Sporene fra Hurtigruten-angrepet

Politiet fant aldri ut hvem som hacket Hurtigruten i desember 2020. Nå kan Dagbladet avsløre hvem som sto bak - og deres linker til Vladimir Putins innerste krets.

HACKET: I desember 2020 ble Hurtigruten angrepet av ukjente hackere. Dagbladet kan nå avsløre hvem som sto bak angrepet. Hackerne er fortsatt på frifot. Video: Britisk politi. Reporter: Marthe Tveter Gjønnes. Vis mer
Publisert
Sist oppdatert

Det var natt til mandag 14. desember 2020 at Hurtigrutens datafolk oppdaget at noen var inne i datasystemene deres.

Noen som hadde onde hensikter.

Saken ble raskt meldt til politiet. Hurtigruten avdekket at angriperne fikk tak i personopplysninger tilhørende en rekke kunder.

En ting fant aldri politiet ut. Hvem sto egentlig bak angrepet?

- Saken ble henlagt i november 2021 på grunn av mangel på opplysninger om gjerningsperson, sier Asbjørn Bartnes, sjef for kommunikasjonsstaben i Troms politidistrikt, til Dagbladet.

- Hvordan ble saken etterforsket?

- Saken ble etterforsket og behandlet på ordinær måte, med en datateknisk etterforskning og andre undersøkelser, uten at man har klart å finne ut hvem som sto bak.

Dagbladet kan i dag avsløre at det var hackergruppa DoppelPaymer som angrep Hurtigruten.

Tromsø 20200806. Her ligger hurtigruten MS Roald Amundsen i koronakarantene ved kai i Tromsø.Foto: Rune Stoltz Bertinussen / NTB
Tromsø 20200806. Her ligger hurtigruten MS Roald Amundsen i koronakarantene ved kai i Tromsø.Foto: Rune Stoltz Bertinussen / NTB Vis mer

Gruppa har tette bånd til andre cyberkriminelle – og videre til russisk etterretning.

Tok skylda

DoppelPaymer tok selv ansvar for angrepet på sin nå avstengte side på det mørke nettet, og deres rolle kommer fram i en kartlegging gjort med programvaren Dark Tracer, utviklet av det koreanske sikkerhetsselskapet NSHC. Programmet brukes til å kartlegge hackergruppene på det mørke nettet.

DoppelPaymers rolle bekreftes også av det norske IT-selskapet Atea, som er Hurtigrutens IT-leverandør. De sto selv oppført som et offer på DoppelPaymers side på det mørke nettet.

- Det var ikke Atea som ble rammet, men Hurtigruten, sier Thomas Tømmernes, IT-sikkerhetssjef i Atea til Dagbladet.

- Domenet deres, som vi drifter for dem, refererer til Atea. Det er bakgrunnen for at hackerne, DoppelPaymer, la ut Hurtigruten/Atea-domenet på sin side på det mørke nettet, sier Tømmernes.

Dagbladet har søkt DoppelPaymer på e-post - men den eneste kjente adressen deres er ikke lenger i bruk.

MILLIONSMELL: Hurtigruten - her ved direktør Daniel Skjeldam - oppgir at dataangrepet kostet dem to millioner euro. Foto: NTB
MILLIONSMELL: Hurtigruten - her ved direktør Daniel Skjeldam - oppgir at dataangrepet kostet dem to millioner euro. Foto: NTB Vis mer

Hurtigruten sier angrepet medførte en betydelig kostnad for selskapet.

- Angrepet hadde en kostnad for Hurtigruten Group på rundt to millioner euro, hovedsakelig knyttet til å reinstallere servere og systemer som ble påvirket, sier kommunikasjonsrådgiver Tarjei Kramviken i Hurtigruten til Dagbladet.

Dødelig utfall

De første sporene etter DoppelPaymer dukket opp på det mørke nettet i april 2019. Gruppas mest alvorlige angrep fant sted 9. september 2020. Da slo gruppa til mot et universitetssykehus i den tyske storbyen Düsseldorf.

ANGREPET: DoppelPaymers angrep mot universitetssykehuset i Düsseldorf fikk fatale følger. Foto: Wikimedia
ANGREPET: DoppelPaymers angrep mot universitetssykehuset i Düsseldorf fikk fatale følger. Foto: Wikimedia Vis mer

Da DoppelPaymer lammet sykehusets datasystemer, lå en kritisk skadd kvinne klar til å bli operert. Fordi datasystemet ble angrepet, kunne operasjonen ikke gjennomføres. Pasienten ble ifølge BBC lastet inn i en ambulanse, og i rasende fart fraktet til nærmeste nærliggende sykehus - i Wuppertal, tre mil unna.

Hun overlevde ikke den strabasiøse reisen.

Politiet etterforsket ikke lenger «bare» et dataangrep. Men også drap. Sporene ledet til Russland, opplyser det tyske IT-sikkerhetsdepartementet.

