SIKKERHET

Kripos mener å ha oppklart «Norges største datakrim-sak»

Kripos har funnet dem som sto bak løsepenge-angrepet mot Hydro. Det gjenstår å få domfelt de ansvarlige.

Hydro måtte tilbake til analog krisekommunikasjon da konsernet ble rammet av løsepengevirus i 2019. Nå er saken oppklart og gjerningspersonene trolig identifisert.
Hydro måtte tilbake til analog krisekommunikasjon da konsernet ble rammet av løsepengevirus i 2019. Nå er saken oppklart og gjerningspersonene trolig identifisert. Foto: Terje Pedersen / NTB
25. mai 2023 - 12:51

– Vi mener saken i det vesentligste er oppklart, i den forstand at vi i grove trekk vet hva, hvordan og hvem som sto bak. Men saken er likevel ikke ferdig. Domfellelse er målet. Vi jobber med å pågripe flere sentrale gjerningspersoner. Målet er å få sakene ført for retten i Ukraina og Sveits, sa operativ påtalejurist Knut Jostein Sætnan på Hydro-saken i Kripos under et seminar torsdag.

Hackerangrepet mot Hydro skjedde 19. mars 2019. Selskapet nektet å betale utpresserne løsepenger for å få tilgang til egne datasystemer, men det skulle koste selskapet 800 millioner kroner å rydde opp. Fire år senere kan norsk politi, etter solid støtte fra internasjonalt samarbeid, legge fram et omfattende etterforskning.

Til NTB sier Sætnan at Kripos er innstilt på å følge en eventuell rettssak i Sveits.

– Ja, vi er innstilt på å være på plass der, men er litt mer avventende til en mulig rettssak i Ukraina, sier Sætnan etter seminaret.

Til sammen 56 mistenkte er så langt navngitt og kartlagt – blant dem pengevaskere, kryptovalutaaktører som i slike saker bidrar med miksing, veksling og utbetaling av kryptovaluta.

Flere tusen personer er arrestert etter at politiet gikk til aksjon mot Encrochat.
Les også

Kryptert meldingstjeneste ble stengt: Nå er flere tusen personer arrestert

Tror de vet hvem som sto bak

Politiet mener de har identifisert fem menn som faktisk gjennomførte selve angrepet. Det hadde pågått i tre og en halv måned da et infisert vedlegg i en epost rammet brutalt.

– Det er disse personene vi mener det er grunnlag for å få tiltalt for å ha utført angrepet, sier Sætnan.

Fremdeles etterforskes seks sentrale gjerningsmenn politiet forsøker å avdekke identiteten til. Sætnan sier dette kan være flere personer eller færre som har operert med ulike profiler på nettet.

I tillegg er en håndfull personer mistenkt for å ha medvirket, ved blant annet å ha levert tjenester, skadevare og infrastruktur som gjorde angrepet mulig å gjennomføre. Dette er personer «med en klar kriminell intensjon» som har hatt kontakt med de personene Kripos mener er sentrale i saken.

Rundt 24 millioner brukere mistet tilgang til sine mobiltjenester i flere dager fra 12. desember.
Les også

Russland lyktes med dataangrep mot Ukrainas største telekomselskap

Krevde løsepenger

Fire år etter at alarmen gikk hos Hydro på Vækerø og hos Kripos på Helsfyr, kunne Sætnan fortelle om den nitide etterforskningen som har ført til identifisering av en rekke antatte gjerningspersoner i Ukraina, samt én ukrainer bosatt i Sveits. Den spektakulære løsepenge-saken lammet all digital kommunikasjon og aktivitet i Hydro månedsvis våren og sommeren 2019.

– Dette startet i en av våre fabrikker i USA. Deretter har viruset spredt seg ut i organisasjonen og rammet flere deler av virksomheten både i USA og Europa, sa Hydros finansdirektør Eivind Kallevik til NTB samme dag som angrepet var et faktum.

Samtidig som løsepengeviruset krypterte filene i Hydros verdensomspennende datasystem, krevde gjerningspersonene løsepenger i bytte mot dekrypteringsnøkkelen. Beløpet skulle utbetales i Bitcoin. Størrelsen på det skulle Hydro-ledelsen få vite ved å kontakte gjerningspersonene.

Vis mer

Først i fjor høst kunne politiet overlevere krypteringsnøklene til Hydro. De var hentet ut av serverne til personen som var bosatt i Sveits.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA

– Det å vise at man ikke vil betale er det beste. Ut fra samtalelogger vi fant i beslag så vi at ser vi at en del cyberkriminelle tenker at selskaper i Nord-Europa betaler sjelden, sier Knut Jostein Sætnan.

Han forteller at avsløringen av nettverket avdekket at 200 IP-adresser i Norge var infisert med samme utpresservirus. Disse ble varslet og avvergende tiltak hindret at flere ble rammet.

Ukrainas største mobilselskap, Kyivstar, ble tirsdag rammet av et omfattende data-angrep. Bildet viser et av selskapets kontorer i Kyiv.
Les også

Ukrainas største teleoperatør utsatt for omfattende data-angrep

Ukraina var episenter

– Vi skjønte raskt at Ukraina var et episenter i denne saken, og at vi måtte komme oss dit for å komme oss videre i etterforskningen, sier Sætnan.

To og et halvt år etter angrepet mot Hydro aksjonerte ti tjenestepersoner fra Kripos 26. oktober 2021. Sammen med 45 utenlandske og et hundretalls ukrainske politifolk tok de seg inn på 14 adresser i Ukraina og en i Sveits.

Cyberenheten på Kripos, NC3, ledet etterforskningen, som har foregått i samarbeid med politiet i Frankrike, Storbritannia, Ukraina, samt USA, Nederland og Sveits. Aksjonen i oktober for to år siden resulterte i at Kripos fikk med seg 88 servere tilbake til Norge som skal analyseres i forbindelse med etterforskningen.

– Saken er fortsatt under etterforskning og det er mye arbeid som gjenstår. Vi jobber blant annet med å så pågrepet flere gjerningspersoner. Målet er å få domfellelser i Ukraina og Sveits, understreker Sætnan.

De organiserte kriminelle bak angrepet er mistenkt for å stå bak tilsvarende dataangrep mot 1800 individer og virksomheter i totalt 71 land. Etter aksjonen i 2021 ble det hentet ut flere krypteringsnøkler gjør at virksomheter som har vært rammet, kan få hjelp til å låse opp krypteringen og få tilgang til dataene sine igjen. Det er snakk om både norske og internasjonale virksomheter, ifølge Kripos.

Utdanningsdirektoratet lanserer en liste på ni KI-råd som skal beskytte norske skoleelever
Les også

Nye råd for KI i skolen

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra