NRKbeta forklarer datainnbruddet mot Stortinget og hvorfor det er så vanskelig å beskytte seg.
Onsdag denne uken informerte Stortinget om at de hadde blitt rammet av datainnbrudd. For andre gang på et halvt år.
Men denne gangen var de langt ifra alene. Utenlandske medier rapporterer om at hundretusenvis av offentlige og private virksomheter kan være kompromittert.
Og Stortinget er i godt selskap. Med seg har de også det europeiske banktilsynet. Bloomberg rapporterer om over 60.000 ofre globalt, mens Wired viderebringer et anslag på flere hundretusen.
Hvordan kunne det skje?
Det hele handler om en populær e-postløsning fra Microsoft som over 1500 norske virksomheter benytter seg av. Den heter Microsoft Exchange, og det er bare organisasjoner som drifter sin egen e-postserver som er berørt av sårbarhetene.
De siste årene har mange virksomheter flyttet hele e-postløsningen til skyen. De kan puste lettet ut.
Hvorfor bryter man seg inn?
Til enhver tid finnes det kriminelle og statlige aktører som forsøker å finne feil i populære IT-systemer. De kriminelle ønsker aller helst å lure seg inn i systemene for å installere løsepengevirus eller få bedrifter til å overføre penger til feil bankkonto.
For statene er det annerledes. De vil gjerne spionere på sine naboer og konkurrenter. Noen ganger for å bedre forstå hva politikerne tenker, andre ganger for å stjele industrihemmeligheter. De er heller ikke fremmede for å lekke eksplosive dokumenter om det kan så splid.
Microsoft mener selv at en trusselaktør basert i Kina først fant feil i deres e-postløsning. Gruppen som de kaller «Hafnium» skal ha vært spesielt interessert i å stjele data fra amerikanske organisasjoner innen forsvarsindustri, universiteter, og samfunnsliv.
Men før Microsoft rullet ut sin sikkerhetsoppdatering utnyttet minst seks hackergrupper sårbarhetene, ifølge sikkerhetsselskapet ESET. Siden har det kommet til mange flere.
Hva er feilen?
Det er fire «feil» i Microsoft Exchange som sammen gjør det mulig for ondsinnede aktører å få tilgang til e-postkontoer og installere skadelige programmer.
Hackerne kan i mange tilfeller utnytte disse feilene fra hvor som helst i verden og slik lure seg inn i e-posttjenesten til en organisasjon. Her er veien kort til å laste ned e-poster og ta over andre IT-systemer.
Det skumle er også at hackerne kan legge inn såkalte bakdører. Dette er skjulte veier til innsiden av en bedrift. Disse bakdørene gjør det ekstra vanskelig å kaste en inntrenger helt ut.
Litt enkelt sier man at jo lenger en inntrenger får holde på uoppdaget, jo vanskeligere er det å bli kvitt dem.
Man vet at sårbarhetene har blitt utnyttet av trusselaktører siden 3. januar, men det kan også ha startet mye tidligere.
Hva skjedde 2. mars?
Det var IT-sikkerhetsselskaper rundt om i verden som hjalp Microsoft med å finne sårbarhetene og tegn på hvem som utnyttet feilene.
Det gjorde at Microsoft kunne sende ut en sikkerhetsoppdatering i tillegg til å konkludere med høy sikkerhet at det var en Kina-basert hackergruppe som først hadde utnyttet sårbarhetene.
Tirsdag 2. mars klokken 22:53 sendte Nasjonalt cybersikkerhetssenter en melding til samfunnskritiske virksomheter der de anbefalte dem å installere en sikkerhetsoppdatering fra Microsoft «så snart det lar seg gjøre». Det gjorde Stortinget allerede dagen etter.
Inntil sikkerhetsoppdateringen ble kjent, var det bare noen få selskaper i verden som visste om feilene i Microsofts produkter. Det gjorde det også vanskelig å oppdage om noen utnyttet dem.
– Vi kunne ikke ha oppdaget dette og vi klarte da ikke å hindre angrepet, sier stortingsdirektør Marianne Andreassen til NRK.
Hvordan oppdaget Stortinget datainnbruddet?
Når Stortinget installerte sikkerhetsoppdateringen fra Microsoft hadde de også mulighet til å undersøke om det var signaturer som tilsa at noen hadde utnyttet sårbarhetene. Stortingsdirektøren ønsker av sikkerhetsmessige hensyn ikke å svare på om de gjorde disse undersøkelsene eller hva de fortalte.
– Da vi ble klar over at det var en sårbarhet i Microsofts systemer gjorde vi raskt sikkerhetsoppgraderinger og andre tiltak, sier Andreassen.
Noen dager etter oppdaget Nasjonal sikkerhetsmyndighet (NSM) mistenkelig nettverkstrafikk inn til Stortinget. Sannsynligvis gjorde NSM dette gjennom sitt nasjonale sensornettverk. Det er en slags digital innbruddsalarm som samfunnskritiske institusjoner kan delta i.
– Da vi var klar over uregelmessig aktivitet ble det gjennomført en rekke sikkerhetstiltak og analysearbeid. Dette er fortsatt pågående, sier Andreassen.
Uken etterpå tvang Stortinget alle brukere å bytte passord, men de valgte å ikke stenge e-postserveren.
– Ut fra den kunnskapen vi har og de analysene som vi har gjort, så kan man jobbe i våre systemer, sier Andreassen.
Hun varsler også at de kommer til å gjøre en ekstern evaluering av Stortingets sikkerhet.
Hvem står bak angrepet mot Stortinget?
Sjef for Etterretningstjenesten i Norge, Nils Andreas Stensønes, mener det trolig er en statlig aktør som står bak angrepet mot Stortinget. Samtidig mener etterretningssjefen at det er for tidlig å si med sikkerhet hvem det er snakk om.
– Det vi ser på Stortinget nå er en god illustrasjon på hva andre nasjoner ønsker å gjøre. De ønsker å bryte seg inn og få tilgang til vår informasjon, og bruke den til sin fordel, sa han torsdag til NRK.
Han nevnte da spesifikt fire land: Kina, Russland, Nord-Korea, og Iran.
Datainnbruddet er politianmeldt av Stortinget og PST har åpnet en etterforskning.
Den kinesiske ambassaden har gitt en kommentar til NRK der de sier at Kina er sterke motstandere av dataangrep og kjemper imot datatyverier i alle dets former. Ambassaden mener også at det er viktig at media og relevante selskaper kommer med bevis heller enn grunnløse beskyldninger.
Er Stortinget alene?
NSM mener flere enn ti norske virksomheter har blitt kompromittert som følge av sårbarhetene i Microsofts produkter.
Noen er allerede kjent: NRKbeta fortalte tirsdag at hackere hadde installert en bakdør hos det trønderske kollektivselskapet AtB. I tillegg stengte Høgskolen i Østfold og Øksnes kommune sine e-postsystemer på grunn av disse sårbarhetene.
NRK har fått bekreftet at også Andøy kommune er berørt:
– Vi har funnet indikasjon i en logg på at denne sårbarheten har vært utnyttet, men vi har ikke funnet noen indikasjoner på at de har lagt inn kode, eksekvert kode, eller hentet ut informasjon, sier IT-leder Ann Kristin Ase i Andøy kommune.
Fremover frykter NSM at kriminelle kommer til å bruke sårbarhetene til å installere løsepengevirus på datamaskinene til norske bedrifter. Sikkerhetsselskaper rapporterer allerede at dette har skjedd i utlandet.
Datainnbrudd på Stortinget, igjen?
I fjor høst fikk hackere tilgang til e-postkontoene til et mindretall stortingsrepresentanter og ansatte.
– Det vi vet fra PSTs etterforskning av saken, er at de betegner det vi var utsatt for i høst som et såkalt brute-force angrep som var et massivt angrep mot e-postkontoer hos oss, sier stortingsdirektør Andreassen til NRK.
Normalt må brukere på Stortinget skrive inn brukernavn og passord, så får de en unik kode for å logge inn. Hackerne fant en vei rundt det siste viktige trinnet i Stortingets e-postløsning. Slik kunne de gjentatte ganger forsøke å gjette seg til rett passord. Det skal de ha klart i noen få tilfeller.
PST etterforsket dette datainnbruddet mot Stortinget. Da PST henla saken i desember, sa de at hackere i den russiske militære etterretningstjenesten (GRU) sto bak angrepet.
NRK erfarte da at militær-hackerne hadde forsøkt seg på mer enn ti offentlige og private virksomheter i Norge. Russland nektet da for å stå bak angrepet.
> Hvorfor vil en stat bryte seg inn på Stortinget?
> Datainnbruddet i fjor: Slik lurte hackerne Stortinget systemet
Oppdatert klokken 12.58: I en tidligere versjon stod det at sårbarhetene berørte e-postservere som fysisk var i kontorene til selskaper. Det er ikke helt rett da serverne gjerne kan være driftet av en IT-leverandør i et datasenter.