Cyberdomenet er ikke lenger løsrevet fra våre daglige liv, men har blitt en integrert del av den fysiske verden vi lever i. Kriminalitetsfenomener som bankran er tilnærmet fraværende i dag. Bankene har iverksatt en rekke sikringstiltak for å beskytte sine kontantbeholdninger. Digitale metoder som bruk av løsepengevirus for å kryptere og eksfiltrere (hente ut) data og med påfølgende utpressing av et selskap til å betale løsepenger i kryptovaluta, har overtatt. Angrepene rettes ikke bare mot banker som har høy sikkerhet, men også mot små og mellomstore virksomheter som er enklere mål og som oftere er villig til å utbetale løsepenger for å få dataene sine tilbakeført. Eller for at angriperen ikke skal lekke dataene ut på internett. Sensitiv informasjon på avveie kan påføre bedrifter og enkeltpersoner større skade enn at dataene er kryptert og utilgjengelig. Dette fikk Østre-Toten kommune erfare da de ble angrepet med løsepengevirus og innbyggernes personopplysninger senere ble spredt på «det mørke nettet».
Det er imidlertid ikke bare organiserte kriminelle som utgjør trusselaktørene i cyberdomenet. Spionasje og sabotasje utføres av statlige og stats-tilknyttede (APT) aktører ved hjelp av digitale fremgangsmåter. Kompromitteringen av IT-plattformen til de 12 departementene i sommer, er et illustrerende eksempel for en APT-aktør på etterretningsoppdrag. Politiske aktivister, ofte omtalt som «hacktivister», private selskaper og organiserte kriminelle, har også funnet veien til cyberspace.
Mangfoldet av trusselaktører som opererer i cyberdomenet, kan oppleves som uoversiktlig. Et relevant spørsmål i den forbindelse, er om trusselaktørene aktivt samarbeider eller om de kun deler felles interesser. Denne artikkelen vil belyse problemstillingen, med et spesielt fokus på russiske aktører.
Semi-statlige og ikke-statlige aktører
Cybersikkerhetsforsker Florian Egloff har i boken Semi-state actors in cybersecurity laget et rammeverk for å kategorisere trusselaktører som opererer i cyberdomenet. Kategoriene er basert på aktørenes tilknytning til stater og boken er basert på forfatterens doktorgradsavhandling. Den første kategorien er de statlige aktørene. Dette er aktører som direkte er underlagt staten de opererer på oppdrag fra, som for eksempel en militær cyberenhet eller en etterretningstjeneste. Den neste kategorien er semi-statlige aktører. Dette kan for eksempel være telekommunikasjonsleverandører, patriotiske hackere, enkelte sikkerhetsselskaper eller cyberkriminelle som operer i tråd med statens interesser. Disse aktørene kan fungere som statens forlengede arm, men kan samtidig benyttes til statens fordel ved å tilby en form for troverdig benektelse («plausible deniability»). Det kan med andre ord være vanskelig å bevise at den semi-statlige aktøren opererer på statens vegne. Den trede kategorien er de ikke-statlige aktørene som opererer utenfor statens kontroll og interesser, slik som rent kriminelle aktører.
I boken sammenlikner Egloff dagens aktører som opererer i cyberdomenet med situasjonen som utspilte seg på verdenshavene fra 1600 til 1900-tallet. På verdenshavene opererte statlige aktører som mariner, semi-statlige aktører som merkantile selskaper hvilket ofte opererte på eller utførte oppdrag på vegne av en stat, og de ikke-statlige piratene som har mer til felles med dagens cyberkriminelle. Ettersom undertegnede i flere artikler tidligere har omtalt de statlige og stats-tilknyttede APT-aktørene, er det primært de semi-statlige og de kriminelle aktørene som får oppmerksomhet i denne teksten.
