For noen uker siden informerte Politiets sikkerhetstjeneste (PST) universitetene i Oslo og Bergen om at rundt 80 av deres forskere var utsatt for et omfattende målrettet hackerangrep, trolig styrt fra Iran.

Universitetene selv har, etter at alarmen gikk, funnet fram til 43 forskere.

Det er amerikanske FBI som har etterforsket det omfattende angrepet, som blant annet rammet rundt 144 universiteter i USA og 176 universiteter i 21 andre land, inkludert Norge.

Arrestordre på ni iranere

FBI har nå etter etterlyst ni iranere som jobbet ved Mabna Institute i Iran, som skal ha jobbet for iranske myndigheter og Irans revolusjonsgarde.

VARSLET: Seksjonsleder Hanne Blomberg i PST bekrefter at de mener Iran sto bak den omfattende hackeroperasjonen som også rammet to norske universiteter. Foto: Terje Haugnes / NRK

– Ifølge amerikanske myndigheter er dette aktører som kan knyttes til iranske myndigheter, sier Hanne Blomberg, som leder seksjon for statlige aktører i PST.

– Hvorfor har de gjennomført dette angrepet?

– I utgangspunktet er det bare angriperen selv som vil vite nøyaktig hvorfor de har gjort det, men tilsynelatende så er det for å hente ut forskningsmateriale, sier Blomberg til NRK.

Seksjon for statlige aktører i PST har ansvar for å forhindre og forebygge fremmede staters etterretningsaktivitet i Norge. De arbeider også med å motvirke staters forsøk på å anskaffe teknologi og kunnskap om masseødeleggelsesvåpen.

Målrettet angrep

De to norske universitetene har i sine egne undersøkelser funnet til sammen 43 forskere som faktisk mottok en e-post fra de iranske hackerne. Metoden kalles fisking og hackerne må ha gjort research på forhånd.

E-postene var skrevet til hver enkelt forsker og viste til forskningsrapporter de hadde skrevet tidligere.

LURE-E-POST: Her er e-posten som ble sendt til minst 43 kjente forskere ved universitetene i Oslo og Bergen. Avsenderen utgir seg for å være en tysk forsker, men denne forskeren ble selv utnyttet i hackeroperasjonen.

I alt 24 forskere ved Universitetet i Oslo mottok i 2015 en e-post som så ut til at den kom fra en tysk forsker i München. Dette var en reell forsker som ble misbrukt av hackerne.

I e-posten, som var skrevet på godt engelsk, spør avsenderen om de kan samarbeide og om mottakeren kan sende ham sin rapport.

Ved å trykke på en lenke kom mottakeren inn på en side som var helt lik innloggingssiden til Universitetet i Oslo. Dersom forskeren skrev inn sitt brukernavn og passord, ble det stjålet. Hackerne brukte så dette for å logge seg inn på databaser og stjele tusenvis av vitenskapelige artikler.

– Lett å bli lurt

– Det var en hyggelig e-post som sa: «Vi har lest din kjempegode forskningsartikkel som vi veldig gjerne vil ha tak i, kan ikke du bare trykke på denne lenken her, så får vi den artikkelen», forteller IT-direktør Lars Oftedal ved Universitetet i Oslo.

MÅLRETTET ANGREP: IT-direktør Lars Oftedal ved Universitetet i Oslo forstår godt at flere forskere ble lurt av den falske e-posten. Han sier dette angrepet var svært profesjonelt utført. Foto: Terje Haugnes

– Det er ganske vanlig at forskere får denne typen henvendelser fra kollegaer som ønsker samarbeid. Så det er veldig lett å skjønne at en forsker går på dette. Det var det som kalles målrettet phishing, eller fisking, som vi sier på norsk.

Oftedal sier at de som sto bak angrepet var veldig profesjonelle.

– Det var direkte til den enkelte, det var godt språk og det var en lenke til en artikkel om den enkelte. Så det var gjort bevist research for å finne fram til dem.

Slik han forstår saken fant hackerangrepene sted mens Iran-boikotten pågikk for fullt.

– Dermed hadde ikke iranerne tilgang til denne typen informasjon. Derfor har de sikkert vært opptatt av å få tak i den til forskningen sin, sier Oftedal.

