UAVKLART: "Shady RAT"-angrepet kan ha rammet norske interesser uten at det er verken oppdaget - eller i så tilfelle offentliggjort. (Bilde: Colourbox/Ill.: Mona Strande)

Norge jakter på «rotta»

En av tidenes største cyberspionasjeoperasjoner er avslørt, foreløpig uten registrerte norske «ofre». Men ingen eksperter tør være sikre.

  • IT

Operasjon «Shady RAT»

  • Sikkerhetsselskapet Mcafee la denne måneden fram en omfattende rapport om et av tidenes mest omfattende dataangrep mot bedrifter, regjeringer og organisasjoner verden over.
  • Ifølge McAfee er den såkalte «Shady RAT»-operasjonen en «pågående og målrettet operasjon utført av én spesifikk aktør» fra midten av 2006 og fram til i dag.
  • Navnet spiller ikke bare på ordet rotte, men på akronymet RAT (Remote Access Tool).
  • Angrepene har rammet minst 72 organisasjoner, deriblant våpenleverandører, globale konserner, FN og Den internasjonale olympiske komité (IOC).
  • Valget av angrepsmål (blant annet antidopingbyrået WADA) og timingen (i tiden rundt Beijing-OL i 2008) er blant mange momenter som peker i retning av Kina.
  • Kinesiske myndigheter har avvist anklagene som «uansvarlige».

Kineserne mistenkt – igjen

Opphavet til cyberangrep og cyberspionasje lar seg sannsynliggjøre – men ytterst sjelden bekrefte helt sikkert.

Kinas Folkets frigjøringshær har en av de mest aggressive militærdoktrinene for elektronisk krigføring, og må finne seg i å være hovedmistenkt i en rekke av historiens største cyberoperasjoner – tross at anklagene alltid er blitt kategorisk benektet (så også denne gangen).

Her et knippe av de mest spektakulære:

  • 2001: «Code Red»: En dataorm i mange varianter fra juli 2001, som infiserte over 300 000 maskiner i USA. Ormen var tidsbestemt: Fra dag 1–19 spredte den seg, dag 20–27 samkjørte den infiserte maskiner til tjenestenektangrep mot offentlige nettsteder, før den gikk i hvilemodus ut måneden. Det krevde felles innsats fra myndighetene og USAs nettleverandører for å hindre ormen fra å gjøre stor skade. Nettsteder som gikk ned, fikk påskriften «Hacked by Chinese».
  • 2003/2004: Operasjon «Titan Rain»: Koordinerte angrep på offentlige og private datasentraler i USA, trolig med forsvars- /industrispionasje som hensikt. Lockheed Martin, Sandia National Laboratories (hvor hovedtyngden av USAs atomvåpen blir designet) og Redstone Arsenal (huser blant annet fly- og missilkommandoen) var blant dem som ble rammet. Angrepet ble lokalisert fra Kina, og er i ettertid antatt å ha militært utspring.
  • 2009: GhostNet-angrepet: Oppdaget i mars 2009 etter 10 måneders gransking fra kanadiske Information Warfare Monitor. Spionprogramvare koordinert fra kinesiske servere samlet informasjon fra interne offentlige datasystemer i hele 103 land. Ambassader, utenriksdepartementer og andre offentlige etater ble særlig rammet. Et tidlig fokus på eksiltibetanske miljøer styrket mistanken mot Kina.
  • 2009: Operasjon Aurora: Også kjent som Google-Kina-konflikten. I et av tidenes mest sofistikerte og koordinerte angrep greide kinesiske cyberangripere å hacke gmail-kontoer til kinesiske dissidenter og samtidig stjele interninformasjon fra it-tungvektere som Adobe, Yahoo! og Symantec, foruten Google selv. Angrepet førte til en fortsatt betent konflikt mellom Google og kinesiske myndigheter, og diplomatiske problemer på statsnivå.

Her i Norge druknet det i andre og mer gruoppvekkende nyheter, men i it-sikkerhetsmiljøet har forrige ukes McAfee-avsløring om det såkalte «Shady RAT»-angrepet (se fakta) vært en stor snakkis.

Les også: Kina mistenkes for omfattende datainnbrudd

Angrepet hadde pågått i fem år, men omfanget ble først klart i mars i år, da McAfee-eksperter fant angrepslogger i en server som var i søkelyset i forbindelse med datainnbrudd hos våpenselskaper.

«Alle» peker på Kina

McAfee-rapporten om angrepet er blitt flittig lest, og mange it-sikkerhetskilder har senere oppgitt Kina som en svært sannsynlig avsender.