NTC Vulkan: Understøtter den russiske statens operasjoner
En aktør som kvalifiserer til det Egloff i sitt rammeverk betegner som en semi-statlig aktør, finner vi med den amerikanske telekommunikasjonsleverandøren AT&T. Sistnevnte gav den amerikanske etterretningstjenesten NSA tilgang til nettverksutstyr som kabler og antenner for å avlytte datatrafikk for etterretningsinnsamling. Diskusjonene om å gi kinesiske Huawei oppdraget med å etablere det nye 5G telekommunkasjonsnettet i USA og Europa, innebar en tilsvarende problemstilling. Frykten for at kinesiske myndigheter skulle utnytte Huaweis tilknytning til Kina for å understøtte den kinesiske statens operasjoner, førte til at norske myndigheter inntok en føre-var tilnærming med hjemmel i sikkerhetsloven. Telenor og Telia måtte derfor velge flere enn kun én leverandør av 5G basestasjoner dersom disse ble anskaffet fra et land som Norge ikke hadde sikkerhetssamarbeid med. Dette førte til at svenske Ericsson vant konkurransen med å levere over 15,000 basestasjoner til Telia og Telenor.
Semi-statlige aktører som kan understøtte statlige aktørers cyberoperasjoner befinner seg imidlertid ikke kun i telekomsektoren. I starten av 2023 ble sakskomplekset kjent som «The Vulkan Files», offentliggjort. Det russiske IT-selskapet NTC Vulkan har over flere år produsert programvare som benyttes til å gjennomføre cyberoperasjoner for de russiske sikkerhets- og etterretningstjenestene FSB, GRU og SVR. Ett av verktøyene som NTC Vulkan har utviklet, går under kodenavn Scan-V. Verktøyet skanner internett etter sårbare enheter og lagrer informasjonen i databaser. Informasjonen om de sårbare enhetene benyttes igjen som etterretning for å målrette de russiske etterretningstjenestenes cyberoperasjoner. I ett av dokumentene i sakskomplekset om Scan-V, fant man koblinger til den russiske APT-grupperingen som går under kallenavnet Sandworm. Grupperingen står blant annet bak to cyberoperasjoner mot deler av strømnettet i Ukraina og spredning av skadevaren NotPetya. Sistnevnte omtales som verdens mest skadelige cyberangrep målt i kostnader. Det Hvite Hus har estimert de globale kostnadene som følge av angrepet til omtrent $10 billioner. Det danske shippingselskapet Maersk tapte alene $300 millioner. Kun flaks gjorde at Maersk klarte å gjenopprette sine IT-systemer. Et strømbrudd i Ghana førte til at det fremdeles fantes data å gjenopprette selskapets IT-systemer fra.
KillNet og NoName057: Pro-russiske «hacktivister»
En kategori av trusselaktører som er mer løsrevet fra staten sammenliknet med private selskaper som aktivt samarbeider med etterretningstjenestene, er politiske aktivister – ofte omtalt som hacktivister. Etter at Russland invaderte Ukraina har Norge fått betydelig erfaring med pro-russiske hacktivisters aktivitet. Nettsidene til norske virksomheter har flere ganger blitt utsatt for tjenestenektangrep (DDoS), utført av pro-russiske grupperinger. KillNet og NoName057 er navnene på to av disse. Sommeren 2022 utførte KillNet tjenestenektangrep mot nettsidene til blant annet Altinn, BankID, Arbeidstilsynet og Politiet, slik at disse ble utilgjengelige. Hacktivistene manipulerte i tillegg bilder av utenriksminister Anniken Huitfeldt og NATO Generalsekretær Jens Stoltenberg, som ble spredt på det sosiale mediet Telegram. Bildene ble fanget opp av norske mediehus og kringkastet til den norske befolkningen i beste sendetid. Selv om tjenestenektangrepene IT-teknisk sett var lite avansert og ikke påførte virksomhetene permanent skade, fikk hacktivistene likevel stor oppmerksomhet. Som del av en påvirkningsoperasjon kan opptrinnet fra de pro-russiske grupperingenes ståsted derfor beskrives som vellykket.
Selv om det er utfordrende å vurdere hvorvidt de nevnte grupperingene har kontakter og samarbeider med den russiske staten, deler de felles interesser. Cyberaktivitet utført av hacktivister som sympatiserer med én av sidene under en pågående konflikt, er nå å anse som en normaltilstand.