– Svært ubehagelig

– Vi synes dette er sterkt beklagelig. Det er ikke det at vi ikke ønsker å dele kunnskap og informasjon, men her har våre ansatte og våre e-postsystemer blitt brukt til simpelt tyveri, sier rektor Dag Rune Olsen ved Universitetet i Bergen til NRK.

SIMPELT TYVERI: Rektor Dag Rune Olsen ved Universitetet i Bergen sier deres ansatte synes det som er skjedd er svært ubehagelig. Universitetene ble informert av PST om FBIs etterforskning i april. Foto: Arne Frank Solheim

Olsen sier at 19 av deres mest kjente forskere ble utsatt for angrepet og at de synes det er svært ubehagelig. Forskerne jobber innfor forskjellige fagfelt, men ingen av dem arbeidet med teknologi knyttet opp mot våpensystemer.

Rektoren sier at forskernes innlogging ble brukt til å hente ut forskningsmateriale fra databaser som Iran på det tidspunktet ikke hadde tilgang til, og som de uansett måtte betalt for.

– Dette tror vi er rent vinningstyveri, fordi det skjedde i en periode hvor det var restriksjoner for salg av forskjellige tjenester til Iran, sier Olsen til NRK.

– Dette svindelforsøket, som dessverre lyktes, var veldig profesjonelt utført og vanskelig å gardere seg mot. Dette ble ikke gjort fra gutterommet.

Forsker meldte fra

Tilbake i 2015 reagerte en av forskerne ved Universitetet i Oslo på e-posten og varslet IT-avdelingen som slo alarm. Forskerne som hadde mottatt e-posten ble varslet og bedt om å bytte passord. IT-direktøren sier de også varslet myndigheter og andre universiteter og høyskoler om angrepet.

ETTERLYST: FBI mener disse ni iranerne sto bak et omfattende hackerangrep mot universiteter også i Norge. Bildene er sladdet av NRK.

Først nå har universitetene blitt varslet om FBIs etterforskning. Amerikanerne mener staten Iran sto bak den omfattende hackeroperasjonen.

– Denne saken eksemplifiserer egentlig det vi erfarer av nettverksoperasjoner i Norge. Vi ser et høyt trykk mot norske virksomheter gjennomført av statlige aktører, og dette er bare én av mange slike operasjoner som vi ser i Norge, sier Hanne Blomberg i PST.

– Vi er sårbare

– Utfordringen for Norge sin del er at vi er et gjennomdigitalisert samfunn. Vi har veldig mange av våre verdier knyttet til IKT-nettverk, men vi har en lav sikkerhetsbevissthet på dette. Det gjør oss også veldig sårbare for denne typen nettverksoperasjoner, sier Blomberg.

– Hvor uvanlig er det at Iran står bak denne typen angrep?

– Iran er en av de aktørene som vi ser står bak nettverksoperasjoner mot Norge, sier Blomberg.

NRK har i flere dager forsøkt å få et svar på anklagene fra Irans ambassade i Oslo, uten hell.

– Målrettede angrep skjer ukentlig

IT-direktøren ved Universitetet i Oslo sier de ukentlig blir utsatt for slike målrettede hackerangrep.

– Tror du de også kan ha vært inne i deres systemer og ødelagt noe?

– Det vet vi ikke. Det vi har gjort av undersøkelser viser at de ikke har gjort det, men det er veldig vanskelig å vite det eksakt. Hvis de hadde ødelagt noe hadde vi oppdaget det. Men hvis de bare leser annen informasjon, vil vi nok ikke se det, sier Lars Oftedal.

Han forstår godt at mange kunne bli lurt av e-posten.

– Dette er virkelig noe som kan skje oss alle, så vær bevisst. Prøv å bruke litt tid til å se på nettadressen, og vurder om dette er en riktig adresse eller ikke, råder Oftedal.

Både UiB og UiO mener de har gode systemer for å hindre hackerangrep av denne typen. Universitetene har av personvernhensyn ikke ønsket å formidle kontakt mellom NRK og forskerne som ble utsatt for hackerangrepet.