Leif Martin Kirknes

leif.kirknes@lomedia.no

I går ble det kjent at Stortinget har vært utsatt for nok et dataangrep, gjennom et sikkerhetshull i epostserver-programvaren Exchange fra Microsoft.

I dag gikk Nasjonal Sikkerhetsmyndighets (NSM) årlige sikkerhetskonferanse av stabelen, med foredragsholdere fra sikkerhetsmiljøet.

Deriblant Bente Hoff fra Nasjonalt cybersikkerhetssenter, som erkjenner at det har vært et travelt døgn.

– Vi vet at den Microsoft-løsningen er mye brukt i Norge, at det finnes virksomheter som fortsatt ikke har beskyttet seg, og at sikkerhetshullet har vært utnyttet hos noen flere virksomheter enn Stortinget. Vi jobber aktivt med å finne ut om det er flere, sier hun.

Nasjonalt cybersikkerhetssenter er en underavdeling hos NSM, som kort fortalt holder oversikt over rikets IT-sikkerhet og responderer på uønskede hendelser.

Les også: E-tjenestene advarer mot svært sammensatte digitale trusler

Flere norske ofre

Det er vanskelig for Hoff å si hva skurkenes motiv er, og det trenger heller ikke å være samme aktører som står bak Exchange-angrep hos ulike virksomheter.

Også trøndernes busselskap AtB, Høgskolen i Østfold og Øksnes kommune har gått åpent ut og sagt de er rammet av Exhange-angrep. Tirsdag denne uka skrev NRK Beta at tall fra sikkerhetsselskapet Defendable på det tidspunktet viste at 269 Exchange-servere i Norge ikke var blitt sikkerhetsoppdatert.

Exchange er en epostserver-programvare fra Microsoft. Noen med onde hensikter har funnet et sikkerhetshull i denne, og benyttet dette til dataangrep. Senere har Microsoft fått vite om hullet, lappet det sammen og sendt ut en sikkerhetsoppdatering som tetter det.

Men før selskaper får summet seg til å installere denne oppdateringen, er de åpne for angrep.

– Hva som er skaden i et slikt angrep er litt avhengig av hva trusselaktørene er på jakt etter. Det kan for oss se ut som det er flere ulike aktører som utnytter sikkerhetshullet. Det kan være for å hente ut info, vi kan også forvente å se for oss en andre bølge der det installeres bakdør der de kan plassere inn et løsepengevirus, sier Hoff.

Les også: – Betongsperrer på Karl Johan hjelper ikke mot cybertrusler

Krypto i Toten

Hun understreker at det er flere angrep enn bare Microsoft-angrepet som pågår nå for tiden.

Deriblant mye løsepengevirus, der data krypteres og skurkene ber om løsepenger for å låse opp disse.

Blant annet har Østre Toten kommune vært utsatt for dette, og de fortalte på konferansen om sin opplevelse om da alt gikk ned for telling i kommunen tidlig i januar, etter at 240 fagsystemer ble satt ut av drift i angrepet.

Det er ikke anbefalt å betale, blant annet fordi du uansett ikke er sikret å få datene tilbake.

Opprydningsarbeidet pågår fortsatt den dag i dag i Østre Toten. Også backupen de hadde lagret ble slettet i angrepet.

– Alt arbeid måtte gjøres manuelt. Selv når helsesøster skulle kalle inn unger så hadde vi verken data om eleven og heller ikke noe system for å avtale tidspunkt, forklarer ordfører Bror Helgestad.

Les også: Telenor ber kommuner føre oversikt over sine automatiserte tjenester

De har en IT-avdeling som har driftet IT-systemene for dem, men han erkjenner at når hverdagen har vært hverdag og det har stått mellom flere ressurser til sykepleiere eller til IT-avdelingen, så har IT-avdelingen trukket det korteste strået.

Nå har de outsourcet mye av IT-oppgavene til et interkommunalt selskap, mens de selv satser på å beholde god bestillerkompetanse.

