Meny

Cyberangrep: – Du er naiv hvis du tror at du ikke har noe å skjule

Patrik Maldre, cybersikkerhetsanalytiker i Fireye. Foto: Martin Jacob Kristoffersen
Profesjonelle hackerbander bruker privatpersoner og småbedrifter for å angripe større mål og land, sier ekspert i cybersikkerhet.

Mandag 14. januar iverksatte PST etterforskning av nettverksangrep mot datasystemene til Helse Sør-Øst. PST mistenker at noen til fordel for en fremmed stat samler inn opplysninger som kan skade nasjonale interesser om samfunnet infrastruktur.

– Dersom en fremmed etterretningstjeneste står bak et angrep, så vil deres langtidsplaner styre hva angrepsmålene deres er, sier Patrik Maldre, cybersikkerhetsanalytiker fra Fireeye til ABC Nyheter.

Bakgrunn:  PST etterforsker dataangrep som mulig etterretningsvirksomhet

Maldre var tirsdag på besøk hos Senteret for cybersikkerhet ved Norsk Utenrikspolitisk Institutt (NUPI) for å snakke om temaet.

– Selv om vi ikke har konkret taktisk informasjon om angrepet på helsevesenet i Norge, har vi påvist med moderat sikkerhet at aktører bak vedvarende trusler har helsevesen over hele verden som mål. De vil stjele immaterielle rettigheter og fortrolig informasjon som kan hjelpe innenlands industri og hjelpe regjeringer med å oppnå strategiske mål innen helseomsorgen, sier Maldre.  

– Historisk har vi hovedsakelig observert aktørene i Kina. Fram til nå har vi observert begrenset cyberspionasje innen helsesektoren fra Russland, og ingen fra Nord-Korea. 

Maldre ber oss passe på, og peker på at cybersikkerhet er like viktig som fysisk sikring. Angrepene begynner gjerne andre steder enn hovedmålet.

Mennesker og småbedrifter er gjerne det svake punktet.

– Ikke vær naiv

– Alle i Vesten har verdier, i form av data. Hvis de tror at de ikke har noe å stjele eller skjule, så er de naive.

– Mennesker har alltid vært i sentrum for spionasje. Tradisjonell spionasje har vanligvis handlet om å utnytte svakhetene i en persons psyke for å få dem til å gulpe opp hemmeligheter. På samme måte kan personens internettaktivitet bli utnyttet på mange måter. Angrep mot bedrifter eller nasjoner starter stort sett med at bakmennene ser etter spesifikke personer innenfor som kan bli mål for sosial manipulering. De kan bruke LinkedIn, Facebook eller nyheter til å lage mer effektive angrep, sier han.

– Jeg vil oppfordre alle til å ha brannmur, krypterte disker, antivirusprogramvare og antimalwareprogramvare og gode passord, i tillegg til cyber-hygiene. Det vil ofte utgjøre forskjellen mellom en vellykket eller feilet cyberangrep, sier Maldre.

Proxykrig

Målene med cyberangrep er mange. Noen steder angripes bare for å kartlegge cyberforsvaret. Cyberangriperne kan bruke flere måneder eller år på å kartlegge nettverket og åpne svakheter i forskjellige adgangspunkter og terminaler før de foretar seg noe. Enten å stjele strategisk informasjon eller gjøre noe som har en fysisk effekt.

– Andre ganger vil de bare ha en tilstedeværelse, slik at dersom et land beslutter noe de ikke liker, er angriperne i posisjon til få landet til å føle konsekvensene av beslutningen, sier han.

Angriperne vil noen ganger «teste verktøyet». Dette er spesielt kjent i Ukraina, som har større problemer å håndtere enn å sende diplomatiske protester.

Cyberangriperne bruker gjerne småfisk til å ta større fisk.

– Småbedrifter har oftere dårligere cybersikkerhet og de brukes som springbrett for å angripe viktigere mål. Selv om det ikke gir noen mening at angrepene spores dit, kan det føre til forvirring og intense diskusjoner mellom sikkerhetstjenestene og bedriften, sier han.

Fra bondegård til Utenriksdepartementet

Maldre forteller hvordan slike angrep foregår i nordiske land.

– De som essensielt jobber for fremmed militær etterretning kan starte med å kompromittere en liten server på en bondegård i Sverige eller en matbutikk i Oslo og bruke det som infrastruktur til å gjennomføre operasjoner mot for eksempel Utenriksdepartementet eller militæret, sier Maldre.

Det kan også starte med en såkalt phishing-epost som skal prøve å få en ansatt til å åpne et vedlegg, i et firma som leverer tjenester til det egentlige målet. Profesjonelle aktører foretar bakgrunnsjekk først for å se hva personen er mest interessert i.

Vedlegget installerer en trojansk hest som åpner en bakdør inn i datasystemet. Men cyberangriperne bruker gjerne god tid på å kikke rundt og kartlegge nettverket.

De kan logge tastetrykk for å spore opp passord for å komme seg videre inn andre systemer. De kan bruke Windows' egne verktøy for å spre lasten, for eksempel «Oppgavebehandling» i Windows.

Overvåker 1.000 aktører

Maldre forteller om at Fireeye får informasjon fra sensorer over og personer med språkkunnskaper og kulturell forståelse fra hele verden som overvåker cyberkriminelle forum.

Angripere kan være vanskelige å identifisere, men ved å se på forskjellige markører kan sannsynliggjøre at en fremmed etterretningstjeneste står bak. For eksempel tar noen grupper seg «fri» ved offentlige helligdager i landet de mistenkes å operere fra. Noen er også svært disiplinerte og motarbeider aktivt forsøk på å bli fjernet fra nettverkene de angriper.

Fireeye overvåker for tiden rundt 1000 separate aktører bak cybertruslene, og prøver å lage en slags katalog over hvilke som er de mest aktive.

Fireeye har identifisert spesielt to kinesiske grupper som har hatt helseforetak som angrepsmål. Men målene kan være hva som helst.

– Når vi snakker om Russland, tenker jeg forsvar, økonomi og energi, sier Maldre.

Imidlertid, etter at vestlige sanksjonene mot Russland ble iverksatt, har Maldre sett cyberspionasje mot stadig flere uvanlige mål.

– Det kan høres rart ut, men hvis et firma i Norge utvikler neste generasjons traktorskuffe eller biomassekonverter kan det være akkurat det for eksempel Kina trenger for å avansere økonomisk, sier Maldre.

Les også: Hackere tok over Børge Brendes Twitter-konto

Populært