Sunburst i norske virksomheter

Norges største forhandler av hackede Solarwinds fjernet kundelisten fra internett. På den sto både politiet og Statistisk sentralbyrå

– Vi har avsluttet samarbeidet med Solarwinds, sier IT-direktøren i SSB.

Politiets IKT-tjenester ønsker ikke å uttale seg om detaljer knyttet til IT-verktøy. Bildet viser etatens lokaler på Majorstuen i Oslo.
Politiets IKT-tjenester ønsker ikke å uttale seg om detaljer knyttet til IT-verktøy. Bildet viser etatens lokaler på Majorstuen i Oslo. (Illustrasjonsfoto: Marius Jørgenrud)

– Vi har avsluttet samarbeidet med Solarwinds, sier IT-direktøren i SSB.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Hackerskandalen der en antatt russisk trusselaktør har klart å trenge seg inn i datasystemene til amerikanske myndigheter har berørt svært mange, enten direkte eller indirekte.

Det gjelder også i Norge, der flere offentlige og private virksomheter benytter seg av den kompromitterte Orion-plattformen fra Solarwinds.

NSM og en sikkerhetsekspert har allerede bekreftet overfor digi.no at et titalls virksomheter i Norge er berørt, deriblant noen definert som kritisk infrastruktur.

Systemeiere og driftspersonell har utvilsomt hatt en hektisk uke, etter det ble kjent at angripere har klart å plassere en bakdør i løsningen, som ledd i et såkalt verdikjedeangrep.

Solarwinds Orion er et utbredt administrasjonsverktøy med vide rettigheter til styring og kontroll med nettverk og servere, og således et bortimot perfekt mål i seg selv.

Slik har den antatte etterretningsoperasjonen skaffet seg en spydspiss, som ifølge Solarwinds ble distribuert til nærmere 18.000 kunder via signerte programvareoppdateringer. En døråpner som videre er utnyttet til andre målrettede datainnbrudd med kirurgisk presisjon.

IT-sikkerhetsselskapet Fireeye, USAs finansdepartement, sikkerhetsdepartementet og Microsoft skal være blant ofrene. Ifølge Fireeye er også en rekke andre private og offentlige virksomheter omkring i verden blitt kompromittert.

Fjernet kundereferanser

Hektisk har det også vært hos NC-Spectrum AS, som kaller seg Norges største forhandler av Solarwinds-produkter med hovedkvarter i Telemark næringshage i Kviteseid.

Statistisk sentralbyrå (SSB) og politiet sto inntil denne uken begge oppført som referansekunder på Solarwinds på hjemmesidene deres.

SSB gikk for en pakke som inneholdt NPM (Network Performance Monitor) heter det i oppføringen som ble arkivert 14. desember i tjenesten Waybackmachine. NPM er blant de sårbare produktene, ifølge Solarwinds.

Daglig leder Eva Brekka i NC-Spectrum har ikke tid til å prate med oss. Hun sitter opptatt i videokonferanser og møter for å bistå kunder, som trenger hjelp og rådgivning.

– Vi har fjernet referanser etter ønske fra noen kunder. Det har tidligere vært gitt samtykke fra kunder om at vi kunne bruke dei som referanser på websiden, men nå har noen forespurt om vi kan fjerne dette basert på denne alvorlige hendelsen som Solarwinds software er brukt til. Det respekterer vi selvsagt, skriver Brekka i en epost til digi.no.

Politiet: Er kjent med angrepet

Digi.no har rettet flere spørsmål til Politiets IKT-tjenester om bruken av Solarwinds og hvilke grep de har foretatt seg, som følge av den siste tidens avsløringer om sårbarheter og bakdør.

De fleste spørsmålene forblir ubesvart. I stedet har kommunikasjonsstaben sendt oss en uttalelse fra Frode Josefsen, sikkerhetsleder i politietaten.

– Vi er kjent med både angrepet via Solarwinds verdikjede og andre sårbarheter, og oppdaterer våre løsninger fortløpende etter behov, bekrefter Frode Josefsen i Politiets IKT-tjenester i en epost.

Josefsen legger til at politiet på generelt grunnlag dessverre ikke kan «uttale oss om detaljer knyttet til IKT-verktøy eller infrastrukturløsninger i politiet, da disse understøtter samfunnskritiske og grunnleggende nasjonale funksjoner».

– Vi ber om forståelse for dette, sier sikkerhetslederen. 

