Kripos mener å ha oppklart Hydro-angrepet
Kripos har funnet dem som sto bak løsepenge-angrepet mot Hydro og mener at «Norges største datakrim-sak» er oppklart. Det gjenstår å få domfelt de ansvarlige.
– Vi mener saken i det vesentligste er oppklart, i den forstand at vi i grove trekk vet hva, hvordan og hvem som sto bak. Men saken er likevel ikke ferdig. Domfellelse er målet. Vi jobber med å pågripe flere sentrale gjerningspersoner. Målet er å få sakene ført for retten i Ukraina og Sveits, sa operativ påtalejurist Knut Jostein Sætnan på Hydro-saken i Kripos under et seminar torsdag.
Hackerangrepet mot Hydro skjedde 19. mars 2019. Selskapet nektet å betale utpresserne løsepenger for å få tilgang til egne datasystemer, men det skulle koste selskapet 800 millioner kroner å rydde opp. Fire år senere kan norsk politi, etter solid støtte fra internasjonalt samarbeid, legge fram et omfattende etterforskning.
Til NTB sier Sætnan at Kripos er innstilt på å følge en eventuell rettssak i Sveits.
– Ja, vi er innstilt på å være på plass der, men er litt mer avventende til en mulig rettssak i Ukraina, sier Sætnan etter seminaret.
Til sammen 56 mistenkte er så langt navngitt og kartlagt – blant dem pengevaskere, kryptovalutaaktører som i slike saker bidrar med miksing, veksling og utbetaling av kryptovaluta.
– Det er disse personene vi mener det er grunnlag for å få tiltalt for å ha utført angrepet, sier Sætnan.
Fremdeles etterforskes seks sentrale gjerningsmenn politiet forsøker å avdekke identiteten til. Sætnan sier dette kan være flere personer eller færre som har operert med ulike profiler på nettet.
I tillegg er en håndfull personer mistenkt for å ha medvirket, ved blant annet å ha levert tjenester, skadevare og infrastruktur som gjorde angrepet mulig å gjennomføre. Dette er personer «med en klar kriminell intensjon» som har hatt kontakt med de personene Kripos mener er sentrale i saken.
– Dette startet i en av våre fabrikker i USA. Deretter har viruset spredt seg ut i organisasjonen og rammet flere deler av virksomheten både i USA og Europa, sa Hydros finansdirektør Eivind Kallevik til NTB samme dag som angrepet var et faktum.
Samtidig som løsepengeviruset krypterte filene i Hydros verdensomspennende datasystem, krevde gjerningspersonene løsepenger i bytte mot dekrypteringsnøkkelen. Beløpet skulle utbetales i Bitcoin. Størrelsen på det skulle Hydro-ledelsen få vite ved å kontakte gjerningspersonene.
Først i fjor høst kunne politiet overlevere krypteringsnøklene til Hydro. De var hentet ut av serverne til personen som var bosatt i Sveits.
– Det å vise at man ikke vil betale er det beste. Ut fra samtalelogger vi fant i beslag så vi at ser vi at en del cyberkriminelle tenker at selskaper i Nord-Europa betaler sjelden, sier Knut Jostein Sætnan.
Han forteller at avsløringen av nettverket avdekket at 200 IP-adresser i Norge var infisert med samme utpresservirus. Disse ble varslet og avvergende tiltak hindret at flere ble rammet.
To og et halvt år etter angrepet mot Hydro aksjonerte ti tjenestepersoner fra Kripos 26. oktober 2021. Sammen med 45 utenlandske og et hundretalls ukrainske politifolk tok de seg inn på 14 adresser i Ukraina og en i Sveits.
Cyberenheten på Kripos, NC3, ledet etterforskningen, som har foregått i samarbeid med politiet i Frankrike, Storbritannia, Ukraina, samt USA, Nederland og Sveits. Aksjonen i oktober for to år siden resulterte i at Kripos fikk med seg 88 servere tilbake til Norge som skal analyseres i forbindelse med etterforskningen.
De organiserte kriminelle bak angrepet er mistenkt for å stå bak tilsvarende dataangrep mot 1800 individer og virksomheter i totalt 71 land. Etter aksjonen i 2021 ble det hentet ut flere krypteringsnøkler gjør at virksomheter som har vært rammet, kan få hjelp til å låse opp krypteringen og få tilgang til dataene sine igjen. Det er snakk om både norske og internasjonale virksomheter, ifølge Kripos.
Politiet mener de har identifisert fem menn som faktisk gjennomførte selve angrepet. Det hadde pågått i tre og en halv måned da et infisert vedlegg i en epost rammet brutalt.
Fire år etter at alarmen gikk hos Hydro på Vækerø og hos Kripos på Helsfyr, kunne Sætnan fortelle om den nitide etterforskningen som har ført til identifisering av en rekke antatte gjerningspersoner i Ukraina, samt én ukrainer bosatt i Sveits. Den spektakulære løsepenge-saken lammet all digital kommunikasjon og aktivitet i Hydro månedsvis våren og sommeren 2019.
– Vi skjønte raskt at Ukraina var et episenter i denne saken, og at vi måtte komme oss dit for å komme oss videre i etterforskningen, sier Sætnan.
(©NTB)
