JavaScript is disabled in your web browser or browser is too old to support JavaScript. Today almost all web pages contain JavaScript, a scripting programming language that runs on visitor's web browser. It makes web pages functional for specific purposes and if disabled for some reason, the content or the functionality of the web page can be limited or unavailable.
NSM: Bente Hoff, Nasjonalt cybersikkerhetssenter.

NSM: Bente Hoff, Nasjonalt cybersikkerhetssenter.

Skjermdump

NSM tror flere enn bare Stortinget er rammet av Exchange-angrep

IT-løsningen som utnyttes i angrepet er mye brukt i Norge, påpeker Nasjonal sikkerhetsmyndighet.



11.03.2021
17:28
12.03.2021 08:59

leif.kirknes@lomedia.no

I går ble det kjent at Stortinget har vært utsatt for nok et dataangrep, gjennom et sikkerhetshull i epostserver-programvaren Exchange fra Microsoft.

I dag gikk Nasjonal Sikkerhetsmyndighets (NSM) årlige sikkerhetskonferanse av stabelen, med foredragsholdere fra sikkerhetsmiljøet.

Deriblant Bente Hoff fra Nasjonalt cybersikkerhetssenter, som erkjenner at det har vært et travelt døgn.

– Vi vet at den Microsoft-løsningen er mye brukt i Norge, at det finnes virksomheter som fortsatt ikke har beskyttet seg, og at sikkerhetshullet har vært utnyttet hos noen flere virksomheter enn Stortinget. Vi jobber aktivt med å finne ut om det er flere, sier hun.

Nasjonalt cybersikkerhetssenter er en underavdeling hos NSM, som kort fortalt holder oversikt over rikets IT-sikkerhet og responderer på uønskede hendelser.

Les også: E-tjenestene advarer mot svært sammensatte digitale trusler

Flere norske ofre

Det er vanskelig for Hoff å si hva skurkenes motiv er, og det trenger heller ikke å være samme aktører som står bak Exchange-angrep hos ulike virksomheter.

Også trøndernes busselskap AtB, Høgskolen i Østfold og Øksnes kommune har gått åpent ut og sagt de er rammet av Exhange-angrep. Tirsdag denne uka skrev NRK Beta at tall fra sikkerhetsselskapet Defendable på det tidspunktet viste at 269 Exchange-servere i Norge ikke var blitt sikkerhetsoppdatert.

Exchange er en epostserver-programvare fra Microsoft. Noen med onde hensikter har funnet et sikkerhetshull i denne, og benyttet dette til dataangrep. Senere har Microsoft fått vite om hullet, lappet det sammen og sendt ut en sikkerhetsoppdatering som tetter det.

Men før selskaper får summet seg til å installere denne oppdateringen, er de åpne for angrep.

– Hva som er skaden i et slikt angrep er litt avhengig av hva trusselaktørene er på jakt etter. Det kan for oss se ut som det er flere ulike aktører som utnytter sikkerhetshullet. Det kan være for å hente ut info, vi kan også forvente å se for oss en andre bølge der det installeres bakdør der de kan plassere inn et løsepengevirus, sier Hoff.

Les også: – Betongsperrer på Karl Johan hjelper ikke mot cybertrusler

Krypto i Toten

Hun understreker at det er flere angrep enn bare Microsoft-angrepet som pågår nå for tiden.

Deriblant mye løsepengevirus, der data krypteres og skurkene ber om løsepenger for å låse opp disse.

Blant annet har Østre Toten kommune vært utsatt for dette, og de fortalte på konferansen om sin opplevelse om da alt gikk ned for telling i kommunen tidlig i januar, etter at 240 fagsystemer ble satt ut av drift i angrepet.

Det er ikke anbefalt å betale, blant annet fordi du uansett ikke er sikret å få datene tilbake.

Opprydningsarbeidet pågår fortsatt den dag i dag i Østre Toten. Også backupen de hadde lagret ble slettet i angrepet.

– Alt arbeid måtte gjøres manuelt. Selv når helsesøster skulle kalle inn unger så hadde vi verken data om eleven og heller ikke noe system for å avtale tidspunkt, forklarer ordfører Bror Helgestad.

Les også: Telenor ber kommuner føre oversikt over sine automatiserte tjenester

De har en IT-avdeling som har driftet IT-systemene for dem, men han erkjenner at når hverdagen har vært hverdag og det har stått mellom flere ressurser til sykepleiere eller til IT-avdelingen, så har IT-avdelingen trukket det korteste strået.

Nå har de outsourcet mye av IT-oppgavene til et interkommunalt selskap, mens de selv satser på å beholde god bestillerkompetanse.

Les også: Hackerne sendte kommunen flere tiår tilbake i tid. Nå legger de ned IT-avdelingen

Flere kommuner har tatt kontakt med dem etter angrepet, sier Helgestad, for å lære av Østre Totens feil, og disse har nå iverksatt noen grunnleggende tiltak, slik som tofaktors autentisering.

Tofaktors autentisering vil si at du i tillegg til passord for eksempel må benytte en kode tilsendt mobilen din for å logge inn i systemer.

Tipset om tofaktors autentisering gikk igjen på NSM-konferansen som et godt tips til tiltak for å øke sikkerheten.

Tofaktor ikke en magisk kule

En time etter NSMs konferanse, hadde sikkerhetsselskapet Check Point en pressekonferansen der de lanserte en sikkerhetsrapport.

Teknologileder Nils-Ove Gamlem i Check Point Norge fikk med seg NSMs konferanse, og ga uttrykk for å være noe mer lunken til opphypingen tofaktors autentisering.

Han mener tofaktor er bra og må til, men mener det er viktig ikke å glemme at det også må mer til enn bare det.

– Det er ikke så enkelt som at «nå skrur vi på tofaktor og så er vi trygge». Tofaktor i seg selv gir definitivt ekstra sikkerhet for kontoer. Men det er ikke tilstrekkelig. Hvis jeg får tilsendt et ondsinnet vedlegg og åpner den fila, så hjelper ikke tofaktor, for da er skadevaren allerede eksponert for meg, sier han.

Gamlem synes også mange av dem som har blitt angrepet via Exhange-hullet tar litt lett på det hvis det påstår de har gjort alt i sin makt for å unngå å bli angrepet. For det finnes mange ulike løsninger og metoder for å bake sikkerhet rundt Exchange, påpeker han.

– Jeg spiller spørsmål ved folk som sier «vi har gjort alt vi kunne». Det er ikke mulig å fjerne hullet før det er fikset, men det er likevel mulig å hindre at noen utnytter sikkerhetshullet, sier Gamlem.

Les også: Espen Barth Eide om norsk IT-sikkerhet: – Vi er truet konstant, dag og natt

Bergen Engines-dilemmaet

Tilbake til NSMs årskonferanse, ble det også snakket om en annen «hot» sak for tiden. NSM har driver ikke bare med IT-sikkerhet, men også fysisk sikkerhet.

NSM sa i sin åpne trusselrapport, som de la fram for en måneds tid siden, at de ser med bekymring på salg av norske virksomheter og eiendommer til utenlandske interesser.

Salget av Bergen Engines ble nevnt på konferansen i dag. Russiske oligarker ønsker å kjøpe selskapet som lager maritime motorer og blant annet har forsvaret på kundelista. PST-sjef Hans Sverre Sjøvold påpeker at dette er en type dilemmaer som til enhver tid er aktuelle. På ene siden hensynet til den enkelte virksomhets mulighet til å inngå en avtale, og på den andre siden hensynet til landets sikkerhet.

– Som enkeltpersoner vil vi ha mest mulig frihet, mens vi som driver med sikkerhet og etterretning vil begrense den. Det er det klassiske dilemmaet i vårt samfunn, sier han, mens sjef for etterretningstjenesten Nils Andreas Stensønes understreket at de har andre steder der de kan kjøpe motorer om det skal stå på det.

Samtidig underspiller ikke Stensønes at andre land kan ha interesser i å tuske til seg kompetanse eller teknologi. Russland er hardt presset av internasjonale sanksjoner etter at de annekterte Krim-halvøya i Ukraina, påpeker han.

Utover det pratet etterretningstjenestene på NSMs konferanse om temaer de har pratet om før, da de la fram sine åpne trusselvurderinger 9. februar. Blant annet nevnte de den gangen muligheten for påvirkning av det kommende stortingsvalg og frykten for at ordskiftet nå har blitt så tøft at det kan føre til at folk som jobber tett på politikk ikke gidder å drive med det lenger.

