TV 2 ble rammet av et datainnbrudd i fjor høst. Historien har ikke vært omtalt i media – før nå.
Dette skjedde omtrent på dagen samtidig med at Stortinget ble utsatt for et alvorlig hackerangrep i slutten av august 2020.
Angriperne klarte å ta kontroll over kontoene til et tosifret antall medarbeidere. TV 2 har en digital beredskapsgruppe som raskt ble kalt sammen. Denne gang var det ingen øvelse.
– Du blir ganske stresset når du skjønner at det er alvor, sier TV 2s leder for informasjonssikkerhet Vibeke Reigstad til digi.no.
Først biter én på kroken
Vi skrur klokkene tilbake til 25. august 2020. En av de ansatte mottar en epost, som utgir seg for å være sendt fra en person mottakeren kjenner godt.
Mottaker får opplyst at vedkommende har delt et dokument, og eposten inneholder tilsynelatende en lenke til dette dokumentet.
Lenken leder til en forfalsket nettside, som imiterte innloggingen til lagringstjenesten Microsoft Onedrive.
Dette er en velkjent angrepsteknikk kalt «phishing» eller nettfiske på norsk, som forsøker å lure mottakeren til å gi fra seg opplysninger.
Et øyeblikks ubetenksomhet er alt som skal til. Ved å taste inn brukernavn og passord har TV 2s medarbeider gitt fra seg tilgangen til egen konto.
– Vedkommende opplevde egentlig at det skjedde ingen ting. Det kom bare opp en blank side. Så tror vi det gikk om lag én uke, forteller Reigstad.
Angriperne må ha gått gjennom epostdialogen i den kompromitterte kontoen og funnet flere mottakere på den måten. For i neste skritt sender de nye falske meldinger til langt flere enn adresselisten.
Trinn to
Ut fra den første kaprede TV 2-kontoen går det etter hvert ut over 500 falske e-postmeldinger.
De nye phishing-angrepene sendes til svært mange andre. Både internt i TV 2s organisasjon, eksterne mottakere og til samarbeidspartnere.
Ytterligere 10 av TV 2s brukere går på limpinnen og gir fra seg passord i dette andre trinnet av angrepet.
Angriperne logger seg inn på disse kontoene, men «tilsynelatende uten å foreta seg noe mer», skriver TV 2 i en avviksmelding til Datatilsynet.
De kompromitterte kontoene blir raskt identifisert og stengt, som følge av at TV 2 fikk alarmer om angripernes uautoriserte innlogginger.
Normalt hvis du sender epost til mange hundre mottakere, så vil du raskt få en rekke meldinger i retur. Automatiske svar som forteller om ferieavvikling, sykefravær, «out-of-office», at adressen ikke finnes og lignende.
Men den uheldige brukeren i TV 2 ser ingen returmeldinger i innboksen, som kunne ha røpet at kontoen er hacket. Det er det en grunn til.
Slettet alle svar
Ifølge Reigstad har angriperne fått satt opp epostregler, som sørget for å slette alle innkomne svar.
I tillegg går det ut en auto-reply som sier «bare åpne vedlegget, det er trygt» eller en lignende ordlyd.
– Folk som mottok disse meldingene syntes det var veldig rart. Brukeren så ingen meldinger i innboksen sin, for de ble automatisk slettet. Men reagerte fordi folk ringte tilbake. Brukeren gikk selv ut på intranettet vårt og skrev «ikke åpne post fra meg».
Varslet NSM og Kripos
TV 2s digitale beredskapsgruppe går raskt i gang med å se på e-postmeldingene og forløpet. De varsler både Nasjonal sikkerhetsmyndighet (NSM), Datatilsynet og Kripos. Saken blir også politianmeldt.
I tillegg bistår leverandør Netsecurity med teknisk bistand.
Undersøkelsene viser at den første phishing-meldingen ble mottatt 25. august. Angriperne logget seg inn på den kaprede kontoen fem dager senere, den 30. august. Ikke før 11. september 2020 sendes de flere hundre e-postmeldingene ut.
Konklusjon: Ikke målrettet
Reigstad forteller at de i epostsystemet ikke klarer å se hvilke dokumenter som angriperne kan ha åpnet eller hentet ut.
Ved å gå gjennom loggfiler har de imidlertid dannet seg et bilde av hvilke dokumenter som er blitt åpnet av uvedkommende.
– Det var veldig lite målrettet, sier Vibeke Reigstad i TV 2.
Det ble registrert uautoriserte innlogginger på i alt 11 epostkontoer, og TV 2 anser samtlige av disse som kompromittert. For sikkerhets skyld ble også alle øvrige TV 2-brukere tvunget til å endre passord.
– Ble hendelsen hos dere vurdert opp mot det omfattende hackerangrepet mot Stortingets epostkontoer i samme tidsrom?
– Det gjorde vi med en gang. Det var en av tingene vi tok opp med NorCERT (NSM). De ga en klar tilbakemelding om at dette ikke var det samme. De fikk også tilgang til alt, både mailer, lenker og teknisk informasjon. I tillegg fikk de de teknisk rapport fra Netsecurity, som hadde gransket dette. De skrev at de har gjort søk på indikatorene, men at de ikke kan knyttet dette til en kampanje eller operasjonssett de er kjent med.
– Fortell hvorfor TV 2 mener at angrepet ikke har vært målrettet.
– Det kan man aldri vite helt sikkert, men vi ser ingen tegn til at de spesielt har skreddersydd noe mot TV 2.
Antar økonomisk motiv
TV 2 konsernet hadde i snitt 979 årsverk gjennom 2020. De hadde inntekter på 4,969 milliarder kroner med et driftsresultat på 486 millioner kroner.
Den kommersielle allmennkringkasteren har naturligvis mange journalister på lønningslistene. I hvilken grad kan kildenettverk og kildevernet ha blitt truet som følge av innbruddet i epostkontoene?
– Dette er selvfølgelig noe av det vi frykter. Det er alltid et potensial for at noen kunne fått tilgang til opplysninger eller rettigheter for systemer hvor den typen informasjon er lagret, men her har vi etablerte rutiner for å beskytte den mest sensitive informasjonen. I dette tilfellet så vi ganske raskt at de sannsynligvis var ute etter økonomisk vinning, sier lederen for informasjonssikkerhet.
Reigstad utdyper at de umiddelbart informerte de ansatte både med SMS, e-post og på intranettet. De med arbeid innen økonomi ble særskilt advart.
– Det vi ser med sånne angripere er at de velger den lureste måten for tilgang til penger. Det kan være falske fakturaer, for eksempel. Det er et klassisk og veldig enkelt angrep. Økonomiavdelingen fikk blant annet beskjed om å verifisere alt av endringer av fakturaer. Så gjennomførte vi også en passordendring av alle brukere, for sikkerhets skyld.
Det ble satt opp digitale snubletråder i form av alarmer i nettverket, som et sikkerhetstiltak etter innbruddet i den første kontoen.
– Det var sånn vi fant de andre 10 kontoene som også var kompromittert. Selv om de ble stengt umiddelbart, så valgte vi å ringe til disse brukerne, forteller Reigstad.
Teknisk gjeld og lærdom
Reigstad er en av dem som synes det er bra å praktisere åpenhet om sikkerhetsbrudd. Andre kan lære av hendelsen. Reigstad som tidligere i karrieren har lang bakgrunn fra banksektoren og bidro til etableringen av FinansCERT, vet at samarbeid på tvers er nødvendig for å møte truslene fra nettkriminelle.
Hun er også åpen om at TV 2 har hatt litt teknisk gjeld, som kan ha gjort det enklere for angriperne. På angrepstidspunktet hadde de eksempelvis ikke to-faktor autentisering på epostkontoene.
– Vi har hatt et prosjekt på det lenge, men det har vært litt teknisk gjeld som måtte ryddes opp i først. Alle har ikke fått to-faktor ennå, men veldig mange har det nå. En god del av de kritiske systemene våre er på plass, men fortsatt er det noe som gjenstår, medgir informasjonssikkerhetslederen.
Zero trust
Vi retter oppmerksomheten mot da franske TV 5 Monde i 2015 opplevde noe langt farligere, som er blitt kalt et hackerangrep uten sidestykke. 12 TV-stasjoner gikk i svart og kun flaks skal ha reddet dem fra «den totale ødeleggelse».
– Har også TV 2 et logisk skille i datanettverket mellom kontorsystemer og produksjonsmiljøet?
– Det er klart at alle typer angrep, enten det er ransomware eller ting som kan skade produksjonen står høyt oppe på agendaen vår. Vi har stort fokus på mikrosegmentering av nettverk, og ikke minst backuprutiner og backup som sikres – uten tilgang til å slette den. Dette er et kontinuerlig arbeid hvor vi jobber mye med zero trust. Det er veien å gå, mener Vibeke Reigstad.
