommeren 2015.

En amerikansk rapport beskriver hvordan de to russiske hackergruppene APT28 og APT29 klarte å trenge seg inn i datanettverket til Det demokratiske partiet.
En amerikansk rapport beskriver hvordan de to russiske hackergruppene APT28 og APT29 klarte å trenge seg inn i datanettverket til Det demokratiske partiet. Foto: Faksimile

Fagdirektør Roar Thon i Nasjonal sikkerhetsmyndighet omtaler «Grizzly Steppe» som en langvarig operasjon der både teknologiske og menneskelige etterretningsmetoder kombineres.

– I denne saken, som så mange andre, er det identifisert aktører som omtales som Advanced Persistent Threat (APT) At de omtales som avanserte, betyr ikke nødvendigvis at alt de gjør teknologisk aldri skal være sett før, eller representerer noe nytt eller er avansert. Det som like gjerne kan kjennetegne en APT-aktør er evnen til å kombinere ulike metoder av både teknologisk, mellom-menneskelig og prosessuell art. Når det gjelder utholdenhet for å nå et slikt mål, er det få organisasjoner som kan måle seg med en etterretningsorganisasjons vilje, ressurser og tålmodighet, skriver Thon i NSMs sikkerhetsblogg.