Les også: Etterretningstjenestene skal samarbeide for å sikre det offentlige ordskiftet i Norge

Det massive Solarwinds-angrepet

Tilbake til digitale trusler, har angrepet mot selskapet Solarwinds fått mye oppmerksomhet så langt i år, før Exchange-angrepet kom på banen.

Det som gjør Solarwinds-angrepet meget spesielt, er at det er et såkalt verdikjedeangrep.

Det vil si: angripere har på kløktig vis sneket inn ondsinnet kode i en meget populær programvare for IT-administrasjon som Solarwinds står bak, slik at denne koden har kommet inn i kundenes systemer via en helt ordinær oppdatering av denne programvaren.

En trojansk hest overfor den store mengden kunder, deriblant bortimot samtlige på den kjente Fortune 500-lista.

I Norge er det kjent at oljefondet, SAS og flere aktører fra kraftbransjen er rammet i form av å ha fått bakdøren installert.

– Solarwinds-angrepet viser at trusselaktørene har vilje og evne til å gjennomføre svært avanserte og kostbare angrep som sikrer dem et fotfeste. Vi har ikke sett noen utnyttelse av sårbarheten i Norge, og i liten grad hos internasjonale samarbeidspartnere. Men det vil kunne etablere et fotfeste som kan utnyttes senere, sier NSMs fungerende direktør Helge Rager Furuseth.

Les også: Ny satsing på cybersikkerhet i kraftbransjen

God kjennskap

Check Point har folk internasjonalt som har dykket ned i materien.

– 2020 var et annerledesår, men det er også spesielt med året at det inntraff en cyberhendelse som vil stå igjen som et landemerke innenfor cybersikkerhetsdomenet, sier Yaniv Balmas fra Check Point.

De har ikke helt klart å ta rede på presis når Solarwinds ble rammet, men de tror det kan ha vært så tidlig som rundt september/oktober i 2019.

Rundt da har noen brutt seg inn hos Solarwinds og innført ondsinnet kode inn i IT-administrasjonsprogramvaren Orion på en sofistikert måte.

– Disse har hatt god kunnskap om hvordan vi som jobber med forsvar innen IT-sikkerhet jobber og gjort alt de kan for å unngå oppdagelse. Det har også gjort det vanskelig for oss å analysere angrepet, sier han.

Valgte sine ofre

For å ikke bli oppdaget har de ikke sneket inn sin ondsinnede kode rett inn i kildekoden til programvaren, som kunne vekket mistanke, men kodet om serveren som bygger sammen programvaren.

Det høres kanskje litt teknisk ut, men hvis vi later som om programmet er et brød, er kildekoden oppskriften og byggeserveren brødbakemaskinen.

Mars 2020 har dette blitt distribuert i en eller helt legitim oppdatering, men altså da med innebygget bakdør.

Hos kundene har bakdøren «banket på» hos skurkene, og så har skurkene vært selektive på hvem de har ønsket å misbruke videre. For ofre som har vært uten verdi for dem, har de deaktivert skadevaren og skjult sine spor, for å senke risikoen for å bli oppdaget.

Hos ofre av interesse har de gått videre og lastet inn en programvare som lar angriperne gjøre automatiserte eller manuelle handlinger på innsiden av ofrenes system. Dette er tilfellet for et sted mellom 4–8000 selskaper, ifølge Check Points analyser.

Oppdaget i desember 2020

Tidlig i desember i 2020 fant sikkerhetsselskapet Fireeye ut at de hadde hatt datainnbrudd. Da de undersøkte saken, fant de ut at det kom via en oppdatering fra Solarwinds-programvaren Orion og fikk varslet om dette.

Les også: IT-kompetente folk kommer i alle former, også uten universitetsgrad

13. desember ble nyheten om angrepet offentliggjort for allmennheten.

Det har altså pågått i mange måneder før det ble oppdaget og slått alarm om.

Check Points sikkerhetsforsker Oded Vananu bemerker seg at Fireeye har flere viktige departementer i USA på kundelista, blant annet relatert til nasjonens sikkerhet.

Angrepet var vanskelig å oppdage, påpeker Vananu.

– Microsoft var et av ofrene, og har vært blant de mest aktive i å etterforske saken og dele informasjon. Angriperne kan ha hatt adgang til kildekode hos dem. Hvis til og med Microsoft med alle sine ressurser hadde vansker med å oppdage angrepene, sier det litt om hva det kan bety for andre ofre, sier han.

– Let under enhver stein. Det kan hende du også er en del av dette angrepet. Dette angrepet ble oppdaget nesten ved et uhell etter flere måneder, legger Balmas til.

Mange har pekt mot Russland som en aktør som potensielt kan stå bak angrepe. De to understreker at det kan virke sannsynlig, men at det ikke finnes fellende bevis for dette.

Komplisert

Angrepet på Solarwinds kunne kanskje vært unngått, men det påfølgende verdikjedeangrepet er en skikkelig IT-sikkerhetsnøtt, innrømmer de.

– Verdikjedeangrep er et komplisert problem. Du får oppdatering fra et selskap du stoler på, som er signert og alt ser ok ut. Hvordan kan du vite at dette inkluderer en bakdør, sier Balmas, som påpeker at det kommer oppdateringer til ulike typer programvare hele tiden.

Les også: Telenor-rapport trekker fram lange verdikjeder av underleverandører fram som en potensiell risiko

Vananu mener bedrifter også må begynne å tenke sikkerhet innenfra i tillegg til utenfra.

De har foreløpig ikke sett noen indikasjoner på at det er noen sammenheng mellom dette angrepet og den allerede nevnte Exchange-baserte sikkerhetstrusselen.

– Dette året er en gave som ikke slutter å gi. Det kan virke som om internett brenner for tiden. Begge angrepene er veldig alvorlige, sier Balmas, som legger til at de fortsatt studerer Exchange-sårbarheten.

Leiehacker

Gamlem i den norske avdelingen til selskapet forteller at cyberskurkeligaen er i ferd med å utvikle seg i en meget profesjonalisert retning. De har også trukket til hjemmekontor i koronaen, forteller han, og legger til at det sies at enkelte miljøer til og med har egne HR-avdelinger. De samarbeider også, og deler informasjon seg imellom.

– Dem som har kompetanse på å gjøre faenskap lar seg også leie, og selger sine tjenester, fortrinnsvis betalt i kryptovaluta, for å gjøre skade på noen. Vi ser også angrepsverktøy solgt som tjeneste, sier han.

Gamlem synes mange er litt for kjappe med å fastslå at angrep er statssponsede. Typiske land å peke på, som Russland, Kina, Iran og Nord-Korea er kapable til å stå bak angrep, men det er ikke dermed sagt dem som står bak alt – det finnes også andre aktører og grupperinger, påpeker han.

– Vi har avdekket guttegjenger på Filipinene som har vært i stand til å gjøre massiv skade og utnytte kjente sikkerhetshull, sier Gamlem, som ber om litt nøkternhet når det gjelder å spørre hva som er statsstøttede angrep og ei.

Les også: Sikkerhetsutvalg peker på den nettoppkoblede leke-elefanten i rommet

Utpressing

Angriperne retter seg gjerne mot ting vi interesserer oss for, ifølge Gamlem, enten det er korona, påske eller stortingsvalg.

– Dem som vil oss vondt benytter seg av de endringene som skjer i samfunnet, som vi er på søken etter. De utnytter interessen vi har, sier han.

Check Point har for eksempel avdekket 68.000 domeneregistreringer relatert til korona, der de mener halvparten antakelig er ondsinnede.

Ellers har de sett en 50 prosent økning i daglige utpressingsvirusangrep, og at disse angrepene har gått fra å bare kryptere til å også stjele dataene og true med å offentliggjøre disse. For noen bedrifter kan dette fremstå som svært skadelig, påpeker han.

Han mener en kunne vurdert, og han understreker da ordet vurdert, å gjøre det ulovlig å betale løsepenger.

– Pengene går jo til å finansiere annen kriminalitet. Det kunne tatt bort litt av markedet for å drive med utpressing fra organisasjoner og personer uten skrupler, sier Gamlem.

Les også: – Hvis noen skyter på et kontor, kommer politiet. Hvis noen skyter på kjerneinfrastruktur, kommer ingen, sier Telenors dekningsdirektør Bjørn Amundsen

Var dette interessant? Vil du dele den med noen andre?
11.03.2021
17:28
12.03.2021 08:59



Mest lest

LO-leder Peggy Hessen Følsvik, riksmekler Mats Ruland og NHO-leder Ole Erik Almlid etter at partene hadde blitt enige i lønnsoppgjøret.

