Dagbladet avslører: Hackerne bak fasaden

Serverte stjernene: - Var fryktet hacker

På nettet skjuler de beryktede, russiske hackerne seg bak masker og falske navn. Dagbladet kan i dag avsløre hvem som skal skjule seg bak maskene.

ENKLE BYTTER: På tre år har nesten 50 norske bedrifter og kommuner blitt utsatt for datainnbrudd av ulike russiske hackerbander. Her forteller ofre for hackerne hvordan angrepet oppleves. Reporter: Christina H. Korneliussen/Dagbladet TV Vis mer
Publisert
Sist oppdatert

- Jeg skal fortelle deg en ting, min kjære medborger. Jeg finner deg hvor som helst.

Mannen går mot rulletrappa på flyplassen, og snakker mot mobilkameraet sitt. Så vender han mobilen ned, og snikfilmer rumpa til dama over ham i trappa. Mannen gir uttrykk for å like det han ser, før han fortsetter monologen, med trusler til en ukjent adressat.

- Du er ferdig. Forstått?

PÅ FARTEN: På dette bildet framstår det som den antatte Conti-hackeren «Wazawaka» sitter i en svært luksuriøs flykabin. Foto: Privat
PÅ FARTEN: På dette bildet framstår det som den antatte Conti-hackeren «Wazawaka» sitter i en svært luksuriøs flykabin. Foto: Privat Vis mer

Angrepene

Dagbladet og Kommunal Rapport har kartlagt nesten 50 dataangrep mot norske bedrifter og myndigheter. Den store majoriteten er utført av grupper med opphav i Russland.

To av de mest beryktede, russiske hackergruppene heter Conti og Revil. På verdensbasis anslås de å ha tjent hundrevis av millioner i løsepenger. I Norge har de angrepet virksomheter som Choice Hotels, Vard, Mobile, Imenco, Nortura og Inocean.

Samtidig har «russiske hackere» blitt en slags samlebetegnelse på ondsinnede datanerder som sitter på gutterommet og ødelegger folks liv. Hvem er de – sånn egentlig?

Flere av hackergruppene har vært rammet av datalekkasjer – og på den måten fått smake sin egen medisin. Påståtte navn, e-postadresser, IP-adresser og annen informasjon er lekket på sider som GitHub, Twitter, Reddit og IntelX. Dagbladet har analysert informasjon fra flere slike lekkasjer, og faktasjekket denne.

Ved hjelp av bildesøk, selskapssøk og informasjon fra russiske registre, har Dagbladet luket ut en del navn på folk som feilaktig er hengt ut som hackere. Men også kunnet fastslå identiteten til flere av de antatte hackerne.

Mannen som snikfilmer den intetanende kvinnens bak, er nemlig ikke en hvilken som helst fyr med mobiltelefon.

Mannen med fire fingre

På nett kaller han seg for «Wazawaka».

Med bare fire fingre på venstrehånda og en tidvis høy profil i sosiale medier, har han fått en viss kultstatus i IT-sikkerhetsmiljøet.

«Wazawaka» har stått bak de reineste tirader på Twitter, både om seg selv og andre i hackermiljøet. Det er også han selv som har lastet opp videoene Dagbladet omtaler i dag.

FIRE FINGRE: Venstrehånda til «Wazawaka» er lett gjenkjennelig. Foto: Privat
FIRE FINGRE: Venstrehånda til «Wazawaka» er lett gjenkjennelig. Foto: Privat Vis mer

Ifølge en stor datalekkasje på Twitter, verifisert av det anerkjente sikkerhetsselskapet Recorded Future, skal «Wazawaka» ha vært involvert da hackergruppa Conti slo til mot myndighetene på Costa Rica.

Conti lammet hele datasystemet for skatt og tollinnkreving. Angrepet kostet costaricanske myndigheter 30 millioner dollar - pr. dag.

«Wazawaka» har ikke svart på Dagbladets spørsmål. Men han har sett og lest en henvendelse fra oss om intervju – før han så slettet meldingstråden. Når vi har ringt, har han lagt på.

Men i august ga han et sjeldent innblikk i hvordan invasjonen av Ukraina framsto fra et hacker-perspektiv.

- Dreit på meg

- Løsepengevirus-bransjen vil dø. Alt endret seg med «spesialoperasjonen» i Ukraina. Etter det har ofrene sluttet å betale.

Det hevdet «Wazawaka» i et intervju med bloggen The Record – som produseres av sikkerhetsselskapet Recorded Future. I intervjuet omtaler «Wazawaka» invasjonen av Ukraina konsekvent som en «spesialoperasjon» - i tråd med den russiske propagandalinja.

