Leter etter nettspioner fra Øst-Europa

I Sverige og England er det oppdaget spion-trojanere, men her i Norge kan ikke myndighetene oppdage slike nettspioner.

Den største sikkerhetstrusselen er etter hvert blitt trojanere som avlytter det som tastes inn, og oversender innhold til hackeren. Slike trojanere ankommer som uskyldig utseende vedlegg i e-post, og forsøker å snappe opp passord til bankkontoer.

I England i fjor sommer begynte det å dukke opp trojanere som leter etter andre typer nøkkelord. De er bare spredd til noen få brukere i forsvarsindustri og enkelte offentlige institusjoner. Spion-trojanerne forsøker å skaffe seg bruker-id og passord til e-postkontoen til brukeren og er altså interessert i informasjon, ikke penger. E-postmeldingene er utformet slik at mottakerne tror det er legitime henvendelser fra kollegaer eller sjefer.

Denne nye typen er altså ikke masseutsendt, men rettet inn mot svært smale målgrupper.

Nylig offentliggjorde Försvarets Radioanstalt i Sverige en rapport om at det samme er begynt å skje rundt i svensk næringsliv. Blant annet skal Saab, som både lager biler og jagerfly, være rammet.

Försvarets Radioanstalt (FR), som har ansvaret for elektronisk etterretning i Sverige, mener at sporene peker mot nettadresser i Russland og Romania. FR-sjef Ingvar Åkesson hevder at det er klart at utenlandske etterretningsorganisasjoner, ikke kriminelle som står bak angrepene. I USA har flere tidligere pekt mot Kina uten at dette har vært bevist.

Men om myndighetene her i Norge også har oppdaget tilsvarende aktivitet vil ikke Nasjonal Sikkerhetsmyndighet (NSM) svare på.

Det skyldes trolig primært at spion-trojanerne avslører et hull i det norske såkalte VDI-systemet.

Det var digi.no som i 2000 avsløret at myndighetene hadde utplassert utstyr i datanettet til en rekke norske institusjoner og bedrifter "av nasjonal viktighet". Meningen er å se ikke bare hacker og DOS-angrep, men mønstre i angrep mot mange norske nettsteder.

Men VDI-systemet fanger ikke opp utgående trafikk, forteller Christophe Birkeland, avdelingsdirektør for VDI og NorCert til digi.no.

– Vi har vært kjent med problemstillingen en stund or regner med at denne type aktivitet også foregår her i Norge. Vi arbeider derfor med en justering av VDI-systemet, forteller han til digi.no.

Birkeland påpeker at det må spesielle verktøy og metoder til for å avsløre spion-trojanerne. Når de bare er spredd til noen få individer, skaper endrer de ikke trafikkmønstre og dukker vanligvis ikke opp signatur-filterne i vanlige sikkerhetsløsninger.

Han forteller at trojanerne der er snakk om ikke bare overvåker e-postkontoen til brukere den har klart å infisere. Trojaneren klarer også å søke igjennom maskinen etter stikkord i dokumenter og oversender dokumentet til mottakere i Øst-Europa.

Hvor mange bedrifter og organisasjoner som nå deltar i VDI-samarbeidet vil ikke Birkeland si noe om, men han forteller at man har skapt et representativt utvalg av samfunnsviktige organisasjoner og bedrifter. Det er ingen tvang, de som ønsker å være med kjøper selv inn nettverksutstyret som kan rapportere inn trafikkmønstre til NSM.

digi.no får for eksempel vite at ikke alle gass- og oljeselskapene er med – man har gjort et utvalg for å ikke skape for mye data.

Og dette avslører en annen svakhet i samarbeidet. For hittil er det bare deltakerne i VDI-samarbeidet som har blitt advart mot spion-trojanerne. Birkeland forteller at NSM har bedt VDI-deltakere se etter spion-trojanere, men han avslår alle spørsmål fra digi.no om noen her i Norge har funnet e-post med spion-trojanere eller har oppdaget infeksjoner.

På denne undersiden hos NSM kan du lese mer om VDI-systemet.

Til toppen