Trønder (31) siktet og fengslet for hacking. Skal ha skjult angrepene via NTNUs datasystemer

En 31 år gammel trønder ble arrestert og siktet for datainnbrudd før helgen. Minst fire kvinner skal ha blitt rammet av mannens datainnbrudd det siste året, ifølge Adresseavisen som først omtalte pågripelsen.

Siktede blir omtalt som svært datakyndig. Han ble først pågrepet foran datamaskinen i egen leilighet tirsdag forrige uke. Etter løslatelse torsdag ble han pågrepet på nytt fredag.

I helgen ble han varetektsfengslet i en uke med brev- og besøksforbud. Sør-Trøndelag tingrett mente at det er fare for bevisforspillelse.

En av de fornærmede har opplevd at uvedkommende har klart å komme seg inn på hennes  Snapchat-konto, samt også Dropbox og Minsky. Siktelsen gjelder også forsøk på adgang til en annen kvinnes brukerkontoer hos Google, Microsoft og Apple.

Undersøkelser har vist at NTNUs server ble benyttet til denne aktiviteten. Hackeren har erkjent straffskyld i samsvar med siktelsen, med enkelte forbehold som ikke vedrører lovanvendelsen.

Maskerte angrep

I kjennelsen vises det til en rapport fra NTNUs datasikkerhetsavdeling med følgende konklusjon.

«Over flere måneder har NTNU SOC fått rapportert inn tilfeller hvor NTNU sine SSH-login-tjenester blir benyttet til å maskere angrep på tredjepersoner og selskaper.»

Angrepene er sporet til en konkret brukerkonto tilhørende en kvinnelig student ved skolen. Det kan utelukkes at kvinnen står bak dette, etter rettens oppfatning.

Undersøkelser har avdekket en kobling mellom misbruk av SSH-kontoen og siktedes IP-adresse. Politiet fant senere seksualiserte bilder knyttet til navn på flere fornærmede lagret på datamaskinen som ble beslaglagt hos hackeren.

– Gjorde det vanskelig å spore

Stian Husemoen leder seksjon for digital sikkerhet ved NTNU. Han bekrefter at de i lengre tid har etterforsket forholdet. 

– Gjennom en kompromittert brukerkonto er studenttjenesten med SSH brukt til å maskere trafikk for å angripe ulike tredjepersoner, og spesielt kontoer innen sosiale medier. Vi leverte en anmeldelse på dette i januar, forteller Husemoen til digi.no.

De skal ha fått melding fra den norske skytjenesten Jottacloud om forsøk på dataangrep mot en av deres kunder.

– Ved å sammenstille loggtrafikk med dem klarte vi å spore hvor dette kom fra.

Husemoen medgir at de har undersøkt om flere kontoer har vært misbrukt. Mest sannsynlig er det bare denne ene. Han tror ikke at NTNU har opplevd tilsvarende angrepsmønster i nyere tid.

– Det er klart at åpne SSH-kontoer innebærer en viss risiko for misbruk, men vi har ikke sett andre eksempler på slik aktivitet som det har vært her. Det har heller ikke vært en aktiv brukerinnlogging. Det ble kun benyttet SSH-tunnelering. Man har vært såpass smart at man har klart å holde seg noenlunde skjult. Det gjorde det også litt vanskelig å spore aktiviteten, forteller seksjonslederen.

Backup i skyen

Begjæringen om varetekt ble ifølge retten tatt til følge på grunn av nærliggende fare for at siktede vil forspille bevis i saken.

Sentralt i saken er siktedes bruk av en skybasert backuptjeneste. Løslatelsen torsdag kom etter at siktede hadde samarbeidet. Det ble gitt tilgang til backuptjenesten.

Senere ble politiets tilgang sperret. Retten skriver i kjennelsen at de anser det som svært sannsynlig at det var siktede selv som sørget for å sperre adgangen. Varetektsfengsling i en uke skal følgelig gi politiet anledning til å sikre innholdet.