Stortinget utsatt for cyberangrep fra russisk etterretning

I august 2020 ble Politiets sikkerhetstjeneste kjent med at Stortinget var rammet av en omfattende nettverksoperasjon. Stortinget politianmeldte forholdet 1. september, og Politiets sikkerhetstjeneste har siden gjennomført en intensiv etterforskning.

Ulovlig etterretningsvirksomhet

Nettverksoperasjonen har vært etterforsket som et mulig brudd på straffeloven § 121. Straffebudet rammer ulovlig etterretningsvirksomhet som kan skade grunnleggende nasjonale interesser knyttet til samfunnets infrastruktur, så som de øverste statsorganenes virksomhet, sikkerhet eller handlefrihet og forholdet til andre stater, forteller politiadvokat Anne Karoline Bakken Staff i en pressemelding.

Sakens informasjonsinnhenting er gjennomført i meget godt samarbeid med partene i Felles cyber koordineringssenter (FCKS).

Formålet med etterforskningen var å avklare om det foreligger et brudd på straffeloven § 121, hvem som eventuelt står bak, og om noen kan holdes ansvarlig i henhold til norsk straffelov.

Etterforskningen har bestått av innhenting, undersøkelse og analyse av teknisk informasjon fra Stortinget og samarbeidspartnere i FCKS som Nasjonal sikkerhetsmyndighet og Etterretningstjenesten.

Det er gjennomført metodiske analyser av innhentet teknisk informasjon sammen med annen innhentet informasjon. Arbeidet har avdekket informasjonsmål og hvilke metoder og teknikker aktøren har anvendt.

«Brute forcing» etter passord

Etterforskningen viser at aktøren har benyttet en fremgangsmåte som kalles «brute forcing» (se forklaring under) for å skaffe gyldige brukernavn og passord. Denne teknikken har blitt brukt mot et høyt antall brukerkontoer hos Stortingets e-postsystemer, og har resultert i at aktøren klarte å skaffe seg brukerpassord, som den igjen kunne bruke til å logge seg inn på et mindre antall kontoer. Det er avdekket at det er hentet ut sensitivt innhold fra en del av de berørte e-postkonti.

Videre datainnbrudd ikke vellykket

Videre har etterforskningen avdekket at aktøren har forsøkt å bevege seg videre inn i Stortingets datasystemer. Informasjonen analysene baserer seg på, tyder på at forsøkene ikke har vært vellykket.

Detaljer om funn er gradert

– Det er ikke anledning til å gå nærmere inn på tekniske spesifikasjoner og funn på grunn av graderings- og sensitivitetshensyn, forteller PST

Etterforskningen bekrefter Stortingets egne sårbarhetsfunn; Usikre passord til konti brukt både i jobb og privat sammenheng blottstiller både personer og Stortinget som parlamentarisk institusjon. Undersøkelsene har vist at vanlige sikkerhetsmekanismer som 2-faktor-autentisering og innstillinger m.m., kunne avverget vellykket kompromittering.

Av stor interesse for fremmed etterretning

Som Norges lovgivende forsamling utgjør Stortinget et sterkt symbolmål, og er en av de viktigste bærebjelkene for integriteten til norsk suverenitet og til de demokratiske prosessene mellom norske folkevalgte. I tillegg forvalter Stortinget helt konkrete, til dels sensitive verdier som er kritisk for Norge, og som er av stor interesse for flere fremmede stater sine etterretningstjenester.

Etterforskningen viser at nettverksoperasjonen som Stortinget ble rammet av, er en del av en større kampanje nasjonalt og internasjonalt, som har pågått i alle fall siden 2019. Analysene viser at det er sannsynlig at operasjonen er utført av cyberaktøren som i åpne kilder omtales som APT28 og Fancy Bear.

Russlands militære etterretning – GRU

Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester (GTsSS).

Etterforskingen har imidlertid frem til nå ikke frembragt tilstrekkelig opplysninger til at det kan utferdiges en tiltale for brudd på straffeloven § 121. På grunnlag av en helhetsvurdering beslutter påtalemyndigheten etter dette at etterforskningen avsluttes er oppsummeringen fra PST.

2020-12