Slåss mot trojanere, «spear phishing» og vannhull

Denne saken ble opprinnelig publisert i papirutgaven av Forsvarets forum utgave 4, 2013. Nå publiseres den for første gang på nett i anledning Forsvarets forums julekalender 2020.

Dette er luke 11 i Forsvarets forums julekalender. Les flere luker lengre ned i artikkelen.

***

På skjermen popper en svær matrise opp. Tallene står to og to. 26 år gamle Fredrik Fjeld skummer innholdet, som om det var en tekst. Så taster han noen kommandoer og en ny matrise dekker skjermen – helt lik den forrige, men med nye tall.

– Jeg leter etter mønster, sier han.

En maskin er angrepet. Den tilhører en større norsk høyteknologisk bedrift. Maskinen er «kompromittert», sier Fjeld. Nå prøver fienden å spre skadevaren, resten av bedriften skal også «infiseres».

Samtidig jobber avdelingsingeniør Fjeld og NorCERT – cybersenteret til Nasjonal sikkerhetsmyndighet (NSM) – på spreng for å avsløre hvordan de som står bak, opererer.

– Ser du de tallene?

Fjeld peker på en tallkombinasjon. Matrisene er tallkodene i internettadressen som skadevaren sendes med.

– De går igjen litt for mange ganger. Jeg tror det skal stå noe annet der.

Hver dag

Det spres stadig mer virus på norske nettsider, skriver cybersenteret i sin siste kvartalsrapport. Vesentlig flere norske datamaskiner er under kontroll av kriminelle, og de alvorligste hendelsene dreier seg om forsøk på eller mistanke om spionasje. Særlig utsatt er sektorene forsvar, olje og gass, energi, myndigheter og høyteknologisk industri.

– Trusselbildet vokser raskere enn vi rekker å iverksette tiltak, sa NSM-sjef Kjetil Nilsen da det nye nasjonale cybersenteret på Brynseng i Oslo ble åpnet i fjor sommer.

Senteret er tverrsektorielt. Derfor sto både daværende forsvarsminister Espen Barth Eide og justisminister Grete Faremo for åpningen.

– Vi er under angrep hver eneste dag, sa Eide.

– Den største utfordringen er å få folk til å forstå hvor alvorlig dette er.

Det samme sa etterretningssjef Kjell Grandhagen da han la frem Etterretningstjenestens åpne vurdering i begynnelsen av mars. Cybertrusselen var en av to utfordringer som ble spesielt vektlagt. Den andre var internasjonal terrorisme.

– Hovedutfordringen er spionasje, sa Grandhagen til Forsvarets forum.

– Men cybertrusler kan også ramme nasjoner. Ta for eksempel sabotasje av kraftforsyninger eller en militær kommandokontroll, da kan du hindre myndigheter å kommunisere i en krisesituasjon. Cyberangrep rammer det man i stor grad ikke ser, sa generalløytnanten.

Og mange er i ferd med å bli gode på cyberspace, ifølge etterretningssjefen. Russland og Kina satser stort. I februar beskyldte USA Kina for å stå bak en rekke dataangrep. I tillegg har Al-Qaida for lengst lansert begrepet cyber-jihad.

– Det har blitt sagt at vår neste 22. juli kan komme i det digitale rom. Det ser jeg ikke bort fra, sa Grandhagen.

Listen over potensielle angripere er lang: statlige etterretnings- og sikkerhetstjenester, tradisjonelle militære motstandere, globale næringsbedrifter, terrorist- og ekstremistgrupper og organiserte hackergrupper.

– Flere stater utvikler avanserte skadevarer som har et spisset mål om å ødelegge infrastruktur, forstyrre viktige samfunnsaktiviteter eller påvirke beslutnings- og informasjonsprosesser, skriver Etterretningstjenesten i sin vurdering.

Estisk varsel

I 2007 stoppet store deler av Estland opp. Parlamentet, departementer, sentrale banker, aviser og TV-kanaler ble angrepet – over en periode på tre uker. Ingen nyhetskanaler

fungerte, nettbanker var nede. Offentlig informasjon uteble. Det var et såkalt tjenestenektangrep.

Tusenvis av «infiserte» maskiner forsøkte å få tilgang til en nettside samtidig. Det

førte til at nettsiden krasjet. Så gikk maskinene løs på en ny side. Hvem sto bak? De aller fleste peker på Russland.

– Vi er ikke så opptatt av hvem som angriper, sier Fredrik Fjeld.

– Vi ser jo visse trekk, det er klart. Men vi vet også hvor lett det er å kjøre et dataangrep gjennom et annet land enn de selv er i. Da er vi mer interessert i hvilke verktøy de bruker – og hva de angriper.

I operasjonssenteret på Brynseng viser en skjerm på en sidevegg hvor dataangrep utføres, blant topp fem er Kina og Russland.

– Det er bare de som er på besøk, som er opptatt av den skjermen. Vi bruker den ikke, sier Fjeld.

Han jobber dagvakt – fra åtte til fire.

Cybersenteret stenger klokka ti, men på sikt skal det bemannes hele døgnet. Nasjonal sikkerhetsmyndighet er del av de hemmelige tjenestene, og de færreste som kjører forbi – på vei gjennom Oslo, for senteret ligger tett på E6 – vet at i den hvite lavblokka sitter noen av de skarpeste datahjernene i landet. At de er der, er ikke hemmelig. Det er hva de jobber med, som skjermes. Derfor er de også vanskelige å få tilgang til.

Det tok fem måneder fra Forsvarets forum sendte den første forespørselen til vi fikk lov til å være en dag i det aller hemmeligste: operasjonsrommet. Betingelsene er klare: Vi navngir ingen kunder og intervjuer bare Fredrik Fjeld.

– Jeg tenker sjelden på at jeg jobber i en hemmelig tjeneste, men det er fint å føle at jeg gjør en innsats for landet mitt, sier han.

– Og for å si det sånn: Jeg skriver ikke om jobben min på Facebook.

I dag er han en av tre operatører på jobb. Det er plass til seks. Foran seg har Fjeld tre skjermer, men løfter han blikket, ser han rett på en skjermvegg. Der står dialogen operatørene har med samarbeidspartnere og en oversikt over sensorene som cybersenteret bruker. Det lyser rødt ved et departement.

– Sikkert en server som er nede, sier Fjeld og ringer for å sjekke.

Han har rett, den skal snart være oppe igjen. Til høyre på skjermveggen henger et pulsbarometer – fra en til fem. I dag er pulsen på en. For ei uke siden sto den på to.

– Jeg har jobbet her i to år. Jeg har aldri opplevd at den har vært på mer enn tre.

Ping og pong

I 2012 registrerte NorCERT mer enn 8000 saker. 46 ble definert som svært alvorlige.

Det var mer enn dobbelt så mange som i 2011.

– Noen angrep går over flere måneder og består av en rekke hendelser. Eller slag, sier Fredrik Fjeld.

– Jeg kaller det slag.

– Ping.

På chattekanalen kommer en melding fra et norsk departement.

– Pong, svarer Fjeld.

Ping og pong er hacker-terminologi. Fjeld chatter med kunden.

– Mulig varsel om «spear phishing», sier han.

Det viser seg at brannmuren til departementet har stanset et dataangrep som er sendt som

vedlegg.

– Jeg spør om de kan sende vedlegget.

– Hva er «spear phishing»?

– Et e-post-angrep. Mottakeren oppfordres til å trykke på et dokument, det kan være en word- eller PDF-fil. Så lastes et program opp i bakgrunnen. Som regel går det så fort at du ikke får med deg at det skjer en gang. «Spear phishing» er ganske vanlig.

– Er det andre type dataangrep som går igjen?

– Ja, vannhullangrep. Uttrykket er hentet fra Afrika. Byttet lokkes til et vannhull, så blir det angrepet. Slik fungerer det i cyberspace også. Du går til et populært nettsted som den som står bak vet at du sannsynligvis vil besøke

– Hva er egentlig et dataangrep?

– Et ondsinnet forsøk på å tilegne seg informasjon fra andre.

– Må det være ondsinnet?

– Det kommer an på hvilken side du vil være på.

– Hva er en trojaner?

– Noe som utgir seg for å være noe annet enn det er.

– Og hva er en dataorm?

– Et virus som sprer seg selv.

Løste koden

Fredrik Fjeld får en ny sak. En større norsk mediebedrift har oppdaget at en annonse de har publisert, inneholder skadevare. Fjeld chatter med bedriften.

– Typisk vannhullangrep, sier han.

Så går han tilbake til den «kompromitterte» maskinen i den høyteknologiske bedriften. Hvem som angriper, tenker han ikke på, sier han. Nå åpner han et dekrypteringsprogram og legger inn de to sifrene som gikk igjen så mange ganger.

Enkeltord popper opp i nettadressen.

– Dette var nesten litt for enkelt. Jeg trodde de skulle skjule seg bedre!

Nå skal Fredrik Fjeld lage en regel slik at lignende angrep stanses i fremtiden.

– Det er dette som gjør jobben min så spennende, sier han.

– Plutselig løser vi koden og skjønner hvordan fienden arbeider. Da blir det også lettere å forsvare seg.