I sommer ble det kjent at tolv departementer var utsatt for et dataangrep. Nå opplyser Politiets sikkerhetstjeneste (PST) at de har avsluttet etterforskningen.
– Vi har gjort det som med rimelighet kan gjøres, og etterforskningen har ikke klart å avdekke tilstrekkelige opplysninger om hvilke aktører som står bak dette angrepet, eller hvilke individer som kan være involvert, sier påtaleansvarlig Terje Nedrebø Michelsen i PST til NRK.
– Derfor er saken henlagt.
Det var Kripos som startet å etterforske dataangrepet, men det ble senere flyttet over til PST.
Saken har vært utfordrende å etterforske.
– Angrepet er nitidig planlagt og profesjonelt gjennomført. Man har hatt et stort fokus på å skjule og slette sine spor underveis, sier Michelsen.
Dataangrepet mot departementene føyer seg inn i en rekke alvorlige IT-hendelser de siste årene rettet mot private og offentlige organisasjoner i Norge. De to mest kjente tilfellene er datainnbruddene mot Stortinget i 2020 og 2021.
Hacket e-postsystem
Dataangrepet rettet seg mot dataplattformen til tolv departement.
Hackerne kom seg inn på e-postsystemet til de ulike departementene, og hadde tilgang til IKT-plattform brukt i regjeringsapparatet i minst to måneder, fra april 2023 til juli 2023.
– Det vi har avdekket er at ti e-postkontoer er kompromittert. De som ble rammet kjennetegnes ved at de hadde administratorrettigheter i dette systemet. Etterforskningen har ikke avdekket hva dette har blitt brukt til videre, sier Michelsen.
Hackerne har brukt tidligere ukjente sårbarheter, også kalt nulldagssårbarheter, i et IT-system for å synkronisere e-poster til mobile enheter i dataangrepet.
– Det er et alvorlig sikkerhetsproblem, man kan samle mye informasjon fra flere kanter, og i et større bilde så vil den type informasjon være vesentlig for de som ønsker å få tak i den, sier Michelsen.
Som følge av dataangrepet fikk de ansatte i de tolv berørte departementene en ny e-postløsning og den gamle ble stengt ned.
Departementenes sikkerhets- og serviceorganisasjon (DSS) tar henleggelsen til etterretning, og forsikrer at sikkerhet har høy prioritet i DSS.
– Vi følger løpende råd, anbefalinger og vurderinger fra nasjonale sikkerhetsmyndigheter, sier direktør i DSS Erik Hope.
Sofistikert statlig aktør
Trusselaktøren har tidligere blitt beskrevet som en avansert og vedvarende trusselaktør (APT) av NSM.
Beskrivelsen brukes om aktører som har ressurser til å begå målrettede og sofistikerte dataangrep, og de har ofte en tilknytning til andre stater.
– Undersøkelsene viser at dette trolig er utført av en profesjonell cyber-aktør, trolig en statlig aktør siden angrepet har skjedd på en godt planlagt og sofistikert måte, sier Michelsen.
Det PST tidligere har kommunisert gjennom sine trusselvurderinger, er at det er sannsynlig at det er fire land som kan stå bak denne type avanserte angrep, og det er Kina, Nord-Korea, Russland og Iran.
Angrepet er ifølge PST gjennomført slik at spor og bevis har blitt slettet underveis. Etterforskningen har derfor ikke klart å avdekke hvem som står bak.
– Hva kan dere si om motivet for dette dataangrepet?
– I og med at det ikke er lagt igjen bevis underveis, så er det vanskelig å si noe helt sikkert om hva motivet var, sier Michelsen.
– Men basert på de potensielle aktørene som vi mener kan ha stått bak angrepet, så vil det være naturlig å tenke at et motiv er etterretningsvirksomhet.