LEIF MARTIN KIRKNES

Leif.kirknes@lomedia.no

– Vi fikk tilgang til en liste med hundrevis av epost-adresser som var brukt i en spearphishing-kampanje, sier avdelingsdirektør Hans Christian Pretorious i operativ avdeling hos Nasjonal sikkerhetsmyndighet (NSM).

På en konferanse kalt Informasjonssikkerhetsforum kunne han tirsdag fortelle mer om advarselen NSM gikk ut med rettet mot olje- og energisektoren.

«Sphearphishing» betyr i denne sammenheng at bakmennene har målrettet seg mot en liten spesifikk gruppe, fremfor klassisk nettfiske der lokkebudskapet er så generelt som mulig for å forsøke svindle flest mulig. Du kan kanskje sammenligne det med en lommetyv som holder seg til Grand Café fremfor å rusle opp og ned hele Karl Johans gate.

– Det er det største målrettede angrepet vi har sett noen gang. Det vi ser, er at det er mye arbeid bak, sier avdelingsdirektøren.

Det er ikke bare at bakmennene har rettet seg mot viktige bedrifter innen sektoren, de har også plukket ut nøkkelressurser hos dem. Dataskurkene har sittet på informasjon som indikerer at de må ha satt seg inn i selskapsstruktur, organisasjonskart og kanskje lest selskapenes årsrapporter.

En slik innsats fra dataskurker har ikke NSM sett her til lands før.

Kontorfolket utsatt

Til Nettverk forteller Pretorious at samlebegrepet «olje- og energibransjen» også inkluderer kraftbransjen og kraftprodusenter, både store og små selskap.

– Hvilken type mottakere har denne eposten rettet seg mot? Kontorfolk, «gutta på gulvet» eller begge to?

– Denne runden har det vært sjefer. Derfor tror vi dette er en kartleggingsfase der bakmennene har vært på jakt etter informasjon. Vi er ikke så bekymret for SCADA-utnyttelse ennå (prosesskontrollsystemer, journ.anm.), ettersom angrepet ikke har vært rettet mot nøkkelressurser som skulle tilsi at angriperne vil ha tilgang til styringssystemene, sier Pretorious.

Pretorious påpeker at angrep gjerne begynner på den måten fordi det er lettere å få tilgang til informasjon om hvem som sitter i ledelsen gjennom åpne kilder som for eksempel nettsider. I neste omgang kan angriperne så ta rede på hvordan de skal gå videre med informasjonen de har lokket ut fra ledelsens datautstyr.

– Det ser ut som de ikke har vært på jakt etter SCADA i denne runden. De har forsøkt med informasjonsinnhenting for å eventuelt bygge videre på, men vi vet ikke om det videre målet er spionasje eller sabotasje.

Han tror ikke vi har sett siste bølge.

– Vi forventer at det kommer nye angrepsbølger, sier han.

Jubler over KraftCERT

Det har nylig vært en tilsvarende angrepsbølge i Europa, hvor det har vært vedlagt en skadevare-pakke som også har inneholdt funksjonalitet for å kontrollere prosesskontrollsystemer. Pretorious forteller at dette ikke i denne omgang ser ut til å være tilfellet i den norske bølgen av angrep som har blitt kjent den siste tiden.

Det har også denne uken blitt kjent at kraftbransjen nå er i ferd med å opprette en såkalt CERT, Computer Emergency Response Team, for å gi kraftbransjen et eget spissrettet fagmiljø innen IT-sikkerhet. NSM har selv en egen «nasjonal» CERT, kalt NorCERT, men det har de siste årene vært ytret ønske fra politisk hold om bransje-spesifikke CERTer. Pretorious er utvilsomt glad for at det ser ut til å komme en KraftCERT.

– Det er fantastisk!, sier han.

– Initiativet til å etablere KraftCERT er ekstremt viktig og nøkkelen til å kunne håndtere og bistå. Vi besitter ikke detaljkunnskap om hvordan kraftbransjen fungerer, men den vil en KraftCERT kunne besitte. Vi kan ikke ha oversikt over alt, så et samarbeid med sektorvise miljøer blir veldig viktig.

– Det har vært ytret fra enkelte røster i IT-sikkerhetsmiljøet at det kanskje blir litt mange CERTer, hva tenker du om det?

– Jeg tror NorCERT kommer få til en god samhandlingsmodell, så det er jeg ikke bekymret for. Jeg mener det heller innebærer opplagt merverdi.

Les også: – Nettselskapene ikke godt nok forberedt på målrettede angrep