Cyberangrep mot Norge:

Kan være Putins «dekkhistorie»: - Skadepotensial

Dette er gruppa som står bak cyberangrepet på Norge onsdag.

UNDER ANGREP: Norge er onsdag under angrep av den Putin-lojale hackergruppa Killnet. Foto: Charles Platiau / Reuters / NTB
UNDER ANGREP: Norge er onsdag under angrep av den Putin-lojale hackergruppa Killnet. Foto: Charles Platiau / Reuters / NTB Vis mer
Publisert

- God morgen Norge! Alle lag til angrep!

Slik varslet den Putin-lojale russiske hackergruppa Killnet sitt cyberangrep på Norge onsdag morgen. Allerede er flere norske nettsider nede, og på Telegram kommer gruppa også med trusler mot Nato-sjef Jens Stoltenberg og hans famile.

Blant nettsidene de har varslet angrep mot er politiet, BankID, ID-porten hos Difi, Nav, UDI, Digitaliseringsdirektoratet og flere andre norske nettsider og nettjenester.

Både BankIDs nettsider og Arbeidstilsynets nettsider er allerede nede. Altinn skriver at «enkelte brukere opplever ustabilitet».

Bevisst diffuse grenser

Gruppa er en kjent prorussisk aktør, som har stått bak en rekke dataangrep til støtte for invasjonen av Ukraina.

Gruppa viser selv til en NRK-artikkel om et russisk gruveselskap på Svalbard, som ikke får lov til å frakte russiske varer via det norske fastlandet. Dette skal også være motivasjonen for angrepet, melder Killnet ifølge rikskringkasteren.

Få timer seinere krever også det russiske utenriksdepartementet at Norge løser problemene med leveranser av varer til de russiske gruvearbeiderne på Svalbard.

- Killnet er en del av et kompleks med grupper som opererer i spekteret fra rent kriminell aktivitet til rene statlige aktører. Det er veldig ofte diffust hvor på skalaen de ulike gruppene befinner seg, sier doktorgradsstipendiat Lars Gjesvik ved Norsk Utenrikspolitisk Institutt (NUPI) til Dagbladet.

STYR UNNA: Torgeir Waterhouse i Otte AS oppfordrer folk ikke til å burke BankID som følge av det russiske hackerangrepet. Video: Dagbladet TV. Programleder: Vegard Krüger. Vis mer

Han forklarer at denne uklarheten er bevisst og tilsiktet:

- De er to viktige grunner til å gjøre det slik. For det første er det billigere og mer ressurssparende for Russland som stat. Det er begrenset tilgang på IT-folk, så det å benytte kriminelle aktører er en måte å gå tilgang til denne kompetansen. For det andre gir det en plausibel dekkhistorie, når man trenger det. Staten blir ikke holdt ansvarlig på samme måte, dersom man kan si at «dette er patrioter som opererer selvstendig».

Disse flytende grensene gir noen interessante utslag, ifølge Gjesvik.

- Man kan ikke uten videre, og uten omfattende etterforskning, fastslå om Killnet eller liknende grupper er den del av den russiske staten. Men de kan likevel bli en del av statens ressurser, med skadepotensial, sier NUPI-forskeren.

I mai erklærte gruppa offisielt cyberkrig mot ti land: USA, Storbritannia, Tyskland, Italia, Latvia, Romania, Litauen, Estland, Polen og ukraina.

Dagbladet er kjent med at gruppa allerede skal ha utført angrep mot Tyskland, Tsjekkia og Latvia. Tidligere denne uka gjennomførte de også et omfattende angrep mot Litauen.

- Killnet har en lang historie med å angripe myndighetsinstitusjoner og land som er på ukrainsk side i krigen mellom Russland og Ukraina. Tidligere i år fant det sted angrep mot land som Romania og Tsjekkia, sier Laszlo Erdodi, førsteamanuensis i informasjonssikkerhet og teknologi ved NTNU, til Børsen.

Han legger til:

- Det seineste angrepet var mot Litauen, etter blokkaden på jernbanelinjen til Kaliningrad for noen dager siden. Timingen kan være veldig interessant, og angrepet mot Norge kan være en respons på at det sendes rakettartilleri til Ukraina.

Fem land advarte

Etter Russlands angrep på Ukraina i slutten av februar har den pro-russiske hackergruppen Killnet gjennomført dataangrep mot flere stater. Etterretningstjenesten til USA, Storbritannia, Canada, Australia, og New Zealand har advart mot hackergruppen.