LO-leder Peggy Hessen Følsvik, riksmekler Mats Ruland og NHO-leder Ole Erik Almlid etter at partene hadde blitt enige i lønnsoppgjøret.

Håvard Sæbø

LO og NHO er enige om årets lønnstillegg. Dette ble resultatet

Forhandlingene mellom LO, YS og NHO i årets lønnsoppgjør er krevende. Det medgir også riksmekler Mats Ruland.

Forhandlingene mellom LO, YS og NHO i årets lønnsoppgjør er krevende. Det medgir også riksmekler Mats Ruland.

Jan-Erik Østlie

Løsning i lønnsoppgjøret, ingen streik. Her er årets økonomiske ramme

MISFORNØYD: Raj Kumar Fylling er meget misfornøyd med egen lønnsutvikling i Skatteetaten. Ifølge lønnstatistikk fra etaten de siste fem årene er det store skjevheter i systemet.

MISFORNØYD: Raj Kumar Fylling er meget misfornøyd med egen lønnsutvikling i Skatteetaten. Ifølge lønnstatistikk fra etaten de siste fem årene er det store skjevheter i systemet.

Ole Palmstrøm

Raj (63) har fått 24.700 kroner i lønnshopp på fem år. Kollegaen fikk nesten 100.000 kroner mer

LO og NHO ble enige i  årets lønnsoppgjør. Men hva ble de egentlgi enige om? FraFagbevegelse prøver å forklare resultatet.

LO og NHO ble enige i årets lønnsoppgjør. Men hva ble de egentlgi enige om? FraFagbevegelse prøver å forklare resultatet.

Håvard Sæbø

Hvordan kan 2,25 kroner i timen bli 2,7 prosent? Lønnsoppgjøret forklart

Noen av dagens koronaordninger gjelder ut juni, andre gjelder ut september. Her får du oversikten.

Noen av dagens koronaordninger gjelder ut juni, andre gjelder ut september. Her får du oversikten.

Emmie Olivia Kristiansen

16 støtteordninger du kan ha krav på nå. Her er den samlede oversikten

Sissel M. Rasmussen

Tonje (18) anbefaler yrket som nesten ingen jenter velger

2,7 PROSENT: Virke-direktør Torgeir Kroken (t.v.) og LO-nestleder Roger Heimli peker på at de har fått til samme resultat som i LO/NHO-oppgjøret.

2,7 PROSENT: Virke-direktør Torgeir Kroken (t.v.) og LO-nestleder Roger Heimli peker på at de har fått til samme resultat som i LO/NHO-oppgjøret.

Brian Cliff Olguin

Nytt lønnsoppgjør i havn: 34.000 ansatte får ny lønn

For første gang på 10 måneder er Arbeiderpartiet større enn Høyre. Erna Solberg må med andre ord se opp til Jonas Gahr Støre igjen.

For første gang på 10 måneder er Arbeiderpartiet større enn Høyre. Erna Solberg må med andre ord se opp til Jonas Gahr Støre igjen.

Leif Martin Kirknes

Ny måling: Nå er Ap størst igjen. Det har ikke skjedd siden juni i fjor

FÅR FERIEPENGER: Ørjan Strømhaug er glad for de ekstra pengene som vil tikke inn på kontoen. Han var permittert fra jobben på et personbilverksted fra mai til desember i 2020.

FÅR FERIEPENGER: Ørjan Strømhaug er glad for de ekstra pengene som vil tikke inn på kontoen. Han var permittert fra jobben på et personbilverksted fra mai til desember i 2020.

Tormod Ytrehus

Nå blir det likevel feriepenger på dagpenger for småbarnspappa Ørjan. Så mye kan han få

Nestledere i LO Stat: Henriette Jevnaker (t.v.) og Lise Olsen.

Nestledere i LO Stat: Henriette Jevnaker (t.v.) og Lise Olsen.

LO Stat

Lønnsoppgjøret: Så mye får helsearbeidere, postbud og operasangere

Nå er det snart tid for lønnsforhandlinger for store grupper av offentlig ansatte.

