De siste årene har det inntruffet flere cyberangrep i Norge som russiske trusselaktører står bak. Det første datainnbruddet mot Stortingets epostkontoer i august 2020 sto, ifølge PST, den russiske etterretningstjenesten GRU bak.

Simen Bakke
Simen Bakke

Året etter ble Nortura utsatt for et løsepengevirusangrep utført av den russiske grupperingen Conti. I tillegg har flere norske virksomheters nettsider blitt utsatt for tjenestenektangrep utført av prorussiske hacktivister i 2022 og 2023. Et relevant spørsmål er om russiske cyberaktører aktivt samarbeider med staten, eller om de kun ser ut til å dele felles interesser.

Cybersikkerhetsforsker Florian Egloff har utviklet et rammeverk for å kategorisere trusselaktører i cyberdomenet.

Den første kategorien er de statlige aktørene. Dette er aktører som direkte er underlagt staten de opererer på oppdrag fra, som for eksempel en militær cyberenhet eller en etterretningstjeneste.

Den neste kategorien er semi-statlige aktører. Dette kan være telekommunikasjonsleverandører, patriotiske hackere, sikkerhetsselskaper eller cyberkriminelle som opererer i tråd med statens interesser. Disse fungerer som statens forlengede arm, men kan samtidig benyttes til statens fordel ved å tilby troverdig benektelse («plausible deniability»). Det kan være vanskelig å bevise at semi-statlige aktører opererer på statens vegne.

Den tredje kategorien er de ikke-statlige aktørene som opererer utenfor statens kontroll og interesser, slik som rent kriminelle aktører.

I starten av 2023 ble sakskomplekset kjent som The Vulkan Files, offentliggjort. Det russiske it-selskapet NTC Vulkan er ett eksempel på en semi-statlig aktør. Selskapet har over flere år produsert programvare som benyttes til å gjennomføre cyberoperasjoner for de russiske sikkerhets- og etterretningstjenestene.

Et verktøy utviklet av selskapet som går under kodenavn Scan-V, skanner internett etter sårbare enheter og lagrer informasjonen i databaser. Informasjonen benyttes som etterretning for å målrette de russiske etterretningstjenestenes cyberoperasjoner.

I dokumentene som omhandlet Scan-V var det koblinger til den statstilknyttede grupperingen Sandworm. Gruppen står blant annet bak to cyberoperasjoner mot strømnettet i Ukraina og spredning av skadevaren NotPetya. Sistnevnte omtales som verdens mest skadelige cyberangrep målt i kostnader, estimert til ti milliarder dollar.

Flere norske virksomheter har de senere årene blitt angrepet med løsepengevirus. Herunder selskaper som Hydro, Amedia og Nortura. Ofte står det organiserte kriminelle grupperinger som opererer fra Russland, med kallenavn som Conti, Lockbit, Hive eller DarkSide, bak angrepene.

I angrepet mot Nortura tydet sporene på at det var Conti som sto bak. På verdensbasis finnes det over 900 ofre for Contis angrep med løsepengevirus, fordelt på over 31 land.

Det som gjør Conti spesielt interessant, er at interne chattelogger fra grupperingen ble lekket ut på internett like etter at krigen i Ukraina brøt ut i fjor. Conti tok nemlig side i krigen etter at Russland invaderte Ukraina og erklærte at de «støttet russiske myndigheter fullt ut», og «hvis noen beslutter å utføre cyberangrep eller krigsaktiviteter mot Russland, vil Conti benytte alle sine ressurser for å angripe kritisk infrastruktur tilhørende fienden».

Erklæringen skal ha fått en person på innsiden, angivelig en ukrainsk sikkerhetsforsker som infiltrerte Conti, til å lekke betydelige mengder informasjon. Lekkasjen har fått navnet Conti-leaks og har gitt omfattende innsikt i hvordan grupperingen ble driftet.

Conti opererte som et tradisjonelt selskap med over 100 ansatte, åtte timers arbeidsdag og fastlønn på 500 dollar i måneden. I tillegg gir lekkasjene innsikt i en organisasjon hvor selskapets øverste leder hevder å ha koblinger til de russiske etterretningstjenestene. Det er utfordrende å bedømme hvor sterk denne koblingen er, men faktum er uansett at løsepengevirus-grupperinger som Conti i lang tid har fått operere nokså fritt fra Russland.

Selv om det er vanskelig å bedømme cyberaktørers reelle tilknytning til og faktiske samarbeid med en stat, kan vi likevel lese ut fra The Vulkan Files og Conti-leaks at det eksisterer koblinger til staten og de russiske etterretningstjenestene.

Hvorvidt også de prorussiske «hacktivistene» som har rammet norske virksomheter med tjenestenektangrep de siste årene har tilsvarende tilknytninger, er vanskelig å fastslå med sikkerhet. Men vi kan i det minste slå fast at aktørene ser ut til å dele felles interesser.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.