Hopp til innhold

Stortinget ikke alene: Massivt hackerangrep mot Norge

Mer enn ti offentlige og private virksomheter ble forsøkt hacket i angrepet mot Stortinget, etter det NRK forstår. PST mener russiske militær-hackere står bak alt.

Fotomontasje av hovedkvarteret til GRU, militær etterretning i Russland, og en etterlystplakat fra FBI.

«FANCY BEAR»: Spesialetterforsker Robert Mueller tiltalte en rekke russiske etterretningsoffiserer for hackingen av det demokratiske partiet og Hillary Clintons kampanje i den amerikanske presidentvalgkampen i 2016. Slik ble hackergruppen «Fancy Bear» direkte knyttet til en avdeling i russisk etterretning.

Foto: Reuters/FBI / NTB

Gruppen, som kalles «Fancy Bear», er en hackergruppe i den russiske militære etterretningen (GRU).

PST mener de stod bak det massive dataangrepet mot Stortinget i august. Men operasjonen var langt større.

Etter det NRK forstår, er det mer enn ti offentlige og private virksomheter som ble forsøkt kompromittert i angrepet. Noen har stor nasjonal betydning.

– Nasjonal betydning

– Det vi har sett mot Stortinget ser vi også er gjennomført mot en rekke norske virksomheter, både offentlige og private. Stortinget er ikke alene forsøkt kompromittert i denne operasjonen. Jeg kan ikke gå inn på hvilke virksomheter det. Det er en håndfull av dem som er lettere kompromittert, sier kontraetterretningssjef Hanne Blomberg i Politiets sikkerhetstjeneste (PST).

– Er det virksomheter som har stor nasjonal betydning?

– Noen av dem har absolutt en nasjonal betydning, ja, sier Blomberg.

Hanne Blomberg

PST: Leder av seksjon for kontraetterretning, Hanne Blomberg.

Foto: Øyvind Bye Skille / NRK

Hun sier «Sofacy» og «Fancy Bear», som gruppen kalles, også er kjent for å gjennomføre lignende operasjoner som den de forsøkte å gjøre mot Stortinget og Norge.

– Vi anser dem for å være en høykompetent gruppe, sier Blomberg.

Sikre på at det er russere

Gruppen er godt kjent for PST og andre i sikkerhetsmiljøet.

– De konkrete bevisene vi har, kan jeg dessverre ikke gå inn på da mye baserer seg på gradert informasjon. Vi ville ikke gått ut med informasjonen hvis ikke vi var relativt sikre på at det er de som står bak, sier Blomberg.

Tidligere i dag kom påtaleavgjørelsen i etterforskningen av datainnbruddet på Stortinget i august. PST henlegger saken, fordi de mener det ikke er mulig å straffeforfølge de som står bak angrepet.

– Vi avslutter etterforskningen fordi vi har vært gjennom en grundig etterforskning og kommet til at vi etter all sannsynlighet har med russisk militær etterretningstjeneste, sier politiadvokat Anne Karoline Bakken Staff i PST til NRK.

Etterforskningen viser at nettverksoperasjonen som Stortinget ble rammet av, er en del av en større kampanje nasjonalt og internasjonalt, som har pågått i alle fall siden 2019, ifølge PST.

PSTs politiadvokat Anne Karoline Bakken Staff

INFORMERER: Advokat i PST, Anne Karoline Bakke Staff.

Foto: Siri Saugstad / NRK

Tidlig i høst, den 13. oktober, gikk regjeringen til det historiske skritt å offentlig beskylde Russland for å stå bak angrepet. Regjeringen la da ikke fram bevis, og ga heller ingen detaljer om hvilken aktør i Russland som de mente var ansvarlig.

Rask henleggelse

PST mener saken er grundig etterforsket. Det vil vært for ressurskrevende og vanskelig å få stilt utenlandske borgere for en domstol i Norge.

Tyskland brukte fem år for å etterforske et angrep fra tilsvarende miljø. Hvorfor gjør ikke Norge en mer grundig etterforskning?

– Politiets sikkerhetstjeneste har gjort en grundig analyse og undersøkelser når vi kommer frem til at vi har med en fremmed stat og fremmede borgere. En videre etterforskning vil være veldig ressurskrevende, og vi tar et valg om å bruke ressurser på andre måter, sier Bakke Staff.

– Grunn til uro

En av dem som ble forsøkt hacket er Liv Signe Navarsete (Sp), som sitter i forsvars- og utenrikskomiteen. Hun mener det er mer skremmende at det viser seg å være en statlig aktør.

Liv Signe Navarsete, Spørretimen.

FORSØKT HACKET: Noen forsøkte å hacke kontoen til Liv Signe Navarsete, men de klarte ikke å komme seg inn.

Foto: Lise Åserud / NTB scanpix

– Det tenker jeg betyr at de har hatt en spesifikk hensikt. Når en går inn i det øverste demokratiske organet i en stat og klarer å tappe informasjon, har det en politisk hensikt. De vil finne ut hva som rører seg her i Norge. Og det gir grunn til uro, sier Navarsete.

Hun mener hackingen har vært en vekker for Stortinget. Hun peker blant annet på at valg tidligere er blitt påvirket av hacking og at dokumenter som ikke er ment for offentligheten kommer ut, sier Navarsete.

Mistenkt for innblanding i USAs valgkamp

PST går nå ut med hvem de mistenker for å stå bak angrepet: Hackergruppen "Fancy Bear". Et annet navn på gruppen er APT 28. Dette er en beryktet hackergruppe. Ifølge den amerikanske spesialetterforskeren Robert Mueller, er «Fancy Bear» en avdeling i russisk militær etterretning (GRU). Det går fram av rapporten han leverte om valgpåvirkning under det amerikanske presidentvalget i 2016.

Gruppen skal ha stjålet e-poster og dokumenter fra Det demokratiske partiet og Hillary Clintons valgkampapparat. Disse ble så publisert for å skade kandidaturet til Clinton.

Oversikt over 12 etterretningsoffiserer FBI har ettersøkt.

TILTALT: I 2018 ble 12 russiske etterretningsoffiserer tiltalt for å ha forsøkt å påvirke det amerikanske presidentvalget i 2016.

Foto: FBI

Med årene har det kommet mange anklager om at GRU står bak lignende vågale og høyprofilerte cyberoperasjoner, men kun i et mindretall av tilfellene er det offentliggjort dokumentasjon som understøtter anklagene.

Tyske myndigheter brukte hele fem år på å etterforske et datainnbrudd mot deres parlament. Det førte til at en GRU-offiser i vår ble tiltalt og internasjonalt etterlyst. Tyskland mener det var gruppen «Fancy Bear» som stod bak angrepet.

Hacket e-poster

Angrepet mot Stortinget rammet både ansatte og stortingsrepresentanter. Hackerne klarte å hente ut informasjon fra flere e-post kontoer, før angrepet ble oppdaget.

E-poster, kontonumre, personnumre, bankinformasjon og andre personopplysninger fra ansatte og stortingspolitikere ble stjålet i angrepet.

– Etterforskningen viser at aktøren har benyttet en fremgangsmåte som kalles passord-«brute forcing» for å skaffe gyldige brukernavn og passord, står det i PSTs pressemelding.

Ifølge PST har denne teknikken blitt brukt mot et høyt antall brukerkontoer.

– Videre har etterforskningen avdekket at aktøren har forsøkt å bevege seg videre inn i Stortingets datasystemer. Informasjonen analysene baserer seg på, tyder på at forsøkene ikke har vært vellykket.

AKTUELT NÅ