Løsepengevirusangrepet som lammet den norske aluminiumsgiganten Hydro i 2019 står fremdeles igjen som et av de mest alvorlige kjente dataangrepene i Norge. Hendelsen, som har vært etterforsket i over fire år, vakte stor oppsikt og har vært et hett samtaletema i sikkerhetsmiljøer internasjonalt. Kripos omtaler selv saken som «Norges største sak innenfor datakrim».

Nå er Kripos og politiet i flere land ved veis ende i saken og det skal tas ut tiltale mot de antatte toppene bak Hydro-angrepet.

Politiadvokat i Nasjonalt cyberkrimsenter i Kripos, Knut Jostein Sætnan, bekrefter at det nå jobbes aktivt med å bidra til at det kan bli tatt ut tiltaler i henholdsvis Sveits og Ukraina. Målet er at de utpekte gjerningspersonene skal bli pådømt der de befinner seg.

Lever et klassisk mafialiv

Han beskriver de antatte gjerningspersonene slik:

Politiadvokat i Kripos, Knut Jostein Sætnan, på pressekonferansen dagen etter dataangrepet mot Hydro i mars 2019.
Politiadvokat i Kripos, Knut Jostein Sætnan, på pressekonferansen dagen etter dataangrepet mot Hydro i mars 2019. (Foto: Trygve Indrelid/NTB)

– De er organiserte kriminelle som lever et klassisk mafialiv med dyre vaner, dyre biler, krangler og narkoproblemer. Det er tyver av kjøtt og blod som angriper. Ikke bits and bytes, sier han.

– Mange av bakmennene har hatt lav profil på sosiale medier. Men de har også kjærester, som ikke synes noe om å være rik og vakker uten «show off» i sosiale medier. Dermed dokumenterer de likevel sin egen livsstil åpent i sosiale medier, i kontoer som er interessante å se på for oss, sier Sætnan.

Ukrainsk politi under ransakingen hos personene som Kripos mener sto bak dataangrepet som lammet Hydro i 2019 og er blitt stående igjen som en av de største datakrimsakene i Norge.
Ukrainsk politi under ransakingen hos personene som Kripos mener sto bak dataangrepet som lammet Hydro i 2019 og er blitt stående igjen som en av de største datakrimsakene i Norge. (Foto: Skjermdump: Ukrainsk politi)

Det har gått mer enn fire år siden det massive angrepet mot Hydro først ble oppdaget natt til 19. mars 2019. Samtidig som skjermene på fabrikker og anlegg over hele verden gikk i svart, fikk Hydro et stort løsepengekrav i bitcoin. Jo lengre tid det ville ta før betalingen ville kom, desto dyrere ville det bli, advarte hackerne. Selskapet nektet å betale løsepengekravet, og sendte isteden ut en børsmelding noen timer etter at hendelsen ble oppdaget.

En pyramide av ulike roller

Politiet har identifisert flere de mener er sentrale gjerningspersoner, som de så har plassert i en pyramide av ulike roller, og prioriteringsrekkefølge: Helt i toppen er de mest sentrale bakmennene på ledernivå som Kripos mener kan tiltales for å ha utført selve angrepet: Mellom to og fire personer i Ukraina og en i Zürich. Det er disse Kripos vil bidra til å få dømt.

Under dem igjen, er det personer som har fungert som tilretteleggere. Nederst i pyramiden er muldyrene og pengevekslerne, som har hjulpet til med å hvitvaske pengene, ifølge Kripos.

Da angrepet ble oppdaget i 2019 sørget Hydro raskt for at 22.000 datamaskiner ble koblet av globalt. All elektronisk kommunikasjon ble bannlyst, hele nettverket ble koblet ut, og all kommunikasjon måtte foregå gjennom andre plattformer. Viktige beskjeder måtte formidles i fysiske møter, telefonsamtaler – og på faksmaskiner. Hydro kjøpte alle faksmaskinene de kunne finne i hele Europa.

Norsk Hydro varsler alle sine ansatte om ikke å slå på pc da de er under et dataangrep i mars 2019, umiddelbart etter at hendelsen er oppdaget.
Norsk Hydro varsler alle sine ansatte om ikke å slå på pc da de er under et dataangrep i mars 2019, umiddelbart etter at hendelsen er oppdaget. (Foto: Terje Pedersen/NTB)

Alt innholdet på Hydros servere ble kryptert og utilgjengelig, og nødvendig informasjon måtte gjenopprettes på nærmere 200 steder. Aluminiumkjempen måtte sikre den kompromitterte infrastrukturen fra bunnen i hele 40 land.

Snart fant Hydro ut at hele angrepet kunne spores tilbake til en enkelt, tilsynelatende uskyldig epost datert 5. desember 2018: En ansatt i Hydro hadde åpnet et vedlegg i mailen fra en kunde selskapet hadde korrespondert med tidligere. Vedlegget var ifølge Hydro kidnappet på veien og infisert med skadevare.

Kriminelle, krig og korona

Sætnan sier at aksjonen i Ukraina er den til da største noen gang i det nå krigsherjede landet, og legger til at flere på forhånd tok for gitt at det ville være helt umulig å komme til bunns i Hydro-saken.

– Men nå har vi har vært hjemme i stuen til mange av de som står bak. og sett hvordan de lever, og sett at det faktisk er mulig, sier han.

