Dette er Killnet: – Har en agenda mot Norge
Killnet skal stå bak et stort hackerangrep som rammet norske tjenester. Dette er ekspertenes tre grunner til hvorfor de valgte Norge.
Onsdag ble en rekke viktige norske virksomheter rammet av et hackerangrep.
Ifølge Nasjonal sikkerhetsmyndighet (NSM) fremstår det som at en kriminell pro-russisk gruppering står bak.
På forhånd har hackergruppa Killnet varslet at de ville gjennomføre et større angrep mot Norge. På Telegram har de også misbrukt og manipulert bilder av flere fremtredende nordmenn.
Eksperter mener det er et uromoment ved angrepene. De mener det er en risiko for at det vi så onsdag bare var en avledningsmanøver.
Millioner av maskiner
Ifølge Erling Schackt, som er teknologileder i Check Point Software, kontrollerer Killnet cirka fire og en halv million maskiner på internett – uten at brukerne vet om det.
– Dette er maskiner som er infisert, hvor brukeren eller eieren ikke er klar over dette. De bruker maskinene til å angripe mål, som norske nettsteder ved dette tjenestenektangrepet, sier han.
Under et slikt angrep sendes så mange forespørsler til en tjeneste at den krasjer.
Angrepet har tilsynelatende ikke gjort stor skade utover noe nedetid for norske nettsteder. Daniel Christensen, som er etisk hacker i Telenor, mener likevel at dette dreier seg om et stort angrep.
– At de klarte å ta ned tjenester med så stor infrastruktur, tyder på at dette er et stort angrep. Det er større enn det noen kids får til i kjelleren, sier Christensen.
Øystein Bogen, som har dekket Russland for TV 2 i en årrekke, mener ingen vet hvor stort nettverket til Killnet er.
– Uavhengige datasikkerhetseksperter mener det kan dreie seg om noen hundre personer, som koordinerer angrepene via Telegram. De skal ha ganske avanserte hacker-verktøy til disposisjon og stor samlet serverkapasitet. Det er nødvendig for å kjøre store angrep, sier han.
Killnett står også bak angrep mot blant andre Italia, Moldova, Tsjekkia og Litauen den siste tiden. Sist i rekken finner man Norge – og det mener ekspertene det er en åpenbar grunn til.
Derfor rammes Norge
Ekspertene peker på tre årsaker til hvorfor akkurat Norge rammes, men er enig om en ting:
– Dette er politisk motivert, sier Schackt.
For det første peker de på at angrepet er en reaksjon på fraktnekt av russiske varer i Svalbard via Storskog under krigen.
– De er ikke nødvendigvis ute etter penger, men dette er nærmest ren sabotasje av norsk infrastruktur, sier Schackt.
Bogen viser til at angrepet ser ut til å være nøye koordinert med politiske og diplomatiske utspill fra Russland.
– Angrepet på Norge kom kun timer etter at Norge ikke ville gjøre unntak fra sanksjonene, og slippe kontainere med russiske varer gjennom grensestasjonen, sier han.
Er tilfeldigvis norsk
Ifølge Bogen var Killnet inntil ganske nylig en ren kriminell gruppe som tjente penger ved å selge hackerverktøy til dem som betalte.
Etter Russlands invasjon av Ukraina byttet de profil og begynte å drive med cyber-aktivisme for å understøtte russiske politiske mål.
– I mai erklærte de cyberkrig mot flere Nato-land, samt mot den vestlige hackergruppa Anonymous, som tidligere har angrepet russisk statlig infrastruktur som gjengjeldelse for krigen i Ukraina, sier Bogen.
Ekspertene mener at den norske militærhjelpen til Ukraina er den andre årsaken til at Norge rammes.
– Det kan se ut som gruppa har en agenda mot Norge på grunn av støtten til Ukraina, og det er trolig derfor Stoltenberg og utenriksministeren brukes i kampanjen, sier Christensen.
På Telegram har gruppen truet generalsekretær Jens Stoltenberg og manipulert et bilde av utenriksminister Anniken Huitfeldt.
– Norge er også et mål på grunn av Stoltenberg, som leder organisasjonen som blir utpekt som Russlands fiende nummer én, og som tilfeldigvis er norsk, sier Bogen.
Sår tvil om angriperen
Men Killnet er ikke den eneste russiske hackergruppen det norske datasikkerhetsmiljøet har på radaren.
Morten Tandle ved Nordic Financial CERT forteller at de har fulgt nøye med på en annen hackergruppe ved navn Legion – Cyber Spetsnaz (LCS) siden tidligere i vår.
– De er også en aktivistgruppe. De er ikke organisert, men har en kommunikasjonskanal hvor de legger ut mål, som de ber sine følgere om å angripe, sier Tandle.
Han mener det er en tydelig sammenheng mellom Killnet og LCS.
– Fra vår side virker det som om de er to ulike grupper, med ganske likt formål, og hvor det er noe overlapp i medlemskap, sier han.
Tandle viser blant annet til at meldingen som LCS la ut i natt, senere ble delt i Telegram-gruppen til Killnet.
– Om det er medlemmer av Killnet og/eller LCS som faktisk utfører angrep mot disse målene er vanskelig å vite.
Heller ikke Nasjonal sikkerhetsmyndighet (NSM) tør å slå fast hvem som står bak.
De vil skape kaos
NSM viser til lignende angrep i andre land den siste tiden, og sier at ingen av disse har meldt om varige konsekvenser.
– Angrepene vil likevel kunne skape usikkerhet i befolkningen, og gi inntrykk av at vi er en brikke i den pågående politiske situasjonen i Europa, sier direktør Sofie Nystrøm til TV 2.
Bogen mener at nettopp dette er målsetningen til hackergruppa.
– De ønsker å skape skape uro, kaos og engstelse og sammen med andre, statlige russiske virkemidler forsøke å påvirke politiske beslutninger i andre land, sier han.
Kan være avledningsmanøver
Selv om de fleste norske tjeneste som ble rammet natt til onsdag, er oppe og går igjen, er det uvisst hvor lenge angrepet vil vare.
Det er imidlertid én ting som bekymrer Schackt.
– Det som er litt risikabelt med dette og med et tjenesteangrep generelt, er om man har brukt dette for å dra oppmerksomheten bort fra et annet angrep. Men det er vanskelig å si om dette er tilfellet, sier Schackt.
Bogen forteller at det også skal være en viss uro i datasikkerhetsmiljø etter angrepene.
– Foreløpig kjenner man ikke til at de har stjålet informasjon, men i datasikkerhetsmiljøet skal det være en viss uro for at de også kan tenke seg å begynne med såkalte løsepengevirus-angrep.