Mystisk angriper: - Jobber med spiongruppe

Dagbladet kan i dag fortelle hvem som hacket Norges nest største mediekonsern. Hackergruppa skal ifølge eksperter samarbeide med beryktede kriminelle - som har bånd til russisk etterretning.

ANGREPET: Nå avslører Pål Nedregotten, konserndirektør for IT i Amedia, hvem som sto bak dataangrepet mot dem. Hackergruppa har forbindelser helt inn til russisk etterretning. Foto: Kristian Ridder-Nielsen
ANGREPET: Nå avslører Pål Nedregotten, konserndirektør for IT i Amedia, hvem som sto bak dataangrepet mot dem. Hackergruppa har forbindelser helt inn til russisk etterretning. Foto: Kristian Ridder-Nielsen Vis mer
Publisert
Sist oppdatert

Klokka var halv ett på natta, 25. desember i fjor.

Krøllete gavepapir, sausrester og skakke julestjerner preget de tusen hjem. Selv den mest sukkerhøye 5-åring var i seng.

Hos datarigget til Amedia, Norges nest største mediekonsern, begynte det å skje noe. En uønsket gjest tok seg inn i datasystemene deres. Tre dager seinere var flere hundre av konsernets servere kryptert.

- Angrepet startet gjennom en misbrukt brukerkonto, sier Pål Nedregotten, konserndirektør for data og teknologi i Amedia, til Dagbladet.

- Ansatte er spesielt utsatte, også fordi mange av dem reiser mye med datamaskiner. I tillegg har journalister rent faktisk som jobb å klikke på lenker - og det krever også spesiell årvåkenhet for mulige angrep, sier Nedregotten.

Angriperne krevde løsepenger.

- Vi var klare på at det var uaktuelt å betale løsepenger, fordi det bidrar til kriminell virksomhet. Det er vårt prinsipielle standpunkt. Andre virksomheter kan ta et annet valg, men selv om du betaler så løper du en risiko for at du ikke får tilbake dataene. Og får du dem tilbake, kan det ligge igjen ondsinnet programvare eller nye sikkerhetshull i filene. Det er det viktig å være klar over.

HACKET: I desember 2020 ble Hurtigruten angrepet av ukjente hackere. Dagbladet kan nå avsløre hvem som sto bak angrepet. Hackerne er fortsatt på frifot. Video: Britisk politi. Reporter: Marthe Tveter Gjønnes. Vis mer

Angriperen

Nå avslører Nedregotten for første gang hvem som sto bak angrepet.

- Vi vet ikke hvem angriperen var. Men basert på informasjonen i løsepengebrevet vet vi at de var tilknyttet ransomware-gruppen Hive. Så vidt vi vet, har denne grupperingen vært lite aktive i Norge fram til nå, sier Nedregotten til Dagbladet.

Dagbladets undersøkelser viser at Hive også står bak et annet omfattende dataangrep i Norge.

Det skjedde 17. juli i fjor. Offeret var entreprenørgiganten GK, et konsern med omkring 3000 ansatte. Angrepet framgår på Hives blogg på det mørke nettet. Det mørke nettet er en kryptert del av Internett, der du trenger en egen nettleser for å navigere. GK ønsker ikke å kommentere saken, men bekrefter at Hive angrep også dem.

Det leder oss til et spørsmål: Hvem er Hive?

Ifølge amerikanske IT-sikkerhetsmyndigheter består gruppa trolig av russisktalende datakriminelle.

Flere detaljer om gruppa får vi ved å gå drøyt tre uker tilbake i tid. Til Costa Ricas vakre hovedstad San Jose.

TRØBBEL I TROPENE: Costa Rica ble angrepet av to russiske hackergrupper. Foto: AFP / NTB
TRØBBEL I TROPENE: Costa Rica ble angrepet av to russiske hackergrupper. Foto: AFP / NTB Vis mer

Trøbbel i tropene

Mens sola skinte på palmer og pastellfargede kolonibygg, var det svett stemning på sosialmyndighetenes hovedkontor. Datasystemene deres var angrepet av hackere. Over 30 000 legetimer måtte kanselleres. Legetimer, helseattester og operasjoner, av voksne og barn, var i limbo.

Angriperne var Hive – samme gruppe som infiserte flere hundre av Amedias servere. De krevde fem millioner dollar, i Bitcoin, i løsepenger.

Da Hive slo til, var de hardt prøvede IT-folkene i San Jose allerede på felgen. I månedsskiftet mars-april hadde en annen, russisk hackergruppe - Conti - lammet hele datasystemet for skatt og tollinnkreving. Wired siterer lokale medier på at angrepet kostet et sted mellom 38 millioner og 60 millioner dollar - pr. dag.

Conti ba om at Costa Ricas USA-vennlige regjering gikk av. 8. mai erklærte president Rodrigo Chavez nasjonal unntakstilstand. Hadde de to russiske hackergruppene begynt å samarbeide?

PENN OG PAPIR: En ansatt hos costaricanske sosialmyndigheter noterer med penn og papir etter dataangrepet mot landet. Foto: Ezequiel Becerra / AFP / NTB
PENN OG PAPIR: En ansatt hos costaricanske sosialmyndigheter noterer med penn og papir etter dataangrepet mot landet. Foto: Ezequiel Becerra / AFP / NTB Vis mer

- Det vi i hvert fall kan slå fast, begynner Brett Callow, cybersikkerhetsekspert i IT-firmaet Emsisoft, overfor Dagbladet.