Politiadvokaten synes det er fascinerende hvor like cyberkriminelle er i tenkemåten med andre kriminelle.

– Motivet er å tjene mest mulig penger med minst mulig jobb. Utvelgelsen av ofre er basert på hvilke ofre, bransjer og land de mener vil betale løsepenger. Noen har samvittighet og tar ikke sykehus. Andre sier, «hvorfor ikke», sier Sætnan.

Store bunker med 100-dollarsedler telles opp manuelt for kamera under beslaget som ukrainsk politi gjennomførte og filmet.
Store bunker med 100-dollarsedler telles opp manuelt for kamera under beslaget som ukrainsk politi gjennomførte og filmet. (Foto: Skjermdump: Ukrainsk politi)

Det internasjonale politisamarbeidet pågikk under hele koronaperioden via skjerm, en utfordring for en straffesak. I dag er flere av områdene i Ukraina okkupert, og det pågår krigshandlinger der.

– Det har vært utrivelig at kolleger må avbryte møter for å dra ned til bomberommet. Det har satt en dimensjon på arbeidet, sier Sætnan om sine kolleger i Ukraina som både må stå i en krig, og jobbe med å ta de kriminelle.

– De gjør virkelig en innsats. At det har skapt utfordringer for samarbeidet er det ingen tvil om. Arbeidsforholdene deres i Ukraina er åpenbart forverret, sier han.

Tilslag i Zürich

Saken ble etterforsket av Kripos i samarbeid med en rekke land. Allerede høsten 2021 ble det gjennomført en internasjonal, koordinert politiaksjon mot mistenkte organiserte digitale kriminelle i Ukraina hvor Kripos deltok. Parallelt ble det også gjort tilslag mot en person i Sveits. Men siden har det vært helt stille rundt både etterforskningen og opprullingen, som fortsatte videre i samarbeid med flere lands politimyndigheter.

En sekk fra det italienske luksusmerket Dolce & Gabbana er en del av beslaget til politiet i Ukraina, som teller opp kontanter og speiler innholdet i elektroniske enheter i bagasjerommet i en video som er lagt ut av ukrainsk politi. Kripos omtaler saken som «Norges største sak innenfor datakrim» og bekrefter at bildene er ekte.
En sekk fra det italienske luksusmerket Dolce & Gabbana er en del av beslaget til politiet i Ukraina, som teller opp kontanter og speiler innholdet i elektroniske enheter i bagasjerommet i en video som er lagt ut av ukrainsk politi. Kripos omtaler saken som «Norges største sak innenfor datakrim» og bekrefter at bildene er ekte. (Foto: Skjermdump: Ukrainsk politi)

Mer enn 50 utenlandske etterforskere skal ha deltatt i Ukraina. Saken omfatter fornærmede i mer enn 70 land og skader som ifølge Kripos påbeløper seg til flere milliarder kroner. Norge tilbød seg snart å bli koordinator for den internasjonale etterforskningen. En avtale om å opprette et «Joint Investigation Team» ble inngått mellom Norge, Frankrike, Storbritannia og Ukraina. Etterforskningsteamet har bestått av etterforskere fra disse landene, samt Nederland, USA og Europol.

Investerer kriminelt utbytte

Det tok minst 100 dager før virksomheten i Hydro kunne gå tilbake til en tilnærmet normal tilstand, men håndteringen strakte seg over flere år. Hendelsen fikk en negativ resultateffekt for Hydro på minst en halv milliard kroner.

Under etterforskningen kom politiet også over krypteringsnøklene som ble brukt av de kriminelle for å låse ned alle Hydros data. Dermed kunne Hydro og andre ofre – stikk i strid med hva som er vanlig i slike saker – bare låse opp krypteringen og få tilgang til dataene sine igjen.

Hydro nektet bestemt å betale penger til de kriminelle, selv om mange større selskaper velger å gjøre dette for å løse problemene raskt. Det er viktig å unngå betaling av løsepenger, fordi utbyttet fra den kriminelle virksomheten ikke bare går til personlig forbruk, men også til videre drift av den cyberkriminelle infrastrukturen, advarer Sætnan.

Vis alle stillinger

– Det går til leie av servere, kjøp av kriminelle tjenester, tilgang til virksomheter som selges i undergrunnsfora og utvikling av nye angrepsverktøy. Kort oppsummert: Å betale løsepenger er å investere i fremtidige angrep. Betaler du, bidrar du til at naboen eller andre blir angrepet, sier han.

Konserndirektør Anne-Lene Midseim, executive Vice President for compliance, ip og general counsel er med Hydros beredskapsteam og har vært tett på hendelsen helt siden hun fikk en WhatsApp-melding klokken 07.15 om morgenen med beskjeden: «Cyber Attack». Hun svarte med et spørsmålstegn.

– Vi valgte i 2019 å anmelde dataangrepet til Kripos, men hadde lave forventninger til at det skulle gi konkrete resultater, sier Midseim til DN.

–Vi har hatt et godt og verdifullt samarbeid med Kripos, og er glade for at deres etterforskning nå har gitt resultater slik at kriminelle aktører kan bli stilt til ansvar.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.

Slik ble Tangen lurt i hacker-test: – Da ble jeg enda mer paranoid
2022: Oljefondet har registrert en økning av hackerangrep på 300 prosent fra 2020 til i dag. Oljefondssjef Nicolai Tangen fikk selv føle på presset.
01:37
Publisert: