Det største angrepet – så langt

Å ikke oppgradere er som å åpne døren for datainnbrudd. I august var redningen tidlig varsling. Les om hvorfor og hvordan bedrifter og privatpersoner bør beskytte seg mot hacking i denne artikkelen jeg skrev for Sikkerhet nr 4, 2014.

Den siste uken i august ropte Nasjo­nal sikkerhetsmyndighet (NSM) varsko: Olje- og energinæringen var under angrep. Totalt 550 virksomheter ble varslet, minst 50 av disse var bekreftet angrepet av hackere.

Oppgrader

– Virksomhetene får konkret infor­masjon der vi ber dem se etter spesifikke ting i egne logger. Dette er den største varslingen vi har gjennom­ført, sa Hans Christian Pretor­ius, dir­ektør for operativ avdeling i NSM, til Dagens Næringsliv.

Overfor Sikkerhet understreker han hvor viktig det er å oppgradere.

– Det er veldig sjelden disse hack­erne bruker sårbarheter som er ukjente. Oppgradering ville stoppet 90 prosent av angrepene.

Hackerne utnytter feil og hull i programvare og operativsystem som er velkjente og som leveran­dørene har lansert oppgraderinger for å fikse. Derfor er det å opp­gradere første punkt på NSMs gode-råd-liste.

– Rådene vi gir koster ikke peng­er å følge og de er effektive, like­vel er det mange som ikke prioriterer sikker­het. Dessverre er nok en del bedrifter mer opptatt av nye løsninger, kontra å sørge for trygg drift, sier Pretorius.

Han ber folk være forberedt på nye bølger. Alle maskiner som er tilkoblet nett blir stadig forsøkt angrepet, men målrettede angrep som dette har vært sjeldne – til nå.

– Angrepet i august var ikke enestående. Vi forventer en ny stor runde med målrettede eposter mot samme bransje.

Statnett rammet

NSM samarbeider tett med andre myndigheter i slike saker.

– Et dataangrep rettet mot kraftbransjen kan få alvorlige konsekvens­er, uttalte Arthur Gjengstø, leder for beredskap­­sseksjonen i Norges vassdrags- og energi­direktorat (NVE) til NRK.

Hensikten med slike angrep kan være å stjele informasjon, drive spionasje eller sabotasje.

– I dette angrepet var hensikten å spionere og kartlegge, ikke sabotere. Hackere har tidligere klarte å hente ut store mengder informasjon fra norske bedrifter, men vi har ingen bekreftede kompromiteringer denne gangen, sier Pretorius.

Han forteller at det likevel kan ha skjedd.

– Mange bedrifter evner ikke å se etter det vi ber om, de har ikke skrudd på logging eller mangler kompetansen.

Angrepsprogrammet som ble benyttet er identifisert som «Crouch­ing Yeti» og kan brukes til å sabotere industrielle systemer. Til Dagens Næringsliv uttalte Gjengstø:

– Vi sitter ikke med noen informasjon om at kraftforsyningen på noen tidspunkt har vært truet, men det er viktig at man er våken. Verre angrep kan komme senere.

En årvåken ansatt gjorde at Statnett oppdaget angrepet selv.

– En av våre medarbeidere fikk en epost. Vedkommende syntes innholdet og avsender var mistenke­lig, og videresendte den til sikkerhetsfolkene våre som fikk avverget trusselen, fortalte konserndirektør Peer Olav Østli til NRK Dagsnytt.

Nøkkelpersoner

Tidligere har høyteknologibedrifter som Telenor vært hackernes mål, denne gang var det energibransjen. Felles for angrepene er at hackerne prøver å komme inn via nøkkel­personer.

– De har gjort undersøkelser i forkant og gått etter nøkkel­funksjoner i de forskjellige bedriftene, sa Pretor­ius i NSM til Dagens Næringsliv.

Personen får en epost med et vedlegg, som begge deler virker legi­timt. Åpnes vedlegget vil skade­programmet sjekke mottagerens system for en rekke kjente sikkerhetshull.

– Målsetningen er å få på plass en trojaner eller et virus på maskin­en. Den første skadevaren oppretter bare kontakt ut – så kan angriper sitte på utsiden og laste inn skadelig kode, fortalte Pretorius.

Internasjonale angrep

I fjor håndterte NSM 51 svært alvorlige hendelser og forsøk på å infiltrere norske datanettverk, og så langt i år er antallet doblet. Angrepene er internasjonale og bølg­en som traff Norge i august har truffet andre europeiske land tidlig­ere i år.

Gruppen bak «Crouching Yeti» går under en rekke forskjellige navn, som «Energetic Bear», «Havex» og «Dragonfly», og har tidligere an­grepet energisektoren i en rekke land.

– Etterretningstjenesten har sett økt aktivitet fra Russland og Kina, men for oss i NSM er det under­ordnet hvem hackerne er. Det er tydel­ig at de har store ressurser, men vi spekulerer ikke i hvem de er eller hvor de er fra. For oss er det å hindre dem viktigst, sier Pretorius til Sikkerhet.