- Nå skriver folk til meg at jeg «er en russisk okkupant. Vær fornøyd med 10 000 dollar, dere får ikke mer». Fortjenesten har ramlet sammen det siste halve året. Det er blitt vanskelig å jobbe sånn generelt.

«Wazawaka» kommenterer også at Russland og USA – før invasjonen av Ukraina – for første gang samarbeidet om å ta hackere.

LIVREDD: Det kortvarige samarbeidet mellom USA og Russland om å ta russiske hackere, skapte frykt i miljøet. Foto: AP / NTB
LIVREDD: Det kortvarige samarbeidet mellom USA og Russland om å ta russiske hackere, skapte frykt i miljøet. Foto: AP / NTB Vis mer

- Jeg dreit på meg og var veldig redd. Jeg drakk veldig mye i den perioden. Jeg leste meg opp på grunnloven og forsto det slik at de ville la meg bli i Russland [siden Russland ikke har noen utleveringsavtale med USA]. Men det var skummelt. Da spesialoperasjonen i Ukraina begynte, var jeg glad som faen. (…)

I sommer annonserte «Wazawaka» på Twitter at «jeg er tilgjengelig for spørsmål – send melding». Vi sendte ham en melding, men fikk ikke svar.

Kom med spark

I åpne Twitter-innlegg ga han imidlertid kommentarer: Han kommenterte enkelte «trender» innenfor løsepengevirus-miljøet, som hvilke programmer de skadelige kodene skulle programmeres i. Han indikerte også at han er selvlært som hacker:

- Jeg er ingen utvikler, tvitret «Wazawaka».

«Wazawaka» kom også med et lite spark til enkelte sikkerhetsnettsteder som i samme periode postet en video av en ung mann bak rattet på en Porsche – og påsto det var «Wazawaka» som kjørte. Problemet, som han selv peker på:

Sjåføren har fem fingre på venstrehånda.

«Wazawaka» tvitret:

- Hei folkens, hvorfor lot dere dere lure av Porsche-gåten? Jeg lot en venn kjøre den mens jeg var borte – takk Gud for at han har alle fingrene sine fortsatt.

Det er de færreste av de antatte hackerne som har holdt en like høy profil som «Wazawaka». La oss gå på restaurant i St. Petersburg.

UTSIKTEN: Dette er utsikten fra terrassen på Mariinsky-teateret. Like borti veien ligger restauranten som knyttes til et medlem av Revil. Foto: Alexander Demianchuk / Reuters / NTB
UTSIKTEN: Dette er utsikten fra terrassen på Mariinsky-teateret. Like borti veien ligger restauranten som knyttes til et medlem av Revil. Foto: Alexander Demianchuk / Reuters / NTB Vis mer

Kunstnernes møtested

På et travelt gatehjørne, like ved det sagnomsuste Mariinsky-teateret i sentrum av St. Petersburg, ligger det en liten restaurant.

«Stengt permanent», får du beskjed om hvis du søker den opp på nettet nå. Det virker å være synd: Anmeldelsene på nett har et snitt på 4,6 av 5 mulige poeng. Gjestene skrøt av både god mat med en touch av Middelhavet og en mangfoldig vinliste.

På sin nå nedstengte nettside, skrøt restauranten av et rikt utvalg viner fra både Burgund, Rioja og Toscana. Eget lekerom for barna. Og hevder å ha kjendiser fra teatermiljøet på gjestelista:

SPISEGJEST: Ralph Fiennes (t.h.) er en av prominensene som skal ha tatt for seg av bordets gleder på den antatte hacker-restauranten i St. Petersburg. Her med Meryl Streep ved et annet restaurantbord. Arkivfoto: NTB
SPISEGJEST: Ralph Fiennes (t.h.) er en av prominensene som skal ha tatt for seg av bordets gleder på den antatte hacker-restauranten i St. Petersburg. Her med Meryl Streep ved et annet restaurantbord. Arkivfoto: NTB Vis mer

«Vi er restauranten der ballerinaene fra Mariinskij-teatrene går. Hvis du bare en gang spiser biff tartar eller gjørs med rødbet hos oss, vil du gjøre som balletdanserne og komme hit gang på gang. (...) Musiker Sergey Shnurov, komponist Rodion Shchedrin og skuespillerne Sergey Bezrukov og Ralph Fiennes er blant berømthetene som kom til oss for å spise middag.»

Restauratøren

To kamerater sto bak den nå nedlagte restauranten, ifølge opplysninger fra det russiske selskapsregisteret. Ifølge russiske dokumentlekkasjer skal en av dem ha vært et medlem av hackergruppa Revil.