Les også: Hackerne sendte kommunen flere tiår tilbake i tid. Nå legger de ned IT-avdelingen

Flere kommuner har tatt kontakt med dem etter angrepet, sier Helgestad, for å lære av Østre Totens feil, og disse har nå iverksatt noen grunnleggende tiltak, slik som tofaktors autentisering.

Tofaktors autentisering vil si at du i tillegg til passord for eksempel må benytte en kode tilsendt mobilen din for å logge inn i systemer.

Tipset om tofaktors autentisering gikk igjen på NSM-konferansen som et godt tips til tiltak for å øke sikkerheten.

Tofaktor ikke en magisk kule

En time etter NSMs konferanse, hadde sikkerhetsselskapet Check Point en pressekonferansen der de lanserte en sikkerhetsrapport.

Teknologileder Nils-Ove Gamlem i Check Point Norge fikk med seg NSMs konferanse, og ga uttrykk for å være noe mer lunken til opphypingen tofaktors autentisering.

Han mener tofaktor er bra og må til, men mener det er viktig ikke å glemme at det også må mer til enn bare det.

– Det er ikke så enkelt som at «nå skrur vi på tofaktor og så er vi trygge». Tofaktor i seg selv gir definitivt ekstra sikkerhet for kontoer. Men det er ikke tilstrekkelig. Hvis jeg får tilsendt et ondsinnet vedlegg og åpner den fila, så hjelper ikke tofaktor, for da er skadevaren allerede eksponert for meg, sier han.

Gamlem synes også mange av dem som har blitt angrepet via Exhange-hullet tar litt lett på det hvis det påstår de har gjort alt i sin makt for å unngå å bli angrepet. For det finnes mange ulike løsninger og metoder for å bake sikkerhet rundt Exchange, påpeker han.

– Jeg spiller spørsmål ved folk som sier «vi har gjort alt vi kunne». Det er ikke mulig å fjerne hullet før det er fikset, men det er likevel mulig å hindre at noen utnytter sikkerhetshullet, sier Gamlem.

Les også: Espen Barth Eide om norsk IT-sikkerhet: – Vi er truet konstant, dag og natt

Bergen Engines-dilemmaet

Tilbake til NSMs årskonferanse, ble det også snakket om en annen «hot» sak for tiden. NSM har driver ikke bare med IT-sikkerhet, men også fysisk sikkerhet.

NSM sa i sin åpne trusselrapport, som de la fram for en måneds tid siden, at de ser med bekymring på salg av norske virksomheter og eiendommer til utenlandske interesser.

Salget av Bergen Engines ble nevnt på konferansen i dag. Russiske oligarker ønsker å kjøpe selskapet som lager maritime motorer og blant annet har forsvaret på kundelista. PST-sjef Hans Sverre Sjøvold påpeker at dette er en type dilemmaer som til enhver tid er aktuelle. På ene siden hensynet til den enkelte virksomhets mulighet til å inngå en avtale, og på den andre siden hensynet til landets sikkerhet.

– Som enkeltpersoner vil vi ha mest mulig frihet, mens vi som driver med sikkerhet og etterretning vil begrense den. Det er det klassiske dilemmaet i vårt samfunn, sier han, mens sjef for etterretningstjenesten Nils Andreas Stensønes understreket at de har andre steder der de kan kjøpe motorer om det skal stå på det.

Samtidig underspiller ikke Stensønes at andre land kan ha interesser i å tuske til seg kompetanse eller teknologi. Russland er hardt presset av internasjonale sanksjoner etter at de annekterte Krim-halvøya i Ukraina, påpeker han.

Utover det pratet etterretningstjenestene på NSMs konferanse om temaer de har pratet om før, da de la fram sine åpne trusselvurderinger 9. februar. Blant annet nevnte de den gangen muligheten for påvirkning av det kommende stortingsvalg og frykten for at ordskiftet nå har blitt så tøft at det kan føre til at folk som jobber tett på politikk ikke gidder å drive med det lenger.

Les også: Etterretningstjenestene skal samarbeide for å sikre det offentlige ordskiftet i Norge

Det massive Solarwinds-angrepet

Tilbake til digitale trusler, har angrepet mot selskapet Solarwinds fått mye oppmerksomhet så langt i år, før Exchange-angrepet kom på banen.

Det som gjør Solarwinds-angrepet meget spesielt, er at det er et såkalt verdikjedeangrep.

Det vil si: angripere har på kløktig vis sneket inn ondsinnet kode i en meget populær programvare for IT-administrasjon som Solarwinds står bak, slik at denne koden har kommet inn i kundenes systemer via en helt ordinær oppdatering av denne programvaren.

En trojansk hest overfor den store mengden kunder, deriblant bortimot samtlige på den kjente Fortune 500-lista.

I Norge er det kjent at oljefondet, SAS og flere aktører fra kraftbransjen er rammet i form av å ha fått bakdøren installert.

– Solarwinds-angrepet viser at trusselaktørene har vilje og evne til å gjennomføre svært avanserte og kostbare angrep som sikrer dem et fotfeste. Vi har ikke sett noen utnyttelse av sårbarheten i Norge, og i liten grad hos internasjonale samarbeidspartnere. Men det vil kunne etablere et fotfeste som kan utnyttes senere, sier NSMs fungerende direktør Helge Rager Furuseth.

Les også: Ny satsing på cybersikkerhet i kraftbransjen

God kjennskap

Check Point har folk internasjonalt som har dykket ned i materien.

– 2020 var et annerledesår, men det er også spesielt med året at det inntraff en cyberhendelse som vil stå igjen som et landemerke innenfor cybersikkerhetsdomenet, sier Yaniv Balmas fra Check Point.

De har ikke helt klart å ta rede på presis når Solarwinds ble rammet, men de tror det kan ha vært så tidlig som rundt september/oktober i 2019.

Rundt da har noen brutt seg inn hos Solarwinds og innført ondsinnet kode inn i IT-administrasjonsprogramvaren Orion på en sofistikert måte.

– Disse har hatt god kunnskap om hvordan vi som jobber med forsvar innen IT-sikkerhet jobber og gjort alt de kan for å unngå oppdagelse. Det har også gjort det vanskelig for oss å analysere angrepet, sier han.

Valgte sine ofre

For å ikke bli oppdaget har de ikke sneket inn sin ondsinnede kode rett inn i kildekoden til programvaren, som kunne vekket mistanke, men kodet om serveren som bygger sammen programvaren.

Det høres kanskje litt teknisk ut, men hvis vi later som om programmet er et brød, er kildekoden oppskriften og byggeserveren brødbakemaskinen.

Mars 2020 har dette blitt distribuert i en eller helt legitim oppdatering, men altså da med innebygget bakdør.

Hos kundene har bakdøren «banket på» hos skurkene, og så har skurkene vært selektive på hvem de har ønsket å misbruke videre. For ofre som har vært uten verdi for dem, har de deaktivert skadevaren og skjult sine spor, for å senke risikoen for å bli oppdaget.

Hos ofre av interesse har de gått videre og lastet inn en programvare som lar angriperne gjøre automatiserte eller manuelle handlinger på innsiden av ofrenes system. Dette er tilfellet for et sted mellom 4–8000 selskaper, ifølge Check Points analyser.

Oppdaget i desember 2020

Tidlig i desember i 2020 fant sikkerhetsselskapet Fireeye ut at de hadde hatt datainnbrudd. Da de undersøkte saken, fant de ut at det kom via en oppdatering fra Solarwinds-programvaren Orion og fikk varslet om dette.

Les også: IT-kompetente folk kommer i alle former, også uten universitetsgrad

13. desember ble nyheten om angrepet offentliggjort for allmennheten.

Det har altså pågått i mange måneder før det ble oppdaget og slått alarm om.

Check Points sikkerhetsforsker Oded Vananu bemerker seg at Fireeye har flere viktige departementer i USA på kundelista, blant annet relatert til nasjonens sikkerhet.

Angrepet var vanskelig å oppdage, påpeker Vananu.

– Microsoft var et av ofrene, og har vært blant de mest aktive i å etterforske saken og dele informasjon. Angriperne kan ha hatt adgang til kildekode hos dem. Hvis til og med Microsoft med alle sine ressurser hadde vansker med å oppdage angrepene, sier det litt om hva det kan bety for andre ofre, sier han.

– Let under enhver stein. Det kan hende du også er en del av dette angrepet. Dette angrepet ble oppdaget nesten ved et uhell etter flere måneder, legger Balmas til.

Mange har pekt mot Russland som en aktør som potensielt kan stå bak angrepe. De to understreker at det kan virke sannsynlig, men at det ikke finnes fellende bevis for dette.

Komplisert

Angrepet på Solarwinds kunne kanskje vært unngått, men det påfølgende verdikjedeangrepet er en skikkelig IT-sikkerhetsnøtt, innrømmer de.

– Verdikjedeangrep er et komplisert problem. Du får oppdatering fra et selskap du stoler på, som er signert og alt ser ok ut. Hvordan kan du vite at dette inkluderer en bakdør, sier Balmas, som påpeker at det kommer oppdateringer til ulike typer programvare hele tiden.

Les også: Telenor-rapport trekker fram lange verdikjeder av underleverandører fram som en potensiell risiko

Vananu mener bedrifter også må begynne å tenke sikkerhet innenfra i tillegg til utenfra.

De har foreløpig ikke sett noen indikasjoner på at det er noen sammenheng mellom dette angrepet og den allerede nevnte Exchange-baserte sikkerhetstrusselen.

– Dette året er en gave som ikke slutter å gi. Det kan virke som om internett brenner for tiden. Begge angrepene er veldig alvorlige, sier Balmas, som legger til at de fortsatt studerer Exchange-sårbarheten.

Leiehacker

Gamlem i den norske avdelingen til selskapet forteller at cyberskurkeligaen er i ferd med å utvikle seg i en meget profesjonalisert retning. De har også trukket til hjemmekontor i koronaen, forteller han, og legger til at det sies at enkelte miljøer til og med har egne HR-avdelinger. De samarbeider også, og deler informasjon seg imellom.

– Dem som har kompetanse på å gjøre faenskap lar seg også leie, og selger sine tjenester, fortrinnsvis betalt i kryptovaluta, for å gjøre skade på noen. Vi ser også angrepsverktøy solgt som tjeneste, sier han.

Gamlem synes mange er litt for kjappe med å fastslå at angrep er statssponsede. Typiske land å peke på, som Russland, Kina, Iran og Nord-Korea er kapable til å stå bak angrep, men det er ikke dermed sagt dem som står bak alt – det finnes også andre aktører og grupperinger, påpeker han.

– Vi har avdekket guttegjenger på Filipinene som har vært i stand til å gjøre massiv skade og utnytte kjente sikkerhetshull, sier Gamlem, som ber om litt nøkternhet når det gjelder å spørre hva som er statsstøttede angrep og ei.

Les også: Sikkerhetsutvalg peker på den nettoppkoblede leke-elefanten i rommet

Utpressing

Angriperne retter seg gjerne mot ting vi interesserer oss for, ifølge Gamlem, enten det er korona, påske eller stortingsvalg.

– Dem som vil oss vondt benytter seg av de endringene som skjer i samfunnet, som vi er på søken etter. De utnytter interessen vi har, sier han.

Check Point har for eksempel avdekket 68.000 domeneregistreringer relatert til korona, der de mener halvparten antakelig er ondsinnede.

Ellers har de sett en 50 prosent økning i daglige utpressingsvirusangrep, og at disse angrepene har gått fra å bare kryptere til å også stjele dataene og true med å offentliggjøre disse. For noen bedrifter kan dette fremstå som svært skadelig, påpeker han.

Han mener en kunne vurdert, og han understreker da ordet vurdert, å gjøre det ulovlig å betale løsepenger.

– Pengene går jo til å finansiere annen kriminalitet. Det kunne tatt bort litt av markedet for å drive med utpressing fra organisasjoner og personer uten skrupler, sier Gamlem.

Les også: – Hvis noen skyter på et kontor, kommer politiet. Hvis noen skyter på kjerneinfrastruktur, kommer ingen, sier Telenors dekningsdirektør Bjørn Amundsen