- Det som er kjent om angriperne bak DoppelPaymer indikerer at de bor i Russland, sier pressetalsperson Joachim Wagner til Dagbladet.

Forbindelsen

Vi kontakter den Canada-baserte IT-sikkerhetseksperten Brett Callow. Han har undersøkt programvaren, de tekniske løsningene, operasjonene og metodene til DoppelPaymer.

- Når du undersøker DoppelPaymer, og ser hvordan de har operert, leder alle spor til Evil Corp, sier Callow til Dagbladet.

Evil Corp er en av verdens mest kjente hackergrupper. Og har dokumenterte forbindelser både til russisk etterretning og Vladimir Putins indre sirkel.

- Det er definitivt bånd mellom DoppelPaymer og Evil Corp. De bruker en del felles tekniske løsninger, løsninger som ikke brukes av noen andre, sier Callow, som jobber i sikkerhetsselskapet Emsisoft.

- Både DoppelPaymer og Evil Corp har brukt spionprogramvaren Dridex, som igjen er utviklet av Evil Corp, sier Callow.

Evil Corp knyttes også til andre identiteter, som Indrik Spider og BitPaymer.

Hvem er egentlig Evil Corp?

Vi går tilbake til 2019.

Da var en gjeng unge datanerder kongene av gata i Moskva.

«Tyv»

Det var ikke vanskelig å legge merke til Maksim Yakubets, der han rånet rundt i sin kamuflasjelakkerte Lamborghini Aventador. Bilder offentliggjort av britisk politi, viser at Yakubets snakker med russisk trafikkpoliti. Og det er ikke vanskelig å skjønne at det var fristende å sjekke hva den tungt motoriserte italienske oksen var god for.

FLASHY: Maskim Yakubets med en russisk politimann, og sin kamuflasjekledte Lamborghini. Foto: National Crime Agency
FLASHY: Maskim Yakubets med en russisk politimann, og sin kamuflasjekledte Lamborghini. Foto: National Crime Agency Vis mer

Kanskje bør du være ekstra varsom når bilskiltet ditt bærer ordet «BOP». «Tyv», på russisk.

Ifølge FBI er Maksim Yakubets mannen bak pseudonymet «Aqua» på det mørke nettet, en av lederne i hackergruppa Evil Corp – og med det en av tidenes mest vellykkede nettkriminelle. Totalt skal Evil Corp ha tjent omkring 100 millioner dollar på sin kriminelle virksomhet.

ETTERLYST: Maksim Yakubets er på FBIs «Most Wanted»-liste, etterlyst for omfattende cyberkriminalitet.
ETTERLYST: Maksim Yakubets er på FBIs «Most Wanted»-liste, etterlyst for omfattende cyberkriminalitet. Vis mer

FBI etterlyste i 2019 ni antatte medlemmer av hackergruppa med navn og bilde. BBC fikk tak i Maksim Yakubets’ far i Moskva i november i fjor, men FBI er trolig maktesløse så lenge Yakubets oppholder seg i Russland.

Han er en mann med gode kontakter.

TETT PÅ: Dmitry Peskov (t.h.) er president Vladimir Putins pressetalsperson og tett på den russiske presidenten. Peskov skal være en venn av Evil Corp-leder Maksim Yakubets. Foto: Reuters / NTB
TETT PÅ: Dmitry Peskov (t.h.) er president Vladimir Putins pressetalsperson og tett på den russiske presidenten. Peskov skal være en venn av Evil Corp-leder Maksim Yakubets. Foto: Reuters / NTB Vis mer

Antatt spion

Yakubets er ifølge russiske medier en god venn av Dmitrij Peskov, Vladimir Putins pressetalsperson. Peskov har ikke besvart Dagbladets spørsmål til denne saken.

Det er også verdt å dvele litt ved Maksim Yakubets' overdådige bryllup, høsten 2019.

Bruden er datteren til Eduard Bendersky - en betrodd offiser i den russiske etterretningstjenesten FSB.

Eduard Bendersky trakk ifølge Bellingcat i trådene da en tsjetsjensk militærleder ble drept - av en russisk etterretningsoffiser - midt i en park i Berlin i 2019.

Mens Eduard Bendersky planla likvidasjonen på tysk jord, mener USA at også svigersønnen jobbet for etterretningstjenesten FSB, samtidig som han var en av verdens farligste hackere.

Da Maksim Yakubets ble etterlyst av FBI, offentliggjorde USA at de mener EvilCorp-lederen hadde jobbet for russisk etterretning siden 2017.

