I august 2020 ble Politiets sikkerhetstjeneste kjent med at Stortinget var rammet av en omfattende nettverksoperasjon. Stortinget politianmeldte forholdet 1. september, og Politiets sikkerhetstjeneste har siden gjennomført en intensiv etterforskning.
Ulovlig etterretningsvirksomhet
Nettverksoperasjonen har vært etterforsket som et mulig brudd på straffeloven § 121. Straffebudet rammer ulovlig etterretningsvirksomhet som kan skade grunnleggende nasjonale interesser knyttet til samfunnets infrastruktur, så som de øverste statsorganenes virksomhet, sikkerhet eller handlefrihet og forholdet til andre stater, forteller politiadvokat Anne Karoline Bakken Staff i en pressemelding.
Sakens informasjonsinnhenting er gjennomført i meget godt samarbeid med partene i Felles cyber koordineringssenter (FCKS).
Formålet med etterforskningen var å avklare om det foreligger et brudd på straffeloven § 121, hvem som eventuelt står bak, og om noen kan holdes ansvarlig i henhold til norsk straffelov.
Etterforskningen har bestått av innhenting, undersøkelse og analyse av teknisk informasjon fra Stortinget og samarbeidspartnere i FCKS som Nasjonal sikkerhetsmyndighet og Etterretningstjenesten.
Det er gjennomført metodiske analyser av innhentet teknisk informasjon sammen med annen innhentet informasjon. Arbeidet har avdekket informasjonsmål og hvilke metoder og teknikker aktøren har anvendt.
«Brute forcing» etter passord
Etterforskningen viser at aktøren har benyttet en fremgangsmåte som kalles «brute forcing» (se forklaring under) for å skaffe gyldige brukernavn og passord. Denne teknikken har blitt brukt mot et høyt antall brukerkontoer hos Stortingets e-postsystemer, og har resultert i at aktøren klarte å skaffe seg brukerpassord, som den igjen kunne bruke til å logge seg inn på et mindre antall kontoer. Det er avdekket at det er hentet ut sensitivt innhold fra en del av de berørte e-postkonti.
Videre datainnbrudd ikke vellykket
Videre har etterforskningen avdekket at aktøren har forsøkt å bevege seg videre inn i Stortingets datasystemer. Informasjonen analysene baserer seg på, tyder på at forsøkene ikke har vært vellykket.
Detaljer om funn er gradert
– Det er ikke anledning til å gå nærmere inn på tekniske spesifikasjoner og funn på grunn av graderings- og sensitivitetshensyn, forteller PST
Etterforskningen bekrefter Stortingets egne sårbarhetsfunn; Usikre passord til konti brukt både i jobb og privat sammenheng blottstiller både personer og Stortinget som parlamentarisk institusjon. Undersøkelsene har vist at vanlige sikkerhetsmekanismer som 2-faktor-autentisering og innstillinger m.m., kunne avverget vellykket kompromittering.
Av stor interesse for fremmed etterretning
Som Norges lovgivende forsamling utgjør Stortinget et sterkt symbolmål, og er en av de viktigste bærebjelkene for integriteten til norsk suverenitet og til de demokratiske prosessene mellom norske folkevalgte. I tillegg forvalter Stortinget helt konkrete, til dels sensitive verdier som er kritisk for Norge, og som er av stor interesse for flere fremmede stater sine etterretningstjenester.
Etterforskningen viser at nettverksoperasjonen som Stortinget ble rammet av, er en del av en større kampanje nasjonalt og internasjonalt, som har pågått i alle fall siden 2019. Analysene viser at det er sannsynlig at operasjonen er utført av cyberaktøren som i åpne kilder omtales som APT28 og Fancy Bear.
Russlands militære etterretning – GRU
Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester (GTsSS).
Etterforskingen har imidlertid frem til nå ikke frembragt tilstrekkelig opplysninger til at det kan utferdiges en tiltale for brudd på straffeloven § 121. På grunnlag av en helhetsvurdering beslutter påtalemyndigheten etter dette at etterforskningen avsluttes er oppsummeringen fra PST.
Fortrinnsvis er de ute etter å finne brukernavnet og passordet til en bruker som har administrator rettigheter. Så snart de lykkes å tippe riktig brukernavn og passord har de full tilgang til nettstedets eller serverens ressurser. Av denne grunn er det ekstremt viktig at du benytter et kompleks passord som det ikke er lett å tippe.
Den enkleste form for brute-force angrep er angrep fra en datamaskin som systematisk prøver å tippe brukernavnet og passordet. De starter med de vanligste administrator brukernavnene – root, admin og administrator og starter et script som starter med a, før de fortsetter A, ab, Ab, abc osv.
Slik fortsetter de helt til de har klart å tippe korrekt passord gjennom å forsøke alle tenkelige kombinasjoner.
Kilde: Estudie.no
2020-12