«Vi anmoder forsvarere av kritisk infrastruktur til å være forberedt og forsøke å redusere muligheten for potensielle cyberangrep ved å skjerpe sitt cyberforsvar, og øke sin evne til å identifisere mistenkelig aktivitet», uttalte etterretningstjenestene til de fem landene i en felles uttalelse i april.

Killnet skal ha utført angrep mot Tyskland, Tsjekkia, Latvia, og denne uka gjennomførte de et angrep mot Litauen.

ANGREPET: Slik ser Arbeidstilsynets nettsider ut onsdag morgen.
ANGREPET: Slik ser Arbeidstilsynets nettsider ut onsdag morgen. Vis mer

«Sverget troskap»

Det amerikanske føderale datasikkerhetsorganet Cybersecurity and Infrastructure Security Agency (CISA) la 20. april i år ut en rapport der de viste til at flere hackergrupper har sverget troskap til den russiske regjeringen og/eller det russiske folk, og at disse gruppene har truet med hevnaksjoner for angrep mot Russland eller støtte til Ukraina.

I denne rapporten viste CISA blant annet til at Killnet hadde tatt på seg ansvaret for et dataangrep mot en amerikansk flyplass i mars, som hevn for amerikansk materiell støtte til Ukraina.

CISA viser i rapporten til at dataangrepene mot statlige myndigheter trolig fortsatt vil være økonomisk motiverte, som typiske løsepengeangrep.

«Selv om noen hackergrupper vil utføre cyberoperasjoner til støtte for russiske myndigheter, erfarer vi at cyber-kriminelle trolig fortsatt vil utføre økonomisk motiverte angrep, som kan inkludere angrep rettet mot myndigheter og kritisk infrastruktur», skrev CISA i sin rapport.

- Spesielt aktive

Ole Tom Seierstad, sikkerhetssjef i Microsoft, sier til Børsen at det er sett et høyt aktivitetsnivå mot Norge fra Russland den siste tida. Spesielt rettet mot nordområdene og Nato.

Siste halvår i fjor lå Norge forholdsvis høyt på angrepslista, sett i forhold til størrelse på landet, mener han.

Seierstad har ingen informasjon om gruppa Killnet, men sier hackerangrep kan komme fra både enkeltstående grupper og være fra en nasjonalstat. Sistnevnte betyr at det ikke er svindlere eller kriminelle som står bak, men at det er snakk om statssponsede angrep.

- Vi ser dem spesielt fra Kina, Nord-Korea, Iran, og Russland. De har vært spesielt aktive fra siste halvår i fjor, sier Seierstad.

Hos Microsoft holder de nå øye med 150 ulike statssponsede hackergrupper, og kan kjenne dem igjen på blant annet mønster og metode, forteller han.

Forsvant over natta

Killnet er et relativt nytt navn i cybersikkerhetsverdenen. I utgangspunktet var Killnet navnet på et verktøy som ble brukt til å gjennomføre såkalte DDoS-angrep (tjenestenektangrep).

Folk som betalte kunne få tilgang til tjenesten fra januar i år, noe som ble annonsert på Killnets Telegram-kanal og på det mørke nettet. I slutten av mars lanserte gruppa en oppdatert versjon av verktøyet, før nettsida plutselig forsvant over natta, ifølge cybersikkerhetsselskapet Digital Shadows.

Gruppa hevdet selv at tjenesten ble tatt ned i forbindelse med krigen i Ukraina, men hadde tidligere uttalt på Telegram at Killnet var «under angrep fra alle verdenshjørner» og at nettsida hadde blitt blokkert i Russland og Europa, ifølge selskapet.

Det er her historien får en brå vending.

For i løpet av kort tid gjenoppstår Killnet som en såkalt «hacktivist»-gruppe. Utviklerne som står bak Killnet begynte å bruke navnet i forbindelse med DDoS-angrep rettet mot land som hadde gått ut mot Russland, eller støttet Ukraina.

Killnet har selv uttalt at deres oppdrag er å «stoppe aggresjonen mot Russland» fra andre land, og hevdet at denne aggresjonen kommer fra land som har valgt å støtte Ukraina, ifølge Digital Shadows.

Vi bryr oss om ditt personvern

Børsen er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer