Det var i utgangspunktet ingenting som virket suspekt. En person som utga seg for å være rekrutterer tok kontakt med enkelte ingeniører i Kongsberg Maritime gjennom den jobb og nettverk-fokuserte sosiale plattformen Linkedin.
Ingeniørene jobbet innenfor noen av de spisseste utviklingsmiljøene for ny maritim teknologi.
Enkelte av selskapets ansatte ble etter hvert i samtalen oppfordret til å laste ned en fil med en mer detaljert jobbeskrivelse. I realiteten var filen skadevare, med den hensikt å kunne spionere både på den ansatte og på virksomheten. En av de ansatte i Kongsberg Maritime gikk videre og klikket på de tilsendte lenken.
– Det var i løpet av fjoråret vi begynte å oppdage at det var flere av dem i sving, bekrefter Anette Bonnevie Wollebæk, avdelingsdirektør for kommunikasjon og samfunnskontakt i Kongsberg Maritime.
Kan overvåke brukeren
– Det begynte med at ansatte ble kontaktet av rekrutterere som bruker Linkedin som kanal. Så fikk de blant annet tilsendt stillingsbeskrivelser, forteller Wollebæk.
– Som var skadevare?
– Ja, som var spionvare. Det er jo teknologi som er designet for å hente ut intellektuell eiendom, for eksempel tegninger og beskrivelser av teknologi fra selskapet, sier Wollebæk.
Spionvare er en type skadelig programvare som er designet for å samle informasjon om en bruker eller organisasjon uten deres kunnskap. Det kan overvåke og logge tastetrykk, ta skjermbilder, eller få tilgang til personlige filer og informasjon som lagrede passord. Det kan være vanskelig å oppdage og fjerne.
Bekrefter modusen
– Denne typen tilpasset relasjonsbygging er langt unna åpenbare, feilstavede og enkeltstående svindelforsøk som mange er kjent med, sier leder for Nasjonalt cybersikkerhetssenter (NCSC) Martin Albert-Hoff hos Nasjonal sikkerhetsmyndighet.
NCSC bekrefter at Linkedin og andre sosiale medier misbrukes i prosessen med å få uautorisert tilgang til virksomheters systemer.
– Det er ikke tilfeldig at trusselaktører utgir seg for å være rekrutterere på Linkedin. Dette er en plattform som benyttes til profesjonell nettverksbygging og karriereutvikling, sier Hoff.
Han legger til at det blir stadig mer krevende å avsløre slike tilfeller for enkeltpersoner, fordi aktørene blir mer profesjonelle i utnyttelsen av plattformene.
– Det kan begynne med en uskyldig tilnærming, som for eksempel en spennende jobbmulighet. Formålet er å skape en relasjon og etablere tillit over tid, for på et senere tidspunkt å kunne utnytte denne. Trusselaktøren kan deretter forsøke å få vedkommende til å klikke på lenker til nettsider der de blir bedt om å oppgi påloggingsinformasjon, eller åpne vedlegg som installerer skadevare på maskinen vedkommende sitter på, sier Hoff.
Rettet mot forsvarsindustri
Hackere har de siste årene flere ganger utgitt seg overfor ansatte i forsvars- og luftfartsselskaper i Europa og Midtøsten for å være rekruttere for store amerikanske forsvarsselskaper med spennende tilbud om godt betalte jobber, ifølge sikkerhetsselskapet ESET.
Gjennom å lure forsvarsansatte inn i en dialog, og senere til å laste ned og klikke på filer som de utgir for å være jobb-beskrivelser, har de brutt seg inn i selskapenes nettverk.
– Det er mange rekrutterere som bruker Linkedin profesjonelt og legger til potensielle kandidater, og tar kontakt med deg gjennom meldinger. Det er et poeng å verifisere at disse menneskene faktisk finnes og er ansatt der de sier de er ansatt, før du åpner en fil eller klikker på en link, sier Wollebæk.
På Linkedin ligger ofte all informasjon om en persons tidligere jobber, utdannelse, språkkunnskaper, interesser og utmerkelser. Profilene blir gjerne også kopiert, klonet og gjenbrukt i nye angrep.
Falske profiler
– De som står bak er profesjonelle aktører som utga seg for å være rekrutterere med profiler som har ligget der ute lenge.
– Hva var det de sa?
– De sa de hadde en aktuell stilling og tilbød en mulighet til karriereavansement i et stort, internasjonalt firma. Og at de jobber for velkjente, store firmaer, sier Wollebæk.
– Så dere at forsøkene var systematisk målrettet mot selskapet?
– Ja, vi oppdaget at de hadde vært i kontakt med flere, på litt ulike lokasjoner. Organisasjonen vår er stor, og vi er i mange land. Så kan du prøve deg på ulike hjørner. Da svarte vi både med høyere beredskap på IT-siden, men også på kommunikasjonssiden internt. Vi outet også noen av dem på intranettet ved å si «hen her, er ikke den hen sier hen er», sier hun.
Nordkoreansk kampanje
Siden juni 2022 har sikkerhetsselskapet Mandiant fulgt med på en angrepskampanje fra en antatt nordkoreansk etterretningsgruppe med tilnavnet UNC2970.
Nordkoreanske hackere har brukt sofistikerte Linkedin-profiler for å lure sine ofre. Hackerne som antas å jobbe på vegne av myndighetene i Nord-Korea, utgir seg for å være rekrutterere og henvender seg målrettet til ansatte i ulike bransjer med tilbud om svært gode stillinger hos store, kjente selskaper og høye lønninger. Så kommer de med falske jobbtilbud og infiserer motparten med skadevare eller spionvare.
UNC2970 har en rekke spesiallagde Linkedin-kontoer basert på legitime brukere. De er godt designet og profesjonelt utformet for å etterligne legitime brukeridentiteter, bygge tillit og øke sannsynligheten for samtale og interaksjon, ifølge Mandiant.
Sitatsjekk med virus
Også Kina er tidligere blitt anklaget av vestlige land for å bruke falske Linkedin-kontoer for å verve spioner i andre land.
– Har dere noen idé om hvem som står bak?
– Vi har varslet dette til sikkerhetsmyndighetene og har fått et svar fra sikkerhetsmiljøene i Norge om hva de tror det er, og vi har en mistanke. Vi tror at det er profesjonelle aktører som ønsker vår intellektuelle eiendom og driver industrispionasje, sier Anette Bonnevie Wollebæk.
– Var det noen som klikket på en link og ble infisert hos dere?
– Vi hadde en som fikk en fil, som ble åpnet, men vi fikk stoppet det. Vi har overvåkning av bedriftsnettet 24/7, og det gikk en alarm, sier Wollebæk.
Hun sier selv aldri ja til forespørsler på Linkedin fra personer hun ikke har hatt en dialog med, har møtt eller vet finnes.
– Man skal være forsiktig. Jeg har jo også i mitt eget liv fått tilsendt en fil fra en journalist med sitatsjekk, som da var virus på en gang. Journalisten hadde da fått et virus på sin pc som sendte ut sitatsjekker til kilder.
Hun vil ikke si hvilket medium det var.
– Det var ikke DN?
– Nei, det var ikke DN.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.