DEBATT:
Påsken er høytid for cyberangrep
Påskekrim er en unik norsk tradisjon. Mens andre land feirer påsken med fargerike egg og vårlige blomster, sitter vi nordmenn klistret til TV-skjermen og følger forskrudde mordgåter. Derfor benytter Anja Olsen, security engineer i DNB, anledningen til å skrive litt om cyberkriminalitet – «true crime» av beste sort!
Påsken er høytid for oss – og inneholder ofte påskeegg, skiturer, Kvikklunsj og appelsiner. Samtidig er høytider også høytid for kriminelle, ikke i ferie-forstand, men i den forstand at de setter inn et ekstra gir på angrepsfronten. Dette har vi sett mange eksempler på tidligere, for eksempel under et av de største bankranene som noen gang har funnet sted – cyberangrepet som ofte kalles «The Bangladesh Bank Heist». Jeg skal også nevne et par eksempler på hendelser i Norge. Her er det bare å finne fram påskegodtet og sette seg godt til rette. Personlig har jeg ventet i mange år på at Netflix eller HBO skal plukke opp «Bangladesh Bank»-historien og lage en gjennomprodusert spenningsserie. Dette har ikke skjedd enda, men jeg som sikkerhetsanalytiker og ingeniør i bank er kanskje ikke helt representativ for hva folk synes er spennende? Jeg mener uansett at historien er en påskekrim verdig.
Hendelsen fant sted i februar 2016, hvor en statlig finansiert nordkoreansk hackergruppe som går under navnet «Lazarus» hadde klart å få tilgang til noen brukerkontoer hos sentralbanken i Bangladesh.
The Bangladesh Bank Heist – et av tidenes største bankran
Hendelsen fant sted i februar 2016, hvor en statlig finansiert nordkoreansk hackergruppe som går under navnet «Lazarus» hadde klart å få tilgang til noen brukerkontoer hos sentralbanken i Bangladesh. Det fikk de ved å infisere en av de ansattes jobb-PC med skadelig kode. De beveget seg videre til SWIFT-systemet direkte fra denne PC-en (banken har senere blitt kritisert for manglende segmentering og sikkerhet der), og overvåket og manipulerte informasjon om finansielle transaksjoner i SWIFT-systemet. For de uinnvidde, SWIFT er et globalt meldingssystem som brukes av finansinstitusjoner for å sende og motta informasjon, som pengeoverføringsinstruksjoner. Denne tilgangen benyttet de seg av til å forsøke å tømme hele sentralbankens konto hos The Federal Reserve Bank i New York. De la inn falske transaksjoner som ba om overførsler av til sammen nesten 1 milliard amerikanske dollar. Hackerne benyttet seg av skreddersydd malware som aldri hadde blitt benyttet tidligere. Dette kjennetegner ofte statlige trusselaktører, som gjerne har mer ressurser og tid enn de som kun er økonomisk motiverte.
De lyktes først i å få overført rundt 81 millioner dollar til kontoer på Filippinene og 20 millioner dollar til kontoer på Sri Lanka. Aktøren benyttet seg også av flere triks for at det skulle bli vanskeligere å avdekke angrepet før det var for sent. For det første er det åpenbart tidsforskjeller mellom New York og Bangladesh, og i tillegg er helgen i Bangladesh fredag og lørdag, mens den i New York er lørdag og søndag. På toppen av det, var mandagen etterpå (8. februar 2016) kinesisk nyttår, og derfor en helligdag i store deler av Asia. Til sammen hadde hackerne nesten fem dager med fridager i forskjellige deler av angrepskjeden, slik at det ble vanskelig for bankene å stoppe transaksjonene da varsellampene begynte å lyse. Apropos 5 dager fri – stemmer ganske greit overens med påsken i Norge, det! I forkant av denne operasjonen, hadde hackerne allerede hatt tilgang til systemene i et helt år. De lå bare og ventet på riktig tidspunkt, nemlig en høytid. Noen av pengene ble gjenvunnet av bankene, men det meste av pengene som ble overført til kontoer på Filippinene ble hvitvasket på kasinoer(!) og ble aldri sett igjen. Nordkoreanske trusselaktører er veldig spennende, fordi de er de eneste som er både statlig finansierte og økonomisk motiverte, mye på grunn av sanksjonsregimet som eksisterer rundt nasjonen. Hvis du vil lære mer om dette fascinerende angrepet, anbefaler jeg for eksempel å lytte til podcasten «Darknet Diaries», episode 72: https://darknetdiaries.com/episode/72/
DNBs erfaringer med Lazarus
Sentralbanken i Bangladesh er imidlertid ikke den eneste banken som har vært borti denne nordkoreanske trusselaktøren. Samme år hadde vi nemlig et tilfelle i DNB som med stor sannsynlighet hadde med samme aktør å gjøre. Slike trefninger med statlige aktører er ikke hverdagskost for oss i bank og finans, vi kommer stort sett utfor organiserte kriminelle som er økonomisk motiverte. Men som sagt, Lazarus er en spesiell aktør. Hendelsen gikk ut på at en ansatt hadde besøkt en bransjeaktuell nettside som var blitt kompromittert og gjort om til å distribuere skadelig kode. Den ansattes maskin ble infisert med en trojaner, men dette ble plukket opp og uskadeliggjort av antivirus. Det ble likevel gjort full forensics og masse analysearbeid for å være på den sikre siden. Hendelsen fikk ingen videre konsekvenser. DNBs Cyber Defense Center pleide å bruke mye mer tid på å oppdage og håndtere forsøk på digitale bankran av den typen som rammet sentralbanken i Bangladesh, men trusselaktører som Lazarus har siden den gang i stor grad beveget seg over til å forsøke å rane kryptobørser. Antakeligvis fordi det er en kortere vei til pengene der enn det er å komme seg helt inn til SWIFT-systemet i en bank. Noe som er mer aktuelt for DNB nå for tiden, i likhet med for mange andre bedrifter, er ransomware.
Norske eksempler – ransomwareangrep mot Nortura og Amedia
I Norge har vi også sett flere tilfeller av at bedrifter har blitt rammet av cyberangrep i forbindelse med høytider.
I Norge har vi også sett flere tilfeller av at bedrifter har blitt rammet av cyberangrep i forbindelse med høytider. Særlig ransomwareangrep, der hackerne krypterer eller låser filene til ofrene og krever løsepenger for å gi dem tilbake. Dette kan ha store konsekvenser for både drift, omdømme, og økonomi. De siste årene har vi under ransomwareangrep også observert at hackerne ofte benytter tilgangen de har til å eksfiltrere store mengder konfidensiell data, før de distribuerer selve krypteringen, for så å true med å selge eller publisere dette på «the dark web» med mindre offer-bedriften betaler løsepenger. På denne måten har de en slags «dobbel utpressing», for selv om virksomheten skulle kunne gjenopprette alle systemer fra backup, kan de fortsatt ha sensitiv informasjon på avveie.
En av bedriftene som har fått oppleve ransomware på nært hold er Nortura, som ble utsatt for et dataangrep 21. desember 2021 – midt i julestria. Angrepet førte til at Nortura måtte stenge ned sine IT-systemer og redusere aktiviteten ved flere av fabrikkene. Dette hadde også innvirkning på bønder som skulle levere dyr til slakting i jula, som fikk forskjøvet sin produksjon til over nyttår. Angrepet kostet Nortura 36 millioner kroner, og dette ble synlig da de skulle legge frem resultater fra 2021. Det fysiske aspektet med logistikk og dyr gjør det hele enda mer dramatisk.
En annen bedrift som ble rammet av et lignende angrep rundt samme tid var Amedia, som er Norges største utgiver av lokalaviser. Amedia ble angrepet 28. desember 2021, og måtte også stenge ned sine it-systemer. Angrepet påvirket både redaksjonelle og administrative systemer, og førte til at flere aviser ikke kom ut som normalt.
Begge disse angrepene viser hvor sårbare norske bedrifter er for cyberkriminalitet, spesielt i høytider når mange ansatte har fri og det er mindre overvåkning. Derfor er det viktig å ha gode sikkerhetstiltak, beredskapsplaner, øvelser og opplæring for å forebygge, oppdage, og håndtere slike hendelser.
DNBs Cyber Defense Center – alltid på vakt
Jeg husker godt jeg var beredskapsvakt for DNBs Cyber Defense Center i julen 2022, og var rimelig nervøs med tanke på angrepene vi så i Norge julen før! Heldigvis gikk det fint. Vi har gode sikkerhetsløsninger i DNB, men man kan aldri vite, for vi på forsvarssiden må ideelt sett dekke absolutt alle hull (spoiler alert: det går ikke an), mens for de kriminelle kan det holde å finne ett.
Dette med sårbarheter er en fascinerende ting å tenke på. Uansett hvor perfekt vi tror at en programvare eller et system er, er det alltid fullt av sikkerhetshull. Vi har bare ikke funnet dem enda. Jeg tenker at det er dette som skiller data og teknologi fra andre vitenskaper som fysikk og kjemi; programvare, kode og kommunikasjonsprotokoller er nemlig ett hundre prosent menneskeskapte, og derfor fulle av feil.
Vi i DNBs Cyber Defense Center har alltid noen på vakt, og gjør vårt beste for å oppdage og håndtere cyberangrep mot DNB, slik at vi kan bevare finansiell trygghet og stabilitet i Norge. Her skulle vi selvfølgelig gjerne sagt at det betyr at alle andre der ute kan ta det helt med ro i påsken – men det er dessverre ikke helt sant. De kriminelle er ikke bare ute etter bedrifter, de prøver seg konstant på enkeltpersoner også. Derfor oppfordrer vi alle til å passe litt «eggstra» på når man mottar lenker, vedlegg og uventede henvendelser generelt. Det er fort gjort å ryke på en smell når du for eksempel bare skal sjekke noe kjapt på mobilen i ferien.
Med det i tankene, ønsker jeg dere en god påske, fri for kriminalitet, men kanskje med noe true crime på TVen?
Hvis du vil lese mer om hendelser DNB håndterte i 2023, og om arbeid for å forhindre cyberangrep og mye mer, ta en titt på rapporten Finansiell trygghet i en usikker verden.
Kilder:
How the New York Fed fumbled over the Bangladesh Bank cyber-heist (reuters.com)
Cyberangrep kosta Nortura 36 millionar – E24
Amedia utsatt for et alvorlig dataangrep
Kort om dataangrepet mot Amedia