– Det kan være veldig komplisert å ettergå hva angripere har gjort, og hvem de er i tilfeller der noen har brutt seg inn i datasystemene til en bedrift eller etat, sier Erik Alexander Løkken i det norske sikkerhetsselskapet Mnemonic.

Selskapet har mye erfaring med å hjelpe bedrifter å beskytte seg, og bistår også der det oppdages at noen med onde hensikter har brutt seg inn. Blant annet bisto selskapet Helse Sør-Øst som konsulenter da det ble oppdaget at noen brøt seg inn i systemene hos helseforetaket.

Onsdag ble det kjent at det store norske programvareselskapet Visma har vært utsatt for et omfattende og avansert dataangrep.

Visma selv, og sikkerhetsselskapet som hadde bistått dem, var svært tydelige på at det var en kinesisk hackergruppe som stod bak.

Administrerende direktør Øystien Moan i Visma viste fram og forklarte hva de hadde funnet ut om angrepet bedriften hadde vært utsatt for. Foto: Wilhelm Sverdvik / NRK

– De analysene vi har gjort tyder på at det er kinesiske myndigheter som står bak dette angrepet, sa administrerende direktør Øystein Moan til NRK da.

Men nå sås det tvil rundt analysen Visma har fått gjort.

Microsoft-analytikere: – Nei, det er ikke de som står bak

Vismas konsulenter i selskapet Recorded Future publiserte i går en rapport på 38 sider med mange detaljer fra angrepet.

I rapporten slår de fast aktørene bak angrepet var én konkret hackergruppe med koblinger til det kinesiske regimet, omtalt med navn som APT10 og Stone Panda.

We assess with high confidence that the attacks were conducted by Chinese MSS threat actor APT10 (..) APT10 Targeted Norwegian MSP and US Companies in Sustained Campaign / Recorded Future

Dette er det dog ikke alle som er enige i.

Analytikere fra Microsofts it-sikkerhetsmiljø går direkte ut mot disse konklusjonene:

Laster Twitter-innhold Kunne ikke laste innhold, men du kan gå til twittermeldingen.

Kort forklart peker personer i IT-sikkerhetsmiljøet til Microsoft på ei annen hackergruppe kalt Zirconium eller APT31. Dette knytter de blant annet til spor i domenenavn brukt av angriperne.

Denne gruppen finnes det lite åpen informasjon om hvor kommer fra, men de er omtalt for å ha brukt helt ukjente teknikker i 2017 og å ha utnyttet annonsesystemer på nettet.

NRK har forsøkt å få kommentarer fra Microsoft om disse opplysningene, men de vil ikke stille til intervju.

Erik Alexander Løkken som leder arbeidet med sikkerhetshendelser for Mnemonic forteller at de også har hørt om usikkerhetene om hvem som stod bak.

– En sikkerhetsorganisasjon har sagt at en gruppe står bak angrepet mot Visma, men flere andre har påpekt at deler av angrepet kan peke på at det er en annen trusselaktør som står bak, sier Løkken.

Analyserer metoder, verktøy og nettspor

Løkken i Mnemonic forteller at det ofte er et svært omfattende puslespill å finne ut hva de som står bak dataangrep har gjort, og hvem de eventuelt er.

– Ofte når man oppdager avanserte trusselaktører inne i en organisasjon skjer det først lenge etter at de kom seg inn. Da kan det være vanskelig å spore hvor de har vært, sier han.

Ifølge Mnemonic-eksperten er det flere eksempler på at dataangripere har vært inne i andres systemer i uker, måneder og år før de ble oppdaget.

Erik Alexander Løkken forteller at de i Mnemonic har egne verktøy for å holde styr på alle de ulike hackergruppene. Foto: Øyvind Bye Skille / NRK

Da kan det ligge spor igjen fra flere hundre ulike verktøy og nettspor.

– Den vanligste måten å forsøke å identifisere en aktør, er å se på hvilke verktøy de har brukt, når ble de utviklet, er det noen tegn i verktøyene på hvor de er utviklet, har vi sett andre bruke disse metodene osv., sier Løkken.

– Så det er ikke som på film at dere kan følge en strek på kartet og finne ut hvor hackerne er?

– Det hadde vært fint å kunne det, men det er sjelden direkte mulig å følge «streken» mellom maskiner de hopper til og fra.

Han trekker også fram at det finnes flere ganske avanserte trusselaktører som ikke nødvendigvis er koblet til statlig etterretning.

– Det er veldig fort gjort å skylde på Russland og Kina. De er ikke de eneste trusselaktørene å ta hensyn til. Det har kommet fram informasjon som viser at de har vært involvert i flere hendelser, men det finnes også trusselaktører som er mindre statlig tilknyttet og som kan skape store problemer, sier han.

Etter at pekefingeren ble rettet mot Kina har de også svart på beskyldningene med tydelig forakt.

– Disse vilkårlige påstandene mot Kina er klisjé, og egentlig ikke verdt å imøtegå, skriver den kinesiske ambassaden på e-post til NRK og understreker at landet sterkt er imot cyberangrep.

Vismas sikkerhetskonsulenter: – Åpne for at vi kan ha tatt feil

NRK har vært i kontakt med Visma om at feilaktør kan ha blitt presentert som angriperne forbindelse med dette dataangrepet.

Selskapet har ikke ønsket å stille til intervju. På e-post svarer de:

– Vi ønsker ikke å kommentere på dette, men henviser til Recorded Future.

Foto: Paul Kleiven / NTB scanpix

NRK har derfor også presentert påstandene fra Microsoft-analytikerne for sikkerhetskonsulentselskapet Recorded Future.

I en lengre e-post svarer selskapet fyldig om hvilke vurderinger de gjorde, og hva de tenker om det som kommer fram fra andre sikkerhetseksperter nå.

– Vår vurdering av hvem som stod bak var basert på all den informasjonen vi satt på før vi utga rapporten. Nå har det blitt sådd tvil om dette, basert på informasjon som fram til da aldri hadde vært delt med offentligheten. Informasjonen som ble delt på Twitter og informasjon vi har fått etter å ha gått i direkte dialog tyder på at begge hackergruppene (APT10 og APT31) kan være knyttet til kinesiske myndigheter, svarer direktør for trusselanalyse Priscilla Moriuchi hos Recorded Future til NRK og understreker at de takker for alle innspill de kan få – også fra Microsoft.

Direktøren i selskapet forteller at det absolutt er slik at det er vanskelig å finne ut hvem som står bak dataangrep. Ifølge henne er det ingen eksakt vitenskap, og det viktige er å bidra til mer sikkerhet for selskapene som trenger beskyttelse.

– IT-sikkerhetsarbeidet blir bedre om vi jobber sammen. Vi jobber alle sammen mot de samme fiendene. Så vi håper enda mer samarbeid vil gjøre at vi kan finne ut mer om disse angrepsgruppene, truslene de utgjør og oppdatere kunnskapen vi sitter på.

– Pekte dere på feil hackere da dere utga rapporten?

– Fram til i dag har det nesten ikke vært åpent tilgjengelig informasjon om gruppen omtalt som APT31. Teknikkene deres var i stor grad ukjente. Nå finner vi ut at de bruker mye av de samme metodene som de vi pekte på (APT10) og er derfor sannsynligvis også knyttet til kinesiske myndigheter. Med tanke på informasjonen som har kommet fram de siste dagene er vi åpne for at vi kan ha tatt feil – og at de som stod bak kan ha vært fra APT31. Vi vil likevel understreke at de har mange likheter, kan være underlagt samme kinesiske statlige organ og derfor kan være vanskelig å skille fra hverandre, sier Priscilla Moriuchi hos Recorded Future.