HACKERE: Slik profilerer den anonyme hackergruppa Killnet seg på den krypterte meldingstjenesten Telegram. Foto: Killnet / Telegram
HACKERE: Slik profilerer den anonyme hackergruppa Killnet seg på den krypterte meldingstjenesten Telegram. Foto: Killnet / Telegram

Dette er Killnet: – Har en agenda mot Norge

Killnet skal stå bak et stort hackerangrep som rammet norske tjenester. Dette er ekspertenes tre grunner til hvorfor de valgte Norge.

Onsdag ble en rekke viktige norske virksomheter rammet av et hackerangrep.

Ifølge Nasjonal sikkerhetsmyndighet (NSM) fremstår det som at en kriminell pro-russisk gruppering står bak.

På forhånd har hackergruppa Killnet varslet at de ville gjennomføre et større angrep mot Norge. På Telegram har de også misbrukt og manipulert bilder av flere fremtredende nordmenn.

Eksperter mener det er et uromoment ved angrepene. De mener det er en risiko for at det vi så onsdag bare var en avledningsmanøver.

HACKERGRUPPE: Bildet er hentet fra den pro-russiske hackergruppen Killnet sin konto på sosiale medier. Foto: Ole Enes  Ebbesen / TV 2
HACKERGRUPPE: Bildet er hentet fra den pro-russiske hackergruppen Killnet sin konto på sosiale medier. Foto: Ole Enes Ebbesen / TV 2

Millioner av maskiner

Ifølge Erling Schackt, som er teknologileder i Check Point Software, kontrollerer Killnet cirka fire og en halv million maskiner på internett – uten at brukerne vet om det.

– Dette er maskiner som er infisert, hvor brukeren eller eieren ikke er klar over dette. De bruker maskinene til å angripe mål, som norske nettsteder ved dette tjenestenektangrepet, sier han.

Under et slikt angrep sendes så mange forespørsler til en tjeneste at den krasjer.

Angrepet har tilsynelatende ikke gjort stor skade utover noe nedetid for norske nettsteder. Daniel Christensen, som er etisk hacker i Telenor, mener likevel at dette dreier seg om et stort angrep.

– At de klarte å ta ned tjenester med så stor infrastruktur, tyder på at dette er et stort angrep. Det er større enn det noen kids får til i kjelleren, sier Christensen.

ENKELT: Daniel Christensen mener det er bekymringsfullt at en del av norsk infrastruktur blir tatt ned så enkelt. Foto: Jan Arne Austad / TV 2
ENKELT: Daniel Christensen mener det er bekymringsfullt at en del av norsk infrastruktur blir tatt ned så enkelt. Foto: Jan Arne Austad / TV 2

Øystein Bogen, som har dekket Russland for TV 2 i en årrekke, mener ingen vet hvor stort nettverket til Killnet er.

– Uavhengige datasikkerhetseksperter mener det kan dreie seg om noen hundre personer, som koordinerer angrepene via Telegram. De skal ha ganske avanserte hacker-verktøy til disposisjon og stor samlet serverkapasitet. Det er nødvendig for å kjøre store angrep, sier han.

CYBERKRIGFØRING: Øystein Bogen har også skrevet boken «Russlands hemmelige krig mot Vesten», som blant annet handler om Putins cyberkrigføring mot omverdenen. Foto: Aage Aune / TV 2
CYBERKRIGFØRING: Øystein Bogen har også skrevet boken «Russlands hemmelige krig mot Vesten», som blant annet handler om Putins cyberkrigføring mot omverdenen. Foto: Aage Aune / TV 2

Killnett står også bak angrep mot blant andre Italia, Moldova, Tsjekkia og Litauen den siste tiden. Sist i rekken finner man Norge – og det mener ekspertene det er en åpenbar grunn til.

Derfor rammes Norge

Ekspertene peker på tre årsaker til hvorfor akkurat Norge rammes, men er enig om en ting:

– Dette er politisk motivert, sier Schackt.

TEK-EKSPERT: Erling Shackt er teknologileder i Check Point Software.
TEK-EKSPERT: Erling Shackt er teknologileder i Check Point Software.

For det første peker de på at angrepet er en reaksjon på fraktnekt av russiske varer i Svalbard via Storskog under krigen.

– De er ikke nødvendigvis ute etter penger, men dette er nærmest ren sabotasje av norsk infrastruktur, sier Schackt.

Bogen viser til at angrepet ser ut til å være nøye koordinert med politiske og diplomatiske utspill fra Russland.

– Angrepet på Norge kom kun timer etter at Norge ikke ville gjøre unntak fra sanksjonene, og slippe kontainere med russiske varer gjennom grensestasjonen, sier han.

SANKSJONER: At hackergruppa reagerer på norske sanksjoner av Russland, samsvarer med meldinger gruppen har skrevet på Telegram. Foto: Killnet / Telegram
SANKSJONER: At hackergruppa reagerer på norske sanksjoner av Russland, samsvarer med meldinger gruppen har skrevet på Telegram. Foto: Killnet / Telegram

Er tilfeldigvis norsk

Ifølge Bogen var Killnet inntil ganske nylig en ren kriminell gruppe som tjente penger ved å selge hackerverktøy til dem som betalte.