Organiserte kriminelle grupperinger med løsepengevirus
Organiserte kriminelle grupperinger som benytter løsepengevirus og som har økonomisk vinning som motiv, vil ikke begrense seg på samme måte som stater når det gjelder målutvelgelse. Som nevnt i sist artikkel som undertegnede skrev for Stratagem, kan en sentral del av de statlige aktørenes operasjonssikkerhet handle om å unngå deteksjon og oppdagelse. En måte å gjøre dette på er å velge ut et fåtall mål hvor spesifikke sårbarheter utnyttes – nettopp fordi oppdagelsesrisikoen reduseres.
For de kriminelle aktørene vil sannsynligheten for å lykkes med en vellykket kompromittering i mange tilfeller øke jo flere mål de angriper. En kompromittering som ofte ender med at et løsepengevirus blir utløst slik at offeret kan presses for utbetaling av kryptovaluta. Et børsnotert selskap av høy verdi med kritiske produksjonssystemer koblet til sine IT-systemer, er et attraktivt mål å angripe. Nedetiden til produksjonssystemene vil utgjøre et direkte økonomisk tap for selskapet. Dermed kan villigheten til å utbetale løsepenger for å komme seg raskt ut av problemet og tilbake til normal produksjon, være høyere. Angrepet mot drivstoffleverandøren Colonial Pipeline på den amerikanske østkysten er i så måte et illustrerende eksempel. 45 % av drivstoffleveransene på østkysten i USA ble stanset som følge av at Dark Side, også dette en russisk organisert kriminell gruppering, angrep selskapets IT-systemer.
Flere norske virksomheter har de senere årene blitt angrepet med løsepengevirus, herunder Hydro, Amedia, Østre-Toten kommune og Nortura. Østre-Toten kommune måtte i januar 2021 gå over til å bruke penn og papir fordi deres 240 digitale systemer var slått ut. Dette skjedde under Covid-19 pandemien noe som satt kommunens helsetjenester i en ekstra vanskelig situasjon. I tillegg til at kommunen ble påført et økonomisk tap på over 30 millioner kroner for å gjenopprette systemer, fikk de 4 millioner kroner i bot fra Datatilsynet for manglende sikkerhetstiltak. Matleverandøren Nortura fikk i desember samme år problemer med å levere varer til norske matbutikker som følge av et tilsvarende angrep. Løsepengeviruset hos Nortura kostet selskapet omtrent 40 millioner kroner. Ifølge Nortura selv tydet sporene på at den russiske løsepengevirus-grupperingen Conti stod bak angrepet.
Conti-leaks: På innsiden av russisk organisert kriminalitet
Conti er bare en av svært mange grupperinger som benytter løsepengevirus. Flere av disse kommer fra Russland, slik som DarkSide, Hive og Lockbit. De senere årene har det også vokst frem samarbeidskonstellasjoner omtalt som Ransomware-as-a-Service (RaaS), hvor løsepengevirusaktøren tilbyr spesialutviklet programvare til bruk for gjennomføring av et angrep med løsepengevirus. Utvikleren av programvaren og den som utfører angrepet deler deretter løsepengene seg imellom.
På verdensbasis finnes det over 900 ofre for Contis løsepengevirusangrep, fordelt på 31 land. Bare i USA befinner det seg ofre for Contis aktivitet i hele 47 amerikanske stater. Ifølge FBI angrep Conti kritisk infrastruktur oftere enn andre grupperinger som benytter løsepengevirus. Lokale politistasjoner og helseinstitusjoner i USA, har vært ofre for angrepene. Som følge av angrepene har amerikansk påtalemyndighet tatt ut tiltale mot fire russiske borgere. Hver av dem risikerer fengselsstraff på opptil 25 år. Selv om sannsynligheten for at Russland overleverer egne borgere til USA for straffeforfølgelse er tilnærmet null, viser likevel amerikanske myndigheter i dette tilfellet at de er i stand til å avdekke og villige til å straffeforfølge enkeltindivider som står bak omfattende og alvorlig cyberkriminalitet.
I dag er Conti oppløst. Det som imidlertid gjør Conti spesielt interessant, er at interne chatte-logger fra grupperingen ble lekket ut på nettet like etter at krigen i Ukraina brøt ut. Conti tok nemlig side i krigen etter at Russland invaderte Ukraina ved å uttale at de «støttet russiske myndigheter fullt ut» og videre «hvis noen beslutter å utføre cyberangrep eller krigsaktiviteter mot Russland, vil Conti benytte alle sine ressurser for å angripe kritisk infrastruktur tilhørende fienden.» Grupperingens støtte til Russland skal ha fått en på innsiden, angivelig en ukrainsk forsker som infiltrerte Conti, til å lekke informasjonen.
