PST mener aktører tilknyttet russisk etterretning står bak datainnbrudd

Stortinget politianmeldte datainnbruddet 1. september, og Politiets sikkerhetstjeneste har gjennomført en intensiv etterforskning.

Etterforskningen viser at nettverksoperasjonen som Stortinget ble rammet av, er en del av en større kampanje nasjonalt og internasjonalt, som har pågått i alle fall siden 2019.

Det er sannsynligvis cyberaktører som i åpne kilder omtales som APT28 og Fancy Bear, opplyser PST.

Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester (GTsSS).

Lyktes ikke trenge inn i datasystemene

Hackerne brukte en fremgangsmåte som kalles «brutforcing», for å skaffe seg gyldige brukernavn og passord.

– Denne teknikken har blitt brukt mot et høyt antall brukerkontoer hos Stortingets e-postsystemer og har resultert i at aktøren klarte å skaffe seg brukerpassord, som igjen kunne brukes til å logge seg inn på et mindre antall kontoer, skriver politiadvokat Anne Karoline Bakken Staff i PST.

Det er avdekket at det er hentet ut sensitivt innhold fra en del av de berørte epostkontoene.

Stortinget har tidligere opplyst at gradert informasjon ikke har kommet på avveie. Etterforskningen viser imidlertid at aktørene har forsøkt å bevege seg videre inn i Stortingets datasystemer.

– Informasjonen analysene baserer seg på, tyder på at forsøkene ikke har vært vellykket, skriver PST.

Les også: Regjeringen beskylder Russland for datainnbrudd

Usikre passord

Regjeringen gikk tidligere i høst offentlig ut og anklaget Russland for å stå bak datainnbruddet. Utenriksminister Ine Eriksen Søreide (H) omtalte det som «en alvorlig hendelse som rammer vår viktigste demokratiske institusjon».

I etterkant av innbruddet gjennomførte Stortinget sin egen gransking av hva som hadde skjedd. PSTs etterforskning bekrefter funnene som der kom fram: Usikre epost-passord ble brukt av både stortingsrepresentanter og -ansatte, både i jobb og privat. Vanlige sikkerhetsmekanismer, som 2-faktor-autentisering og innstillinger, kunne ha avverget innbruddet.

PSTs mål har vært å avklare om det som har skjedd, innebærer brudd på straffelovens paragraf om etterretningsvirksomhet mot statshemmeligheter. Videre forsøkte PST å finne ut av hvem som sto bak, og om noen kan holdes ansvarlig i henhold til norsk straffelov.

Etterforskerne har ikke funnet tilstrekkelige opplysninger til at det kan utferdiges en tiltale, og påtalemyndigheten har derfor besluttet at etterforskningen avsluttes.

Les også: Omfattende IT-angrep mot Stortinget

Viktig mål

Utenriksministeren har tidligere gitt uttrykk for bekymring over at økt bruk av digitale løsninger gjør at trusler mot Norge flyttes over på digitale flater. PSTs etterforskning støtter opp om dette.

– Som Norges lovgivende forsamling utgjør Stortinget et sterkt symbolmål, og er en av de viktigste bærebjelkene for integriteten til norsk suverenitet og til de demokratiske prosessene mellom norske folkevalgte, skriver politiadvokaten.

– I tillegg forvalter Stortinget helt konkrete, til dels sensitive verdier som er kritisk for Norge, og som er av stor interesse for flere fremmede stater sine etterretningstjenester, skriver hun.