Revil har i Norge angrepet blant annet Vard – rederiet som lager E-tjenestens spionskip.

RESTAURATØREN: Han skal ha drevet et IT-selskap og en fin restaurant - og vært med i en hackergruppe. Foto: Privat
RESTAURATØREN: Han skal ha drevet et IT-selskap og en fin restaurant - og vært med i en hackergruppe. Foto: Privat Vis mer

Tidligere skal han ha brukt en del tid på å spille krigsspill på nettet. Da han ble arrestert var restauratøren, ifølge russiske medier, en velstående ung mann. I tillegg til det fasjonable serveringsstedet, skal han også ha drevet et IT-selskap sammen med faren til medeieren i restauranten.

Dagbladet har gjentatte ganger forsøkt å få en kommentar fra den russiske advokaten Igor Vagin, som representerer en rekke antatte Revil-medlemmer - blant dem restauratøren i St. Petersburg. Advokaten har bekreftet at han har fått våre spørsmål, og har også sagt at han skal svare på dem. Men tross gjentatte purringer har svarene uteblitt. Dagbladet har også søkt restauratøren direkte - uten hell.

Han er bare ett eksempel på at de antatte medlemmene av Russlands mest beryktede hackergrupper, i mange tilfeller har jobber som ikke matcher ideen om Red Bull-drikkende einstøinger i joggebukse.

Men i januar hadde presidentene i USA og Russland snakket sammen. Ballettdanserne fra Mariinsky-teateret måtte finne et nytt sted å spise.

HØYT NIVÅ: Den kjente russiske balletdanseren Diana Vishneva i aksjon på Mariinsky-teateret i St. Petersburg. Danserne herfra skal ha vært stamkunder på en restaurant der en av driverne skal ha vært tilknyttet en beryktet hackergruppe. Foto: Valentin Baranovsky / AFP / NTB
HØYT NIVÅ: Den kjente russiske balletdanseren Diana Vishneva i aksjon på Mariinsky-teateret i St. Petersburg. Danserne herfra skal ha vært stamkunder på en restaurant der en av driverne skal ha vært tilknyttet en beryktet hackergruppe. Foto: Valentin Baranovsky / AFP / NTB Vis mer

Etter flere store dataangrep mot amerikanske og internasjonale selskaper, krevde den amerikanske presidenten Joe Biden i fjor sommer at hans russiske kollega Vladimir Putin satte en stopper for angrep fra russiske hackergrupper.

I januar i år gikk så det russiske hemmelige politiet FSB til aksjon. 14 ble arrestert. Ifølge russiske medier er flere av de pågrepne studiekompiser fra St. Petersburg, som møttes da de bodde i samme hybelkompleks.

AVSLØRINGER: Hackergruppa Revil slo til mot skipsverftgiganten Vard i pinsen 2020 - nå tar Kripos nye etterforskningsskritt etter avsløringer fra Dagbladet og Kommunal Rapport. Video: FSB via Twitter, NTB. Foto: NTB og skjermdump fra Happy Blog. Reporter: Magnus Paus Vis mer

Flere av dem fikk forlenget varetekt til september. Det hindret ikke Revil i å bli operativ igjen, og gruppa har så seint som i november blitt knyttet til nye angrep.

Til avisa Kommersant har Igor Vagin tidligere foreslått at de antatte Revil-medlemmene skulle samarbeide med russiske myndigheter og bruke hacker-egenskapene sine, og informasjonen de hadde tilegnet seg, i statlig henseende.

Gode jobber

Myten om den ensomme datanerden styrkes ikke av Dagbladets gjennomgang av de mistenkte hackerne:

- Den nevnte restauratøren fra St. Petersburg.
- En selvstendig næringsdrivende.
- En mellomleder i offentlig sektor.
- En produktutvikler.
- Et tidligere idrettstalent med kulturelle interesser.
- En shippingutdannet levemann, med yrkeserfaring fra et bettingfirma og en forkjærlighet for vannpiper og champagne.

SHIPPING: På dette klassebildet fra et russisk shippingakademi, står en av de antatte hackerne blant elevene. Foto: Privat
SHIPPING: På dette klassebildet fra et russisk shippingakademi, står en av de antatte hackerne blant elevene. Foto: Privat Vis mer

Med andre ord: flere av de antatte hackerne, har betrodde yrker i til dels store og velansette virksomheter. Det samme er tilfelle med medlemmer av hackergruppa Killnet, som Dagbladet intervjuet tidligere i år. En av dem, som har en høy stilling i et stort firma i Russland, viste Dagbladet hvordan han hacket for Killnet fra mobilen mens han var på sin «hvite» jobb. Ingen av de nevnte antatte medlemmene av Revil og Conti har svart på Dagbladets henvendelser.