Symantec har samtidig trukket i tvil McAfees konklusjon om en stat står bak, begrunnet i at angrepskoden inneholder enkle feil og er relativt lite komplisert.

Europeisk sjef for sikkerhetsstrategi ved McAfee Labs, Toralv Dirro, vil ikke navngi noe land.

– Skyldfordeling er ikke vår jobb, og vi har ikke nok håndfaste bevis til å peke på en spesifikk avsender. Men det at et angrep er lite sofistikert, er i seg selv ingen god indikator på verken det ene eller det andre. Det som til enhver tid fungerer for angriperne, er godt nok for dem, sier Dirro til Teknisk Ukeblad.

Les også: Frykter spionasje på Telenors mobilnett

Huawei: Den Røde Fare



 

VÅPENKAPPLØPET: TUs oversikt over de seks statene som i dag leder an rustningskappløpet i cyberspace. Klikk på bildet for større utgave.

– Norge kan være rammet

Norge var ikke blant landene McAfee listet opp som mål for angrepet i sin rapport.

– Men norske interesser kan være under angrep, spesielt dersom du tar hensyn til det store antallet våpenleverandører blant ofrene. Og det er mange infiserte maskiner som vi ikke har kunnet kartlegge opp mot et spesifikt mål. Jeg har derimot sett at andre aktører har gjort vår database interaktiv og søkbar slik at folk kan søke etter sin egen IP-adresse, sier Dirro.

Europeisk sjef for sikkerhetsstrategi ved McAfee Labs, Toralv Dirro
– Men norske interesser kan være under angrep, spesielt dersom du tar hensyn til det store antallet våpenleverandører blant ofrene. Og det er mange infiserte maskiner som vi ikke har kunnet kartlegge opp mot et spesifikt mål. Jeg har derimot sett at andre aktører har gjort vår database interaktiv og søkbar slik at folk kan søke etter sin egen IP-adresse, sier Dirro. OPPDAGET ANGREPET: Europeisk sjef for sikkerhetsstrategi ved McAfee Labs, Toralv Dirro, mener norske interesser kan være rammet av Shady RAT-angrepet. Foto: Leif Hamnes Leif Hamnes

Oljebransjen dårlig forberedt: Mangelfulle it-rutiner på norsk sokkel

Farlig trojaner på frifot i ett år

Dataangrep kan stoppe Olje-Norge

Nammo angrepet

Informasjonssjef Kjetil Berg Veire ved Nasjonal sikkerhetsmyndighet (NSM) sier til TU at NSM ikke vet om norske interesser er rammet.

It-sjef Ole Ingarth Karlsen i Nammo på Raufoss opplyste i forrige uke til Aftenposten at selskapet hadde slått tilbake åtte målrettede angrep mellom desember 2009 og september 2010 – flere av dem fra Kina.

– Men om de var en del av Operation Shady RAT vet vi ikke, sa Karlsen.

Falsk trygghet

Da McAfee la fram sin rapport, ble det halvtøysete slått fast at verdens 2000 største selskaper grovt kunne deles inn i to grupper:

De som vet de er under angrep, og de som fortsatt ikke vet at de er under angrep.

De skjulte angrepene: Hackere rammer industrien

Leder i Næringslivets sikkerhetsråd (NSR), Erland Løkken, innrømmer at han hadde dette i tankene da han leste at Nammo hadde slått tilbake åtte angrep, mens Kongsberg-gruppen samtidig ikke hadde registrert noe unormalt.

– Jeg har ingen indikasjon på at Kongsberg er rammet, for å presisere dét. Men både vi og NSM er bundet av at veldig få ønsker å stå fram med at de er blitt hacket. Vi sliter med det: Ja, det foregår – men vi får ikke lov til å fortelle utad hvilke bedrifter det dreier seg om. Først når forbrukeren merker det direkte, som Playstation Network og banksystemer, kommer det ut, sier Løkken.

Statlig aktører er ekstra vriene å forholde seg til, mener han.

– De har nesten ubegrensede ressurser, risikerer ikke oppmerksomhet fra eget politi – og kan sette i gang produksjon basert på stjålet teknologi nesten umiddelbart, sier Erland Løkken.

 

MODERNE CYBERKRIGSHISTORIE: Nasjonalstater har i beste kald krig-ånd prøvd cyberkrefter mot hverandre i en årrekke allerede. Her er et utvalg av de mest spektakulære dataangrepene. Klikk på bildet for større utgave.

Med Stuxnet er det offisielt: Cyberkrigen er i gang

– Stuxnet er et militært våpen

EU testet cyberforsvaret