Lekkasjen har fått navnet Conti-leaks. Ironisk nok viser lekkasjen at innsidetrussel er et fenomen som også kriminelle aktører må forholde seg til. Lekkasjene har gitt utenforstående omfattende innsikt i hvordan løsepengevirus-grupperingen ble driftet og hvordan Conti opererte nærmest som et tradisjonelt selskap. Conti hadde over 100 «ansatte» i spesialiserte avdelinger og en ledelsesstruktur på toppen. De ansatte på «kundesenteret» til Conti som bedrev utpressing av ofre for løsepengevirusangrep, hadde 8 timers arbeidsdag og fastlønn på $500 måneden. Rekruttering av personell til «stillinger» i Conti ble utført av deres «HR-avdeling». Kvalifikasjonskravene til en stilling på kundesenter var gode engelskferdigheter og en alder mellom 18 – 25 år. Lekkasjene gir også innsikt i en organisasjon hvor selskapets øverste ledere gir inntrykk av å ha koblinger til Kreml og de russiske etterretningstjenestene. Det er imidlertid utfordrende å bedømme hvor sterk denne koblingen er, men faktum er uansett at russiske løsepengevirus-grupperinger som Conti i lang tid har fått operere fra Russland uten at russiske myndigheter har grepet inn for å stanse den kriminaliteten.
Det finnes imidlertid et unntak fra hovedregelen om at russiske løsepengevirus grupperinger får operere fritt. I januar 2022 ble 25 lokasjoner i fem ulike russiske regioner gjennomsøkt av russisk politi og FSB, for å for å pågripe 14 personer med tilknytning til grupperingen REvil. Over 5,5 millioner dollar og over 20 luksusbiler ble beslaglagt i aksjonen. Hvorvidt det hele primært var et spill for galleriet eller om Kreml virkelig ønsket å plassere REvil bak lås og slå, er for undertegnede ikke kjent. Tidspunktet for pågripelsene kan imidlertid ikke antas å ha vært helt tilfeldig da de fant sted kun en drøy måned før Russland invaderte Ukraina. Kreml sendte med aksjonen og offentliggjøring av videoer fra pågripelsene et signal til amerikanske myndigheter. Amerikanerne hadde i lang tid bedt Kreml om å stanse cyberkriminelle grupperinger som opererte fra Russland. Bare noen få måneder før pågripelsene fant sted, utførte amerikanske myndigheter, herunder FBI og den militære enheten Cyber Command, en koordinert cyberoperasjon som tok ned REvil sine servere. Sistnevnte var kun et midlertidig tiltak da REvil på nytt kunne opprette IT-infrastruktur for å gjennomføre nye løsepengevirusangrep. Dette er vanskeligere å få til fra innsiden av en russisk fengselscelle. Til tross for pågripelsene gjorde amerikanske myndigheter det imidlertid klart for Kreml at en invasjon av Ukraina fremdeles var helt uakseptabelt.
Samarbeid og felles interesser
Det kan være vanskelig å bedømme cyberaktørers reelle tilknytning til og faktiske samarbeid med en stat. Likevel kan vi lese ut fra «The Vulkan Files» at russiske IT-selskaper samarbeider med og utvikler programvare på bestilling fra de russiske etterretningstjenestene. I tillegg indikerer de interne chatteloggene fra «Conti-leaks» at det eksisterer knytninger mellom russiske organiserte kriminelle og personer innad de samme russiske etterretningstjenestene. Hvorvidt også de pro-russiske «hacktivistene» har tilsvarende knytninger til personer innen det russiske statsapparatet, er vanskelig å fastslå med sikkerhet. Men vi kan i det minste slå fast at aktørene ser ut til å dele felles interesser.
FOTNOTER
[1] Østby, G. & Kowalski, S. (2022). Hendelseshåndtering ved cyber-angrepet mot Østre Toten kommune. NTNU. https://www.ototen.no/_f/p1/idbd37a14-f91f-41e5-9fa2-14977f2a7977/v-10-ostre-toten.pdf
[2] Egloff, F. (2022). Semi-state actors in cybersecurity. Oxford University press.
[3]Ibid.
[4] Buchanan, B. (2022). The Hacker And The State. Harvard University Press.
[5] Finstad, Ø. (25. juli, 2021) Norsk smell for Huawei: – Vi vet alle at det har vært utfordringer utenfor vår kontroll. Dagens Næringsliv. https://www.dn.no/telekom/huawei-norge/5g/huawei/norsk-smell-for-huawei-vi-vet-alle-at-det-har-vart-utfordringer-utenfor-var-kontroll/2-1-1043857
[6] Harding, L., Simeonova, S., Ganguly, M., Sabbagh, D. (30. mars, 2023). ‘Vulkan files’ leak reveals Putin’s global and domestic cyberwarfare tactics. The Guardian. https://www.theguardian.com/technology/2023/mar/30/vulkan-files-leak-reveals-putins-global-and-domestic-cyberwarfare-tactics
[7]Greenberg, A. (22. august, 2018). The Untold Story of NotPetya, the Most Devastating Cyberattack in History. WIRED. https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
[8] Bakke, S. (7. juli, 2022). Tjenestenektangrep kan være del av en påvirkningsoperasjon. Dagens Næringsliv. https://www.dn.no/innlegg/cyberangrep/dataangrep/russland/innlegg-tjenestenektangrep-kan-vare-del-av-en-pavirkningsoperasjon/2-1-1253429
[9] Kaspersky. (21. mai, 2021). DarkChronicles: the consequences of the Colonial Pipeline attack. https://ics-cert.kaspersky.com/publications/reports/2021/05/21/darkchronicles-the-consequences-of-the-colonial-pipeline-attack/
[10] Østby, G. & Kowalski, S. (2022). Hendelseshåndtering ved cyber-angrepet mot Østre Toten kommune. NTNU. https://www.ototen.no/_f/p1/idbd37a14-f91f-41e5-9fa2-14977f2a7977/v-10-ostre-toten.pdf
[11] Kibar, O. (2. juni, 2022). Norturas konsernsjef forteller om cyberangrepet mot selskapet og mistankene rettet mot Conti-syndikatet. Dagens Næringsliv. https://www.dn.no/teknologi/nortura/anne-marit-panengstuen/conti/startet-med-at-en-ansatt-apnet-sin-private-epost-pa-jobb-hackerangrepet-har-hittil-kostet-nortura-40-millioner-kroner/2-1-1230178
[12] Baker, K. (30. januar, 2023). What is Ransomware as a Service (RaaS)?. CrowdStrike. https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/
[13] Department of Justice. (7. September, 2023). Multiple Foreign Nationals Charged in Connection with Trickbot Malware and Conti Ransomware Conspiracies. https://www.justice.gov/opa/pr/multiple-foreign-nationals-charged-connection-trickbot-malware-and-conti-ransomware
[14] Fokker, J. & Tologonov, J. (31. mars, 2022). Conti Leaks: Examining the Panama Papers of Ransomware. Trellix. https://www.trellix.com/en-au/about/newsroom/stories/research/conti-leaks-examining-the-panama-papers-of-ransomware.html
[15]Ibid.
[16] Nechepurenko, I. (14. januar, 2022). Ransomware Group REvil Dismantled in Raids, Russia Says. The New York Times. https://www.nytimes.com/2022/01/14/world/europe/revil-ransomware-russia-arrests.html
[17] Menn, J. & Bing, C. (22. oktober, 2021). EXCLUSIVE Governments turn tables on ransomware gang REvil by pushing it offline. Reuters. https://www.reuters.com/technology/exclusive-governments-turn-tables-ransomware-gang-revil-by-pushing-it-offline-2021-10-21/
[18]Nechepurenko, I. (14. januar, 2022). Ransomware Group REvil Dismantled in Raids, Russia Says. The New York Times. https://www.nytimes.com/2022/01/14/world/europe/revil-ransomware-russia-arrests.html
Foto: Torgeir Haugaard / Forsvaret,