Digitale angrep stupte da Ukraina-krigen startet

I NTNUs virksomhetsrapport fra perioden mai til august står det at det ble lavere aktivitet fra enkelte trusselaktører rett etter krigen i Ukraina. Rapporten blir presentert på NTNUs styremøte torsdag.

Se strømmen fra styremøtet nederst i saken (fra klokka 10).

Markant nedgang

— Det var en markant nedgang, sier Stian Husemoen, seksjonsleder ved seksjon for digital sikkerhet ved NTNU.

— Vi kan spekulere i hvorfor det ble slik, men det var nok store ressurser som ble brukt til andre ting i denne perioden vil jeg tro, sier han.

Seksjonen håndterte 167 sikkerhetshendelser fra mai til august. Det er en nedgang på 566 hendelser sammenlignet med samme periode i fjor.

I rapporten oppgis det flere årsaker til nedgangen: Krigen i Ukraina, tofaktorautentisering og flytting av e-post i sky.

— De vi er mest redde for, er de som kommer seg inn i systemene og prøver å kryptere dataene. Disse aktørene var det mindre aktivitet fra, i tillegg til phishing-kampanjer, sier Husemoen.

Sistnevnte er e-poster som skal lure deg til å røpe passordene dine.

Samme tendens i Bergen og Oslo

IT-direktør Tore Burheim ved Universitetet i Bergen (UiB) og IT-sikkerhetssjef Espen Grøndahl ved Universitetet i Oslo (UiO) har merket en lignende tendens.

— UiB opplevde også at det roet seg noe rundt invasjonen og tiden etter. Vi har samtidig et inntrykk av en normalisering i sommer og høst, uten om vi vet noe om årsak til det, sier Burheim i en e-post til Khrono.

— Det er alltid litt vanskelig å gi en presis definisjon av «ett angrep», men vi har sett mye av det samme som NTNU opplever, en nedgang på flere typer hendelser gjennom året, sier Espen Grøndahl ved UiO.

— Vi har derimot hatt noe økning av brukernavn/passord på avveie, men vi sluttfører snart utrulling av tofaktorautentisering på alle tjenester og regner med at det vil få dette problemet under kontroll også, legger han til.

Kategori alvorlig: Ukraina

Av 167 sikkerhetshendelser ved NTNU, kan én knyttes til situasjonen i Ukraina. Husemoen forteller at det var en del distribuerte tjenestenett-angrep rettet mot offentlige instanser på vårparten. Mengdevis med data ble sendt mot nettsidene.

— Ved ett tilfelle kunne vi spore hendelsen tilbake til en trolig tilknytning til Ukraina-konflikten.

Stian Husemoen forteller at de fikk tak i kildekoden til dem som utførte angrepet. I den koden var det en liste med ulike nettsider som var målet, inkludert NTNU.

— Uten at vi skjønner hvorfor havnet vi på den lista. At vi knytter dette til Ukraina, er fordi vi det var en kontekst med at andre nettsider var proukrainske og også utsatt for angrep.

Dette angrepet var likevel ikke av den mest dramatiske typen. Her er det snakk om å sende massiv trafikk mot NTNU for å få nettsidene til å gå tregt.

Husemoen forsikrer at IT-avdelingen var fullt operative og håndterte dette greit. Han mener det er symbolikken i slike angrep som betyr noe og at det er en måte å få medieoppmerksomhet på.

Motsatt trend nasjonalt

Nasjonal sikkerhetsmyndighet (NSM) kan ikke uttale seg om enkeltvirksomheter og situasjonene ved de enkelte universitetet og høgskolene. De opplevde imidlertid følgende tendens når det gjelder ondsinnet aktivitet mot norske virksomheter i første halvdel av 2022:

— Vi har registrert at antallet faktiske kompromitteringer har gått ned, mens det har vært en økning når det gjelder forsøk på slike, sier leder Erik Haugland i Nasjonalt cybersikkerhetssenter i NSM.

Dette mener Haugland kan ha flere årsaker, blant annet at flere virksomheter har styrket sikkerheten i sine systemer med blant annet multifaktorautentisering.

— Med den sikkerhetspolitiske situasjonen vi er i, mener vi at bevisstheten er mye høyere generelt.

FoU særlig utsatt

I rapporten Nasjonalt digitalt risikobilde 2022 står det at særlig tre samfunnsområder har vært utsatt for ulike typer cyberangrep det siste året: Teknologibedrifter, forskning og utvikling, og offentlige forvaltningsorganer.

Som tidligere omtalt i Khrono, ble NSM 29. juni kontaktet av flere virksomheter som opplevde driftsforstyrrelser på nettsidene. Det var et stort koordinert tjenestenektangrep. Definisjonen på slike er at de kun rammer tilgjengeligheten til tjenesten, systemet eller infrastrukturkomponenter som blir angrepet, ifølge rapporten fra NSM.

Samtidig sirkulerte det meldinger fra en hackergruppe kalt Killnet om at flere norske virksomheter var utpekt som mål for disse angrepene.

Angrepene er på vei oppover

Av de 167 sikkerhetshendelsene ved NTNU er 103 kategorisert som nattfiske eller lure-e-poster. Det var 24 brukerkontoer eller passord på avveie og 19 sårbare enheter eller tjenester.

Tre av hendelsene ble kategorisert som alvorlige, og den ene altså knyttet opp mot situasjonen i Ukraina.

De andre to tilfellene gjaldt sårbarhet i wiki-programvare som ble annonsert og måtte hurtigoppdateres, og en kompromittert server som krevde noe opprydding og nye passord for noen brukerkontoer.

I de siste månedene har det fortsatt vært mindre aktivitet, ifølge Husemoen. Men de registrerer at de digitale angrepene øker igjen og nærmer seg normalsituasjonen.

— Vi har ganske god kapasitet til å håndtere og oppdatere hendelser der aktørene prøver å ta kontroll over dataene og kryptere dem. Vi er observante og følger med på aktiviteten. Vi gjør en del proaktive grep, speeder opp planlagte sikkerhetstiltak, har tofaktorautentisering på flere tjenester og byggen en ny sikkverhetsarkitektur fordi vi forventer at aktiviteten vil øke framover.

Fokus på sensitive fagområder

Det har vært et par episoder nylig knyttet til sensitive fagområder. Den første var den tysk-iranske professoren som er tiltalt for å ha brutt sanksjonene mot Iran ved å invitere flere gjesteforskere fra Iran og gi dem tilgang til et laboratorium.

Den andre er den brasilianske gjesteforskeren ved UiT Norges arktiske unioversitet som PST mener er en russisk spion med antatt russisk identitet. Han var involvert i et fagområde som forsker på nordområdene og hybride trusler.

Stian Husemoen ved NTNU forteller at når det gjelder sensitive fagområder, er NTNU omtalt i trusselvurderingene til PST, etterretningstjenesten og Nasjonal sikkerhetsmyndighet.

— NTNU har fokus på dette, og situasjonen har ikke endret seg mye de siste årene. Vi bruker veldig mye tid på bevisstgjøring og å overvåke trafikken mot slike miljøer. Vi har ingen konkrete saker per nå, verken som kan knyttes til miljøer eller spesielle sikkerhetsaktører generelt, sier han.

Endringslogg 3. november kl. 10.00: Oppdatert med uttalelser fra IT-sikkerhetssjef Espen Grøndahl ved Universitetet i Oslo (UiO).