Denne sommeren forsøkte hackere å trenge seg inn hos et stort antall norske olje- og energiselskaper. Nasjonal sikkerhetsmyndighet (NSM) varslet 300 bedrifter om hvordan de skulle oppdage det største hackerangrepet mot norsk næringsliv noensinne.

DN har fått tilgang til to av epostene som ble brukt i angrepet. Den ene gir seg ut for å være en invitasjon til en internasjonal konferanse om energi og miljø, som ble holdt i Madrid i sommer.

Industrispionasje

– Den er relevant for mange, og de vil nok sjekke om det er et interessant program, sier Hans Christian Pretorius, direktør for operativ avdeling i NSM.

LUREKONFERANSE. Eposten på skjermen lover mottagere en spennende konferanse, men leverer bare ondsinnet programvare.
LUREKONFERANSE. Eposten på skjermen lover mottagere en spennende konferanse, men leverer bare ondsinnet programvare.

For å se programmet, må man åpne en vedlagt Word-fil, som inneholder skadelig kode. Dermed kan sunn lærelyst føre til alvorlig industrispionasje mot arbeidsgiveren.

Angrepet mot norske olje- og energiselskaper var såkalt «spearphishing». Dette er målrettede epost-angrep, der angriperne går etter utvalgte enkeltpersoner eller begrensede grupper, tilpasser innholdet til mottageren og gjerne utgir seg for å være noen de kjenner og stoler på.

– «Spearphishing» brukes i de fleste tilfellene av industrispionasje. Før gikk hackerne etter systemene, nå går de etter de ansatte, sier Thomas Ludvik Næss, daglig leder i sikkerhetsselskapet Trend Micro Norge.

Eposten om konferansen kom tilsynelatende fra en legitim kilde og er godt tilpasset mottagerne i energibransjen.

Den andre eposten DN har fått oversendt er tilsynelatende fra Posten, og forteller om en pakke som er forsøkt levert til mottageren. For å få utlevert pakken, må mottageren klikke på en lenke for å skrive ut en hentelapp.

Hackere sendte blant annet denne eposten til norske energiselskaper. Vedlegget inneholder skaldelig programvare, men ikke denne kopien.
Hackere sendte blant annet denne eposten til norske energiselskaper. Vedlegget inneholder skaldelig programvare, men ikke denne kopien.
 

I tillegg er det sendt ut tre andre eposter som del av det samme angrepet, med titlene «Clarification of terms», «Settlement of delivery problem» og «Account».

Pretorius mener hentelapp-meldingen virker lite troverdig, og at konferanseinvitasjonen er skumlere. Disse er uansett langt fra de best utformede angrepene man risikerer å støte på.

– De beste vi har sett, ville alle klikket på. Vi har sett eksempler der de har gått inn i en pågående epost-diskusjon og sendt svar som passer godt inn, sier Pretorius.

Andre angrep har utnyttet informasjon om barnas fotballtreninger, og offeret kan for eksempel ha fått tilsendt en fil med tittelen «nytt kampoppsett». Epostene er trolig bygget på informasjon som hentes fra Facebook, tror Pretorius.

– Våkne ansatte er viktig, men du vil ikke kunne unngå alt, og da er det bare tekniske tiltak som vil fungere, sier Pretorius.

Våkne ansatte

Thomas Ludvik Næss i Trend Micro mener teknisk forsvar ikke kan beskytte mot alt.

– Realiteten er at mange må støtte seg 80 prosent på våkne ansatte, og 20 prosent på sikkerhet i nettverket, sier han. 

Epostene til energibransjen inneholdt to typer feller. Den ene var vedlagte dokumenter og ondsinnet programkode som sjekket programvaren på maskinen, på jakt etter sikkerhetshull. Den andre var en lenke til en nettside som ville vært helt normal, hvis den ikke var hacket.

Ofte kan man få installert et program som kan laste ned nye skadelige programmer fra en av hackernes kommandosentraler på nettet. Siden risikerer man at hackere bruker denne pc-en som brekkstang inn i bedriften. 

Pretorius mener tilbakemeldingene fra selskapene i energibransjen tyder på at hackerne ikke hadde noen stor suksess denne gangen. Det kan skyldes sikkerhetsprogrammer, at folk ikke klikket på lenkene, eller at mange hadde oppdaterte programmer.

– Å oppdatere er et lavkosttiltak, og det ville stoppet 90 prosent av hackingen vi ser. Det er en fantastisk effekt, sier Pretorius.

Les også: Slik sikrer du mobilen

Designet for sabotasje dnPlus

Sto imot tre dager langt dataangrep dnPlus  (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.