Nå er det snart tid for lønnsforhandlinger for store grupper av offentlig ansatte.

Emmie Olivia Kristiansen

Hva skjer i lønnsoppgjørene fremover? Åtte spørsmål og svar

Ole Erik Almlid og Peggy Hessen Følsvik.

Ole Erik Almlid og Peggy Hessen Følsvik.

Leif Martin Kirknes

LO og NHO er enige om årets lønnstillegg. Dette ble resultatet

Vekter og tillitsvalgt Knut-Johannes Berg er lei av å sakke akterut på lønn. Derfor blir han provosert av NHOs krav i årets mellomoppgjør.

Vekter og tillitsvalgt Knut-Johannes Berg er lei av å sakke akterut på lønn. Derfor blir han provosert av NHOs krav i årets mellomoppgjør.

Sissel M. Rasmussen

Vekter Knut-Johannes er provosert: Om NHO får gjennomslag, vil han henge enda mer etter på lønn

Lønnsoppgjøret i helga var forhandlinger mellom LO og NHO i privat sektor, her ved LO-leder Peggy Hessen Følsvik og NHO-leder Ole Erik Almlid. Frontfaget utgjør cirka en tredjedel av dette oppgjøret, og rammen får betydning for de øvrige oppgjørene.

Lønnsoppgjøret i helga var forhandlinger mellom LO og NHO i privat sektor, her ved LO-leder Peggy Hessen Følsvik og NHO-leder Ole Erik Almlid. Frontfaget utgjør cirka en tredjedel av dette oppgjøret, og rammen får betydning for de øvrige oppgjørene.

Håvard Sæbø

Hva er egentlig frontfagsmodellen? Du får svarene her

Nå starter forhandlingene om lønna til postbud Lars Sigurd Sandve og 159.000 andre som er ansatt i bedrifter som er organisert i arbeidsgiverorganisasjonen Spekter.

Nå starter forhandlingene om lønna til postbud Lars Sigurd Sandve og 159.000 andre som er ansatt i bedrifter som er organisert i arbeidsgiverorganisasjonen Spekter.

Alf Ragnar Olsen

Nå starter lønnsoppgjøret for helsearbeidere, postbud og operasangere

Renhold er en yrkesgruppe med lav lønn. I år får LO-organiserte på denne overenskomsten et lavlønnstillegg på 1 krone per time.

Renhold er en yrkesgruppe med lav lønn. I år får LO-organiserte på denne overenskomsten et lavlønnstillegg på 1 krone per time.

Erlend Angelo

Derfor er lavtlønte kvinner så viktig for LO

Senterpartiet faller 4,6 prosentpoeng til en oppslutning på 14 prosent i målingen.

Senterpartiet faller 4,6 prosentpoeng til en oppslutning på 14 prosent i målingen.

Jan-Erik Østlie

Arbeiderpartiet kraftig fram i ny meningsmåling. Senterpartiet stuper

– Fra en ansvarlig posisjon skal vi ha en full gjennomgang av Nav og hvordan de som jobber i Nav, best kan gjøre den viktige jobben de er satt til å gjøre, sier Ap-leder Jonas Gahr Støre.

– Fra en ansvarlig posisjon skal vi ha en full gjennomgang av Nav og hvordan de som jobber i Nav, best kan gjøre den viktige jobben de er satt til å gjøre, sier Ap-leder Jonas Gahr Støre.

Øyvind Aukrust

Støre varsler full gjennomgang av Nav: Slik skal Norge bli best til å få folk i jobb igjen

Wizz Air er i hardt vær igjen, etter at et lydopptak fra det som skal være et internt møte om hvem som skulle prioriteres i en oppsigelsesprofess, har lekket til pressen. Samtidig har selskapet tap i rumensk rett mot tidligere ansatte.

Wizz Air er i hardt vær igjen, etter at et lydopptak fra det som skal være et internt møte om hvem som skulle prioriteres i en oppsigelsesprofess, har lekket til pressen. Samtidig har selskapet tap i rumensk rett mot tidligere ansatte.

Helge Rønning Birkelund

Wizz Air tapte rettssak mot tidligere ansatte: – Det bør være en ordentlig tankevekker

LO Media

Fagbevegelsen er samstemt: SV må med i en ny rødgrønn regjering


Flere saker