- Er at det er folk som jobber både med Hive og Conti. Et annet selskap, AdIntel, tror at forbindelsen er dypere enn det. Det har ikke jeg sett bevis på. Men jeg har heller ingen grunn til å tvile på deres informasjon.

AdIntel har ikke besvart Dagbladets spørsmål. Men at ulike hackergrupper samarbeider, går også fram i sosiale medier. På kanalen til en russisk hackergruppe på meldingstjenesten Telegram, etterlyste de tidligere i juni partnere til et stort angrep mot Polen og USA.

En gjennomgang Dagbladet har gjort av Hives blogg på det mørke nettet viser også at Hive og Conti ikke bare har angrepet Costa Rica i samme periode - men også har angrepet flere av de samme ofrene.

Brett Callow utdyper:

HEKTISK: Lederen for sosialvesenet på Costa Rica - Alvaro Ramos - gir en pressebrief 31. mai. Foto: Ezequiel Becerra / AFP / NTB
HEKTISK: Lederen for sosialvesenet på Costa Rica - Alvaro Ramos - gir en pressebrief 31. mai. Foto: Ezequiel Becerra / AFP / NTB Vis mer

- Det er en rekke fellestrekk ved Conti og Hives angrep på Costa Rica, som beskrevet på begge gruppenes sider på det mørke nettet. Angrepene på Costa Rica har flere felle spor. Samme ofre er beskrevet på begges nettsider, sier Callow til Dagbladet.

Dagbladet har ikke klart å nå Hive for en kommentar - men gruppa har selv nektet for Conti-forbindelsen på det mørke nettet. På utpressingsbloggen sin, skriver Hive:

- Vi har ingen forbindelser til Conti.

ERKLÆRTE UNNTAKSTILSTAND: Costa Ricas president Rodrigo Chaves. Foto: NTB
ERKLÆRTE UNNTAKSTILSTAND: Costa Ricas president Rodrigo Chaves. Foto: NTB Vis mer

Russisk etterretning

I Norge er Conti kjent for dataangrep blant annet på Choice Hotels og Nortura. Dagbladet er kjent med at Conti skal stå bak ytterligere tre omfattende angrep mot norske virksomheter.

En stor datalekkasje avslørte i mars at Conti har forbindelser direkte til den russiske etterretningstjenesten FSB. Etter at Conti i mars åpent erklærte sin støtte til Russlands invasjon av Ukraina, slo nemlig en hacker til og lot gruppa smake deres egen medisin: Tusenvis av interne dokumenter og e-poster fra Conti ble lekket på nett. Der gikk det fram:

- Ifølge et medlem har en kollega tette bånd til FSB - og det er grunnen til at hackerne ikke er arrestert

- Sju dager før invasjonen av Ukraina oppgir et Conti-medlem å vite at det foregikk reell russisk aktivitet på Ukraina-grensa

- Et medlem spør om de kan få belønning i Kreml for et spesifikt angrep

- Medlemmer refererer til en bestilling fra et kontor, som ut fra beskrivelsen antas å være FSBs kontor i St. Petersburg.

Flere fellestrekk

Contis støtteerklæring til Ukraina-invasjonen, førte til at flere hackergrupper tok avstand til dem.

Hive valgte isteden å knytte seg tettere til Conti, og gruppas kontakter i russisk etterretning.

Det mener cyberanalytiker Brett Callow at er interessant.

- Etter at Conti erklærte sin støtte til Russland, var det mange som tok avstand fra dem. Merkevaren Conti var død. De måtte utvide til å jobbe med andre grupper.Siden Hive er villig til å samarbeide med Conti, vil jeg si at de kan ha det samme politiske ståstedet, sier Callow til Dagbladet.

- Hvorfor samarbeider gruppene med hverandre?

- Skala er viktig. Ved å jobbe med andre kan de gjøre flere og større angrep. De har kontakt på det mørke nettet, de gjør avtaler, de har sine små dramaer og intriger, og fornærmer og tuller med hverandre. Slik fungerer de sammen.

Flere spor fra et dataangrep mot Dagbladet, VG, NRK og norske myndigheter leder til Egentic: et selskap som ble startet i stua til en tysk adelsmann. Reporter: Torgeir Krokfjord, Video: Lars Eivind Bones / Dagbladet Vis mer

- Økonomisk motivert

Pål Nedregotten opplyser at angrepet kostet Amedia 30 millioner i direkte og indirekte kostnader.

- Vår teori er at det var et rent opportunistisk og økonomisk motivert angrep. Vi har undersøkt systemene vårt langt tilbake på høsten etter mistenkelig atferd, men ikke funnet spor av annen aktivitet, sier Nedregotten til Dagbladet.

- Dette er et digert samfunnsproblem. Gruppene er uoversiktlige – hver hackergruppe har flere såkalte «affiliates», samarbeidspartnere. Og ingenting av dette hadde vært mulig uten bitcoin. Kryptovaluta er essensielt for disse kriminelle gruppene.

DYRT: Dataangrepet kostet Amedia omkring 30 millioner kroner. Foto: Kristian Ridder-Nielsen
DYRT: Dataangrepet kostet Amedia omkring 30 millioner kroner. Foto: Kristian Ridder-Nielsen Vis mer

Nedregotten påpeker at serverrigget som ble angrepet bare er ett av flere driftsmiljøer i Amedia. Øvrige tjenester, blant annet konsernets nettavisoperasjon, ble ikke berørt.

Denne artikkelen er laget i et samarbeid mellom Dagbladet og Kommunal Rapport.

Vi bryr oss om ditt personvern

Dagbladet er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer