Slik lurte de russiske hackerne Stortinget

Flere av de som ble hacket reagerte med overraskelse og sorg, forteller Stortingets sikkerhetssjef.

Fotomontasje med sikkerhetssjef i Stortinget og en grafikk som forklarer totrinnsverifisering.

STERKE REAKSJONER: De berørte fikk oppfølging av Stortinget for støtte og for å kartlegge skadepotensialet i informasjonen som kom på avveie, forteller Stortingets sikkerhetssjef Tove Heidi Silseth.

Grafikk: NRK

Dårlige passord spilte en nøkkelrolle i datainnbruddet mot Stortinget i august, men Stortingets egne systemer sviktet også når det gjaldt som mest.

Tirsdag ble det kjent at saken henlegges, men PST sier rett ut at de mener hackere i den russiske militære etterretningstjenesten (GRU) står bak.

– Vi ville ikke gått ut med informasjonen hvis ikke vi var relativt sikre på at det er de som står bak, sier kontraetterretningssjef Hanne Blomberg i Politiets sikkerhetstjeneste (PST), til NRK.

Hanne Blomberg

PST: Leder av seksjon for kontraetterretning, Hanne Blomberg.

Foto: Øyvind Bye Skille / NRK

– De konkrete bevisene vi har, kan jeg dessverre ikke gå inn på da mye baserer seg på gradert informasjon.

Ifølge Stortinget skal hackere ha fått tilgang til e-postkontoene til flere stortingsrepresentanter og ansatte.

– De fleste reagerte med overraskelse og sorg over at de var blitt utsatt for et innbrudd, sier Stortingets sikkerhetssjef Tove Heidi Silseth.

NRK erfarer at hackerne skal ha klart å komme seg rundt et av sikkerhetstiltakene på Stortinget, noe som gjorde det lettere å bryte seg inn i e-postkontoene til stortingsrepresentanter og ansatte.

Litt enkelt forklart skal det ha skjedd på følgende måte.

For å logge seg inn på Stortingets epostkontoer må en bruker først skrive inn brukernavn og passord.

Illustrasjon av en bærbar datamaskin som viser et innloggingsvindu på skjermen. Det står "brukernavn" og "****". Stjernetegnene symboliserer et passord.

Hvis brukeren fyller inn rett brukernavn og passord får de normalt en unik kode på mobil. Dette trinnet kalles ofte totrinnsverifisering. For å logge inn må brukeren også taste inn den unike koden.

Skjermen viser at innloggingen er godkjent. Ved siden av ligger det en mobiltelefon som viser en en unik tallkode.

Hackerne skal ha funnet en vei rundt det siste viktige trinnet. Dermed trengte de ikke den unike koden for å logge inn, bare brukernavn og passord.

Illustrasjonen viser hackerens datamaskin. Skjermen har en fiendtlig rødfarge, samtidig som at et symbol viser at hackeren har fått logget seg inn. Ved siden av ligger en mobiltelefon, men det er et kryss over den.

For å bryte seg inn på en epostkonto har hackerne prøvd ulike passord inntil de lyktes eller ble nektet flere forsøk.

Hackerne kan ha gjettet seg til brukernes passord på flere måter. Det sier IT-eksperter NRK har snakket med.

Ekspertene mener det er flere ting som peker på at hackerne har benyttet seg av passord som har kommet på avveie.

Det har vært mange passordlekkasjer de siste årene. Tjenesten «Have I Been Pwned» har verden over registrert mer enn 10 milliarder kompromitterte brukerkontoer fra 495 nettsider.

Over 850 gamle passord tilknyttet e-postkontoer fra Stortinget er på avveie, ifølge sikkerhetsselskapet Defendable. Rundt 20 av passordene stammer fra passordlekkasjer i 2020.

– Om man finner brukere som går igjen kan man se om de har det samme passordene flere steder eller om det er et mønster som går igjen. Fra dette kan man gjette seg til sannsynlige passord, sier sikkerhetsekspert Per Thorsheim, som jobber i Secure Practice.

Per Thorsheim

GJENBRUKER PASSORD: Per Thorsheim forteller at folk flest bruker de samme to til fire passordene overalt.

Foto: Øyvind Bye Skille / NRK

NRK kjenner ikke til identiteten til hvilke stortingsrepresentanter eller ansatte som ble hacket.

Mer skremmende

En av dem som ble forsøkt hacket er Liv Signe Navarsete (Sp), som sitter i forsvars- og utenrikskomiteen. Hun mener det er mer skremmende at det viser seg å være en statlig aktør.

– Det tenker jeg betyr at de har hatt en spesifikk hensikt. Når en går inn i det øverste demokratiske organet i en stat og klarer å tappe informasjon, har det en politisk hensikt. De vil finne ut hva som rører seg her i Norge. Og det gir grunn til uro, sier Navarsete, til NRK.

Liv Signe Navarsete, Spørretimen.

FORSØKT HACKET: Noen forsøkte å hacke kontoen til Liv Signe Navarsete, men de klarte ikke å komme seg inn.

Foto: Lise Åserud / NTB scanpix

Lett å gjøre feil

Uken etter at angrepet ble kjent sendte Nasjonalt cybersikkerhetssenter (NCSC) og Nasjonal sikkerhetsmyndighet (NSM) et varsel til utvalgte virksomheter, ifølge teknologinettstedet Digi.

I varselet ble virksomhetene advart om flere konkrete utfordringer som gjør at en hacker kan omgå totrinnsverifiseringen.

– Det er nok av måter å omgå totrinnsverifisering på e-post. Det skyldes at det er et sikkerhetslag på toppen av mange forskjellige løsninger, sier Thorsheim.

LES OGSÅ: Hva kan du gjøre for at det ikke skal skje på din arbeidsplass?

Beryktet hackergruppe

PST gikk tirsdag ut med hvem de mener står bak angrepet mot Stortinget. Det skal være hackergruppen APT28, også kjent som «Fancy Bear».

Ifølge en granskningsrapport om valgpåvirkning under det amerikanske presidentvalget i 2016, er dette militære hackere i russisk militær etterretning (GRU).

Etter det NRK forstår, er det mer enn ti offentlige og private virksomheter som ble forsøkt kompromittert i angrepet. Noen har stor nasjonal betydning.

Det er foreløpig ukjent hvorfor hackerne angrep Stortinget. Ben Buchanan, ekspert på staters bruk av cyberoperasjoner, mener spionasje eller å lekke dokumenter er sannsynlige motiver.

Stortingets sikkerhetssjef er bekymret for at informasjonen kan brukes til å presse noen av ofrene.

– Privat informasjon som banknummer og helseopplysninger er en type opplysninger, som hvis de er på avveie, kan brukes til å prøve å overbevise eller å prøve å presse noen for informasjon eller penger, sier Silseth til NRK.

Russland har tidligere nektet for å stå bak angrepet.

Lyspunkt

AKTUELT NÅ

SISTE NYTT

Siste meldinger