Etter Russlands invasjon av Ukraina byttet de profil og begynte å drive med cyber-aktivisme for å understøtte russiske politiske mål.

– I mai erklærte de cyberkrig mot flere Nato-land, samt mot den vestlige hackergruppa Anonymous, som tidligere har angrepet russisk statlig infrastruktur som gjengjeldelse for krigen i Ukraina, sier Bogen.

Ekspertene mener at den norske militærhjelpen til Ukraina er den andre årsaken til at Norge rammes.

– Det kan se ut som gruppa har en agenda mot Norge på grunn av støtten til Ukraina, og det er trolig derfor Stoltenberg og utenriksministeren brukes i kampanjen, sier Christensen.

FALSKT: Killnet har hevdet at de har kontroll på passet til Jens Stolenberg, men det er falskt. Foto: Killnet / Telegram
FALSKT: Killnet har hevdet at de har kontroll på passet til Jens Stolenberg, men det er falskt. Foto: Killnet / Telegram

På Telegram har gruppen truet generalsekretær Jens Stoltenberg og manipulert et bilde av utenriksminister Anniken Huitfeldt.

– Norge er også et mål på grunn av Stoltenberg, som leder organisasjonen som blir utpekt som Russlands fiende nummer én, og som tilfeldigvis er norsk, sier Bogen.

MANIPULERT: Killnet omtaler utenriksministeren som «Mrs Error». Foto: KIllnet / Telegram
MANIPULERT: Killnet omtaler utenriksministeren som «Mrs Error». Foto: KIllnet / Telegram

Sår tvil om angriperen

Men Killnet er ikke den eneste russiske hackergruppen det norske datasikkerhetsmiljøet har på radaren.

Morten Tandle ved Nordic Financial CERT forteller at de har fulgt nøye med på en annen hackergruppe ved navn Legion – Cyber Spetsnaz (LCS) siden tidligere i vår.

– De er også en aktivistgruppe. De er ikke organisert, men har en kommunikasjonskanal hvor de legger ut mål, som de ber sine følgere om å angripe, sier Tandle.

Han mener det er en tydelig sammenheng mellom Killnet og LCS.

– Fra vår side virker det som om de er to ulike grupper, med ganske likt formål, og hvor det er noe overlapp i medlemskap, sier han.

NETTKRIM: Morten Tandle er daglig leder for Nordic Financial CERT, som jobber mot internettkriminalitet for den nordiske finansnæringen. Foto: Torstein Bøe / NTB
NETTKRIM: Morten Tandle er daglig leder for Nordic Financial CERT, som jobber mot internettkriminalitet for den nordiske finansnæringen. Foto: Torstein Bøe / NTB

Tandle viser blant annet til at meldingen som LCS la ut i natt, senere ble delt i Telegram-gruppen til Killnet.

– Om det er medlemmer av Killnet og/eller LCS som faktisk utfører angrep mot disse målene er vanskelig å vite.

Heller ikke Nasjonal sikkerhetsmyndighet (NSM) tør å slå fast hvem som står bak.

De vil skape kaos

NSM viser til lignende angrep i andre land den siste tiden, og sier at ingen av disse har meldt om varige konsekvenser.

– Angrepene vil likevel kunne skape usikkerhet i befolkningen, og gi inntrykk av at vi er en brikke i den pågående politiske situasjonen i Europa, sier direktør Sofie Nystrøm til TV 2.

Bogen mener at nettopp dette er målsetningen til hackergruppa.

– De ønsker å skape skape uro, kaos og engstelse og sammen med andre, statlige russiske virkemidler forsøke å påvirke politiske beslutninger i andre land, sier han.

USIKRE: Ekspertene er usikre på om Killnet vil stoppe etter onsdagens angrep. Foto: Ole Enes  Ebbesen / TV 2
USIKRE: Ekspertene er usikre på om Killnet vil stoppe etter onsdagens angrep. Foto: Ole Enes Ebbesen / TV 2

Kan være avledningsmanøver

Selv om de fleste norske tjeneste som ble rammet natt til onsdag, er oppe og går igjen, er det uvisst hvor lenge angrepet vil vare.

Det er imidlertid én ting som bekymrer Schackt.

– Det som er litt risikabelt med dette og med et tjenesteangrep generelt, er om man har brukt dette for å dra oppmerksomheten bort fra et annet angrep. Men det er vanskelig å si om dette er tilfellet, sier Schackt.

Bogen forteller at det også skal være en viss uro i datasikkerhetsmiljø etter angrepene.

– Foreløpig kjenner man ikke til at de har stjålet informasjon, men i datasikkerhetsmiljøet skal det være en viss uro for at de også kan tenke seg å begynne med såkalte løsepengevirus-angrep.