Hurtigruten ønsker ikke å kommentere at de ble angrepet av hackere med linker til russiske myndigheter. Kommunikasjonsrådgiver Tarjei Kramviken sier:

- Vi ønsker ikke å bidra til økt oppmerksomhet rundt slike kriminelle grupper, siden det tjener deres sak når metoden er å utpresse ofrene ved å true med publisering av stjålet materiale. Økt oppmerksomhet vil kunne gjøre den typen utpressing mer effektiv. Vi har ikke kompetanse til å vurdere hvem personene som står bak er og hvilke relasjoner de har til andre, det er det best at eksperter på IT-sikkerhet eller myndighetene gjør.

Etterretningskobling

En slik er Jørgen Rørvik, direktør for cybersikkerhet i IT-giganten Sopra Steria.

- I september 2021 publiserte det kjente cybersikkerhetsselskapet Recorded Future en rapport som redegjorde for både direkte og indirekte koblinger mellom Russland og cyberkriminelle, sier Rørvik til Dagbladet.

SIKKERHETSEKSPERT: Jørgen Rørvik er direktør for cybersikkerhet i Sopra Steria. Foto: Sopra Steria
SIKKERHETSEKSPERT: Jørgen Rørvik er direktør for cybersikkerhet i Sopra Steria. Foto: Sopra Steria Vis mer

Han understreker at han ikke kjenner angrepet mot Hurtigruten i detalj. Men på generell basis er også han kjent med koblingene mellom Evil Corp og russiske myndigheter.

- Ifølge Recorded Future er det meget sannsynlig at russisk etterretning har et forhold til cyberkriminelle, i særdeleshet gruppen «Evil Corp», sier Rørvik.

- Utfordringene dette skaper er uklare linjer mellom hva som oppfattes som kriminelle handlinger motivert av økonomisk vinning og hva som betraktes som spionasje og destruktive operasjoner. Forholdet bidrar også til at kriminelle grupper har tilgang på særdeles avanserte virkemidler for å oppnå sin målsetning, som i sin tur kan være i tråd med russiske interesser.

Flere spor fra et dataangrep mot Dagbladet, VG, NRK og norske myndigheter leder til Egentic: et selskap som ble startet i stua til en tysk adelsmann. Reporter: Torgeir Krokfjord, Video: Lars Eivind Bones / Dagbladet Vis mer

To millioner euro

Ifølge advokatfirmaet Clyde & Co, som med hovedkontor i London har en rekke klienter innen shipping- og cruisebransjen, er DoppelPaymer en av to hackergrupper som har spesialisert seg nettopp på selskap innen maritim sektor.

Den andre heter WastedLocker, og ifølge den anerkjente cyberanalytikeren Pieter Arntz er det EvilCorp som står bak også den.

STABLER MED CASH: Et antatt Evil Corp-medlem poserer med en pengestabel på et bilde offentliggjort av britisk politi. Foto: National Crime Agency
STABLER MED CASH: Et antatt Evil Corp-medlem poserer med en pengestabel på et bilde offentliggjort av britisk politi. Foto: National Crime Agency Vis mer

Ifølge Clyde & Co. skal DoppelPaymer og WastedLocker ha tjent over 50 millioner dollar i kryptovaluta.

Kommunikasjonsrådgiver Tarjei Kramviken sier Hurtigruten ikke vet hvor mye DoppelPaymer krevde i løsepenger.

- Vi gikk aldri i dialog med utpresserne. Vi hadde tidlig kontakt med politiet og hadde full åpenhet med dem rundt situasjonen. Vi kjenner ikke til hvilke krav eller lignende som kan ha blitt stilt ettersom vi ikke hadde noen dialog med angriperne. Vi opprettholdt driften på skipene som var i trafikk, med manuelle løsninger. Vi benyttet sikkerhetskopier og rutiner for gjenoppretting til å reetablere IT-systemene våre.

VANSKELIG: Å kreve store summer med løsepenger i kryptovalutaen Monero er både vanskelig og problematisk. De påståtte kidnapperne i Hagen-saken krevde rundt 90 millioner kroner. Video: Marie Røssland Vis mer

Nytt navn

Hackerne som angrep Hurtigruten, er fortsatt aktive.

Men ifølge flere analytikere har DoppelPaymer nå skiftet navn, og endret framtoningen sin på nett – til å nå operere under navnet Grief: «sorg» på norsk. Gruppa har også sluttet å kreve løsepenger i Bitcoin – og foretrekker i stedet at ofrene betaler dem i en kryptovaluta som har en spesiell klang i Norge: Monero.

Det er den samme kryptovalutaen som Tom Hagen, Anne Elisabeth Hagens drapssiktede ektemann, hevder han ble bedt om å betale løsepenger i for å få kona si tilbake.

- Vi ser at det skjer flere og flere transaksjoner i Monero, sier Brett Callow.

- Er Monero vanskeligere å spore enn Bitcoin?

- I teorien er den i hvert fall det.

Denne artikkelen er laget i et samarbeid mellom Dagbladet og Kommunal Rapport.

Vi bryr oss om ditt personvern

Børsen er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer