DATAANGREP

Omfattende dataangrep mot Norge og flere andre land: Sensitive data skal være på avveie

Kyberangrepet med navnet «Cloud Hopper» har ført til tap av sensitive data, advarer svenske sikkerhetsmyndigheter.

Svenske sikkerhetsmyndigheter sier at sensitive data kan være på avveie. Det ber blant annet sykehussektoren om å vurdere sine sikkerhetstiltak fremover.
Svenske sikkerhetsmyndigheter sier at sensitive data kan være på avveie. Det ber blant annet sykehussektoren om å vurdere sine sikkerhetstiltak fremover. Bilde: Shutterstock
5. apr. 2017 - 12:57

Et omfattende angrep rettet mot flere store IT-selskaper i Europa har blitt avslørt, advarer svenske sikkerhetsmyndigheter (MSB).

Sensitiv informasjon skal være på avveie, konstaterer MSB videre.  

Norge skal være et av landene som er utsatt sammen med blant annet Sverige, Finland, Storbritannia og Frankrike. Kyberangrepet har fått navnet «Cloud Hopper». Aktøren bak blir omtalt som en «APT10»-gruppe.

Statlig sponset

Advanced Persistant Threat (APT) er et begrep som brukes om avanserte trusselaktører, typisk statlig sponsede hackergrupperinger og fremmede lands etterretning.

– Etter en samlet vurdering av etterforskningen peker pila i retning av Øst-Asia og Kina. Vi kan ta feil da angriperne kan ha plantet spor for å få oss til å trekke feil konklusjoner, men summen av bevisrekken peker mot Kina, sier sikkerhetsrådgiver Jan Henrik Schou Straumsheim i PwC til digi.no. Selskapet står bak «Cloud Hopper»-rapporten. 

Startet så tidlig som i 2014

Angrepet har sannsynligvis pågått allerede siden 2014, men norske og svenske sikkerhetsmyndigheter så en topp i 2016.

Nasjonal sikkerhetsmyndighet har kjent til «Cloud Hopper» i rundt seks måneder.

 – NorCERT ble gjort kjent med «Cloud Hopper» på mandag, og jobber med å kartlegge alle dataene rundt saken. Så langt NSM vet er de hendelsene som er nevnt i PwCs rapport håndtert og under kontroll, sier kommunikasjonsdirektør Mona Strøm Arnøy i NSM til digi.no. 

Økonomisk vinning

Ifølge svenske sikkerhetsmyndigheter rettet angrepet seg mot selskaper som driver med IT-infrastruktur for ulike bedrifter, myndigheter og organisasjoner. 

Jan Henrik Schou Straumsheim jobber som sikkerhetsrådgiver i PwC. Han har bakgrunn som sikkerhetsrådgiver i Mnemonic og offiser i Forsvaret. <i>Foto: ©2015 Stig Jarnes</i>
Jan Henrik Schou Straumsheim jobber som sikkerhetsrådgiver i PwC. Han har bakgrunn som sikkerhetsrådgiver i Mnemonic og offiser i Forsvaret. Foto: ©2015 Stig Jarnes

– Det er svært interessant at angriperne har valgt å bryte seg inn hos driftsleverandørene som et ledd i innsankingen av informasjon. Konsekvensene dette medfører for virksomhetene er at de kan miste ulike konkurransefortrinn, sier Schou Straumsheim i PwC til digi.no og fortsetter:

– Det kan være tap av strategiplaner, forhandlingsposisjoner, forskning- og utviklingsarbeid. I utgangspunktet er dette spionasjeaktivitet for å støtte opp under ender egen utvikling, eller for å sikre egen økonomisk vinning.

Kommet seg inn på lokalt nett

APT10-gruppen skal ha klart å komme seg inn på de lokale nettverkene til flere store tjenesteleverandører, ifølge MSB.

Svenske myndigheter skriver videre at store mengder data skal være på avveie.

– Aktørene som er rammet i Norge har kontroll og kompetanse til å håndtere dette. Kort status er at dette «Cloud Hopper»-angrepet blir håndtert av oss og andre tekniske miljøer. Det er ikke så kritisk som det kan se ut, konstaterer Strøm Arnøy.

Kommunikasjonsdirektøren sier videre at NSM har fulgt med på APT10-gruppen og deres metoder i lengre tid, og har dermed satt i gang effektive tiltak for å kvele angrepsmetodene.

Økt risiko for tap av data

– NSM overvåker kontinuerlig gruppens aktiviteter, forsikrer kommunikasjonsdirektøren videre.

MSB skriver at på grunn av mye tjenesteutsetting av kritisk infrastruktur de siste årene medfører det økt risiko for tap av kritiske data. 

Svenske sikkerhetsmyndigheter skriver videre at telekommunikasjonsselskaper, sykehus energi og forskning er virksomheter som har blitt rammet. 

Kommet seg inn ved hjelp av nettfiske

Helse Sør-Øst er nå i gang med å tjenesteutsette sin infrastruktur. All datalagring skal foregå i Norge. Helseforetaket påstår at tjenesteutsettingen ikke medfører en økt risiko for tap av sensitiv pasientdata.

Angriperne har benyttet sosial utnyttelse som angrepsform. Gruppen bak angrepet har lagt ned store ressurser for å kartlegge målene og deres virke og senere benyttet seg av nettfiske via epost.

MSB mener angrepet har betydelig risiko for mange svenske organisasjoner, og de oppfordrer svenske bedrifter til å gå i gang med omfattende tiltak for å beskytte seg mot videre angrep.  

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.