TERMUX: Her logger Killnet-hackeren inn, hevder han overfor Dagbladet. Han har selv sendt bilde av telefonen sin.
TERMUX: Her logger Killnet-hackeren inn, hevder han overfor Dagbladet. Han har selv sendt bilde av telefonen sin. Vis mer

Et hyppig stilt spørsmål er hvorvidt det er noen forbindelse mellom hackergruppene og russisk etterretning og forsvar. Hva kan lekkasjene si oss om hvorvidt hackerne har militær bakgrunn?

Etterretningstjenesten

I hacker-verdenen er utgangspunktet at målet er å bli rik – punktum. Politisk aktivitet har vært en sjeldenhet. Derfor vekket det oppsikt da Conti i februar sendte ut en melding på det mørke nettet, der de åpent erklærte sin støtte til Russlands invasjon av Ukraina.

I det lekkede materialet fra Conti går det imidlertid fram at det er motstridende syn på invasjonen internt i den kriminelle gruppa. Sikkerhetsselskapet Hold Security har publisert korrespondanse der hackeren Skippy skriver:

- Ting vil endre seg når det brenner bål på Den røde plass. (...) Kanskje Kreml til slutt går opp i flammer.

«Skippy» antas, ifølge en lekkasje på Twitter, å være i gruppas team som forhandler med ofrene for å få dem til å betale løsepenger. Contis problem var at flere av gruppas hackere var ukrainere. Som hevn, lekket en av disse store mengder intern informasjon.

På nett ble dokumentene kjent som «Conti Leaks». Slik Dagbladet har omtalt tidligere, inneholdt disse en rekke indikasjoner på kontakt mellom Conti og etterretningstjenesten GRU.

HACKET: I desember 2020 ble Hurtigruten angrepet av ukjente hackere. Dagbladet kan nå avsløre hvem som sto bak angrepet. Hackerne er fortsatt på frifot. Video: Britisk politi. Reporter: Marthe Tveter Gjønnes. Vis mer

Militær erfaring

Dagbladet kan i dag avsløre at også flere av de antatte medlemmene av hackergruppene skal ha flere år bak seg i det russiske forsvarsapparatet.

«Begemot» er ett av kallenavnene en erfaren IT-frilanser fra St. Petersburg antas å bruke når han opererer sammen med Conti. Hans navn og e-postadresse dukker opp i en rekke lekkede Conti-meldinger, som Dagbladet har sett.

«Begemot» har ikke svart på en rekke henvendelser fra Dagbladet, men skal være en fri mann - og på utkikk etter nye oppdrag. For bare noen uker siden redigerte han profilen sin på en stor rekrutteringsside, viser historikken på siden.

JOBBJAKT: Den antatte Conti-hackeren «Begemot» har vært på utkikk etter hvite datajobber inntil nylig. Her fra en rekrutteringsprofil.
JOBBJAKT: Den antatte Conti-hackeren «Begemot» har vært på utkikk etter hvite datajobber inntil nylig. Her fra en rekrutteringsprofil. Vis mer

Profilen er krydret med rosende ord fra tidligere kolleger – det følgende er bare ett eksempel:

«Veldig teknisk dyktig. Løste et komplisert problem på bare noen få timer, som vårt team hadde brukt dager eller uker på.»

På en av nettprofilene oppgir «Begemot» selv at han har erfaring fra det russiske forsvaret. Det gjør også en antatt kollega av ham hos Conti – kjent under pseudonymet «elvira».

Han oppgir selv på en rekrutteringsside at han tjenestegjorde som dataanalytiker i det russiske forsvarsdepartementet i over fem år - fram til han var ferdig i mars i fjor. Også en av de arresterte i Revil-saken har ifølge russiske medier flere år bak seg i det russiske forsvaret - og utdannelse fra russisk militærakademi.

Heller ikke han har svart på Dagbladets henvendelser.

PS: Conti, gruppa med forbindelser til russisk etterretning og to antatte medlemmer med militær erfaring, angrep i mars et norsk selskap med forbindelser til forsvarssektoren i Norge. Imenco leverer utstyr til norske jagerfly og missiler, og ble hacket av Conti 28. mars. Rune Bringedal, daglig leder i Imenco, har understreket overfor Dagbladet og Kommunal Rapport at militær-relaterte opplysninger ikke kom på avveie.

PPS: Telefonnummeret til restauranten i St. Petersburg er dødt. I det russiske selskapsregisteret står det at restauranten er lagt ut for salg.

Prosjektet er støttet av Dagbladets stiftelse.

Vi bryr oss om ditt personvern

Dagbladet er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer