Forsvaret kan ikke utelukke at sivile underleverandører har brukt hacket programvare

Det var mandag 14. desember at nyheten om det som blir omtalt som et av de mest sofistikerte angrepene på flere år, begynte å spre seg. Flere amerikanske medier rapporterte om angrepet og amerikanske myndigheter har bekreftet at flere departement i USA er rammet.

Cyberforsvaret sier til Forsvarets forum at de umiddelbart sjekket om Forsvaret var rammet.

– Vi hadde en gjennomgang av hendelsen i forrige uke, og meldingen fra våre folk er at vi ikke er berørt og ikke bruker programvaren som er kompromittert, sier kommunikasjonssjef i Cyberforsvaret Knut Helge Grandhagen.

Angrep en tredjepart

Hackerangrepet har fått navnet Sunburst.

– Dette er et klassisk verdikjedeangrep hvor man går inn på et svakt punkt på en tredjepartsvirksomhet, sier Grandhagen.

Angrepet ble avslørt etter at sikkerhetsselskapet FireEye fortalte at hackere hadde brutt seg inn og stjålet selskapets eget hacker-verktøy. Det klarte de å gjøre fordi FireEye bruker en programvare som heter Orion – som igjen er utviklet av det amerikanske selskapet SolarWinds. Søndag 13. desember publiserte FireEye en detaljert beskrivelse av hvordan hackerne har brukt Orion som en trojansk hest for å infiltrere en rekke selskaper og departementer hele verden over.

Grandhagen forteller videre at de fortsatt følger med på situasjonen og har en dialog med de bedriftene som samarbeider med Forsvaret, for å finne ut om Forsvaret er truffet indirekte.

– Vi har en rekke leverandører vi er helt avhengig av, såkalte strategiske samarbeidspartnere. Hvorvidt de har brukt denne løsningen og hvorvidt de er rammet av dette, er et lengre arbeid å gå gjennom, forteller Grandhagen.

Han sier det mest sannsynlig uansett ikke vil treffe Forsvarets kjernevirksomhet - operasjonene - men at logistikkforsyninger er ett eksempel på områder som kan bli påvirket.

• Tidligere i år ga PST en russisk hackergruppe skylden for angrepet mot Stortinget: Les mer om hackergruppen Fancy Bear i denne saken.

Ventet lenge

Hackerangrepet skal ifølge FireEye ha pågått siden mars, og ble utført ved at hackerne plantet en skadevare i en programvareoppdatering. Dette har gjort at de kunne operere ubemerket i flere måneder.

– Det er verdt å merke seg den tålmodigheten aktøren har utvist. Det reduserer risikoen for å bli oppdaget. Da har man alle indikasjoner på at det er en trusselaktør som vet hva de driver med, sier Grandhagen.

Amerikanske sikkerhetseksperter og enkelte toppolitikere, inkludert USAs justisminister William Barr, har utpekt Russland som syndebukk, men Reuters har snakket med eksperter som mener det er for tidlig å si hvem som står bak. USAs president Donald Trump har fått kritikk fordi han har pekt ut Kina som aktøren bak hackerangrepet.

På SolarWinds hjemmeside står det at de har 300.000 kunder verden over. I USA inkluderer kundelisten blant annet samtlige grener i det amerikanske forsvaret, Pentagon, NASA, NSA (the National Security Agency), Utenriksdepartementet, Justisdepartementet og Det hvite hus.

• Jobben til svenske Stina er å beskytte det amerikanske forsvaret mot cyberangrep.

Norske kunder

I Norge har NSM og en sikkerhetsekspert bekreftet overfor digi.no at et titalls virksomheter i Norge er berørt, deriblant noen definert som kritisk infrastruktur.

Norges største forhandler av hackede Solarwinds fjernet kundelisten fra internett, men Digi.no har brukt arkivtjenesten Waybackmachine og hentet ut kundelisten som inneholdt kunder som både politiet og Statistisk sentralbyrå.

Telenor er også oppført på listen.

Må stille krav

Grandhagen mener Forsvaret ikke har hatt denne type problemstilling tilstrekkelig oppe på dagsorden. Men han tror det vil få et større fokus fremover. For selv om det har vært trukket frem som en teoretisk utfordring tidligere, får det hele en mye større aktualitet når man ser det utført i praksis, mener Grandhagen.

– Det første man må gjøre er å erkjenne utfordringen. Så må man få på plass et system hvor Forsvaret stiller krav til de som har kontrakter med Forsvaret - om sikkerhetsnivå og hvordan de rapporterer til Forsvaret hvis de blir rammet av slike hendelser, forteller han.

Ifølge nyhetsbyrået AP kan det komme til å ta måneder å fjerne hackernes tilgang til de amerikanske nettverkene.