Skadevaren som ble plantet for å stjele forretningshemmeligehter fra Telenor-sjefer var av den helt enkle typen, hvis vi skal tro Norman. IT-sikkerhetsselskapet mener å ha sporet hackerangrepene til en bande i India. (Bilde: Marius Jørgenrud)

Telenor hacket med «simple metoder»

Målrettet dataspionasje kommer fra India, ifølge Norman.

Angrepet mot Telenor der toppledere fikk jobb-pcene sine hacket, er del av en omfattende operasjon med røtter fra India.

Det slår det norske IT-sikkerhetsfirmaet Norman fast i en 40-siders rapport, som vekker interesse verden over.

Rapporten og hele kampanjen er døpt «Operasjon Hangover» etter et begrep som går igjen i skadevarens kildekode.

Dette er det første store tilfellet av organiserte hackerangrep og målrettet kyberspionasje fra India, mener de.

– Majoriteten av angrepene har vært rettet mot pakistanske interesser, både militæret og myndighetene. Vi vet også at folk i regjeringskontorene har vært infisert, sier analysesjef Snorre Fagerland i Norman til digi.no.

Pakistan og India er ikke akkurat venner, men Norman har ikke funnet bevis for at angrepene er sponset eller utført på ordre fra en nasjonalstat.

Analysesjef Snorre Fagerland i Norman Shark.
Analysesjef Snorre Fagerland i Norman Shark.

Derimot mener de at dataspionasjen er utført av private aktører med base i India. Disse selger trolig sine tjenester til høystbydende. Akkurat samme infrastruktur har vært benyttet til omfattende industrispionasje, inkludert den som rammet Telenor-sjefer, ifølge rapporten.

Analyse av involverte IP-adresser tyder på ofre i minst 12 land. Ifølge Norman har bakmennene benyttet seg av relativt enkle angrepsmetoder. Angrepene skal minst ha pågått i tre år og pågår fortsatt.

– Ikke noe supervåpen

Skadevaren som er brukt er hjemmesnekret. Fagerland beskriver den nærmest som simpel, men effektiv.

– Det er ikke noe supervåpen av typen Stuxnet. Skadevaren er nesten simpel. Det er ikke hyllevare, men selvlaget og basert på egen kode.

Hovedsaklig dreier det seg om vedlegg til epost, bestående av ondsinnet programvare utviklet med C++ eller Visual Basic, men også lenker som leder til forgiftede nettsteder. Koden skal ha utnyttet sårbarheter blant annet i Java, Microsoft Word og Internet Explorer.

– Sårbarhetene er fra 2010 til 2012. Ikke noe av dette er cutting edge, men pålitelig angrepskode som alltid vil virke i en viss prosent av tilfellene, mener analysesjefen.

Dette er «heavy stuff» sier F-Secures anerkjente sikkerhetsguru Mikko Hypponen i sosiale medier om avsløringene til Norman.
Dette er «heavy stuff» sier F-Secures anerkjente sikkerhetsguru Mikko Hypponen i sosiale medier om avsløringene til Norman. Bilde: Marius Jørgenrud

Norman har gransket selve skadevaren, og det de kaller statiske parametre, samt hva den gjør (dynamiske parametre). Videre har de avdekket en omfattende global infrastruktur av såkalte kommandoservere.

Kommandoserverne brukes dels for å ta imot stjålne data, men også for å kontrollere ofrenes pc-er og sende data eller oppdatert skadevare den andre veien.

– Fram til nå har vi avdekket minst 600 tilhørende domenenavn. Det er nokså massivt, sier Snorre Fagerland.

Rimelig sikre

Sikkerhetseksperter og selv norske kybermilitære framholder at det er svært vanskelig å avdekke opprinnelsen til kyberangrep. Hvordan kan Norman være sikre på at disse angrepene stammer nettopp fra India?

– 100 prosent sikre kan man aldri være, men vi er rimelig sikre. Det skyldes et sammenfall av mange indikasjoner. Det er gjennomført i nesten alt av skadevaren, inkludert navn og prosjektnavn. Så å si ingenting av kildekoden er kryptert. Vi ser det også på domenenavnene som har vært registrert.

Norman har også fanget opp spor fra personer med tilknytning til disse domenenavnene som har lagt ut meldinger på diverse nettfora, som også tilsynelatende har indisk opphav.

– Alt dette kan selvfølgelig være forfalsket, men i så fall har de vært veldig konsekvente, påpeker Snorre Fagerland.

Du må beskyttes mot deg selv

Når det gjelder å beskytte seg mot målrettede dataangrep, gir Norman-analytikeren et litt utradisjonelt svar, iallfall fra et selskap som lenge var kjent for å livnære seg nettopp på salg av antivirusprodukter.

Men det holder absolutt ikke å installere et eller annet produkt og tro at det alene er tilstrekkelig, hvis vi forstår ham rett.

– Generelt har vi funnet ut at det er vanskelig å gi noen enkeltløsning av typen «plugg inn dette produktet, så er du sikret for evig». Det fungerer ikke. Du må beskyttes mot deg selv.

Faren ligger i å tro at meldingen du får er OK. Fagerland tror undervisning og forståelse for hva man kan råke utfor hjelper mer enn mye annet.

– Det gjelder helt fra sentralbordet og opp til direktøren. Hvis du får noe på epost som virker litt rart, tilforlatelig men kanskje litt off, så bør du kanskje ikke åpne det.

    Les også:

Til toppen