Les også

SSB: Har avsluttet samarbeidet

Her er teksten om SSBs kundeforhold som ble slettet

«Statistisk Sentralbyrå har en stor infrastruktur som skal vedlikeholdes, der gammel statistikk skal være kontinuerlig tilgjengelig og ny statistikk stadig legges til i databasene, slik at det er viktig med høy oppetid. Samtidig må alt være lett tilgjengelig i forbindelse med kritiske prosesser som blant annet Stortingsvalg. NC-Spectrum ble valgt som leverandør grunnet vår tunge kompetanse på SolarWinds®-plattformen, samtidig som vi var en leverandør som hadde mulighet for å følge opp lokalt. Statistisk Sentralbyrå gikk for en pakke som inneholdt SolarWinds NPM og Engineer’s Toolset.»

Statistisk sentralbyrå ga tidlig uttrykk for at de ikke er berørt i saken, selv om kundereferansen som nettopp ble slettet fra hjemmesidene til NC-Spectrum indikerte noe annet.

NPM er blant modulene eller Orion-produktene som er bekreftet berørt av hackingen, ifølge Solarwinds.  Byråets IT-direktør Christian Thindberg har imidlertid følgende beskjed å dele med oss.

– Vi har avsluttet samarbeidet med Solarwinds. Dette skjedde før sårbarheten som nå er i fokus ble introdusert. Basert på den informasjonen vi har så er SSB ikke berørt, konstaterer Thindberg.

Ifølge ham er det ikke spesifikke hendelser eller misnøye fra SSBs side knyttet til Solarwinds eller tilknyttede leverandører som ligger til grunn for endringene.

– Generelt ser vi hele tiden etter muligheter for å redusere kost, øke sikkerhet eller bedre funksjonalitet. Det innebærer at vi fra tid til annen gjør endringer i valg av leverandører og løsninger, avslutter IT-direktøren.

Les også

Forhandler: Ikke kjent med utnyttelse

Daglig leder i NC-Spectrum var som nevnt opptatt. Hun sender ballen videre til kollega Svein Foldøy, lederen for marked og forretningsuvikling, som svarer på våre spørsmål:

– Hvor mange kunder av dere er berørt?

Foldøy: – Vi har ikke noe eksakt tall på dette, da det er mange parallelle prosesser og kartlegging som pågår hos brukere av Solarwinds Orion-plattform. Vi har så langt avdekket at flere av brukerne ikke er berørt, da de ikke har kjørt berørte versjoner på sine systemer, eller er på andre av Solarwinds programvarer som ikke er berørt av hendelsen. Noen har gjennomført oppgradering til anbefalt versjon av programvaren, og vi har ikke informasjon om hvilken versjon disse var på før gjennomføringen av oppgradering denne uken. Vi bidrar hos kunder som ønsker det med kartlegging, hendelseshåndtering og råd.

– Hvor mange virksomheter har dere solgt Solarwinds Orion til i Norge?

Foldøy: – Solarwinds selger i stor grad software direkte til kundene/brukerne av systemet. Vi følger opp kunder som ønsker det og tilbyr vår kompetanse på produktene uavhengig av hvor software er anskaffet.

– Vet dere om noen av disse er blitt rammet av Sunburst, som den plasserte sårbarheten eller bakdøren i programmet blir kalt, og på hvilke måter?

NC-Spectrum anser dette som en sårbarhet av potensielt meget alvorlig grad, og satte beredskap da hendelsen ble varslet

Foldøy: – Dette kartleggingsarbeidet pågår ute hos brukere av Solarwinds Orion-plattformen, men vi kjenner hittil ikke til at Sunburst har vært utnyttet hos noen av de brukerne vi jobber med. Det er likevel selvsagt mange selskaper som iverksetter anbefalte tiltak med gjennomgang og analyse av logger, oppgradering til anbefalt software etc.

– Hvor alvorlig ser dere på sårbarheten? 

Foldøy: – NC-Spectrum anser dette som en sårbarhet av potensielt meget alvorlig grad, og satte beredskap da hendelsen ble varslet. Vi jobber tett med nasjonale og internasjonale sikkerhetsmiljøer for å bidra til å hjelpe brukere av Solarwinds i Norge på best mulige måte. Vårt team følger situasjonen tett og støtter våre kunder med løpende informasjon, kompetanse og ressurser til oppfølging av de råd som blir gitt. Mye av arbeidet går på å innhente mest mulig informasjon og kvalitetssikre denne, slik at man skaffer seg et best mulig beslutningsgrunnlag underveis i hendelseshåndteringen.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen