Kripos: – Vi vet at angriperne fikk opprettet brukere på Hydro sitt nettverk

Kripos sier at etterforskningen av dataangrepet mot Hydro er høyt prioritert. Angriperne fikk opprettet brukere i Hydros systemer.

SKRUDDE AV SYSTEMENE: Mens selskapet jobbet med å få sikret it-systemene, måtte de ansatte erstatte datasystemene med penn og papir.

Foto: Gwladys Fouche Reuters
Publisert:

– Hvordan angriperne har fått tilgang til systemet er ennå ikke avklart, men man vet at angriperne fikk opprettet legitime brukere på Hydro sitt nettverk, sier politiadvokat Knut Jostein Sætnan i Kripos til E24.

Nesten en måned etter at Hydro fortalte at selskapet hadde blitt utsatt for et dataangrep, er det fortsatt uklart hvem som står bak, og hvor lenge angriperne hadde tilgang til Hydros nettverk.

– Hvor lenge angriperne har hatt tilgang, og hvordan de har fått tilgang til Hydros systemer, er sentrale spørsmål som man ønsker at etterforskningen skal avklare. Ennå er det imidlertid altfor tidlig å kommentere på dette, sier politiadvokaten.

Les også

Hydro: Anslår kostnad på 300 til 350 millioner kroner etter cyberangrepet

Fremdeles noe manuell drift

I morgentimene den 19. mars ble det kjent at Hydro var rammet av et cyberangrep. For å forhindre at viruset spredte seg i selskapets infrastruktur, kuttet Hydro kontakten til datasystemene, og måtte drive virksomheten uten datakraft.

Hydro forteller fredag til E24 at selskapet har produksjon som normalt på nesten alle områder, men fremdeles høyere grad av manuell drift etter angrepet.

Sætnan forteller at Kripos jobber bredt på flere fronter med etterforskningen av dataangrepet, og at undersøkelsene i saken er høyt prioritert.

– Det er satt av betydelig med ressurser i dette arbeidet. Sporsikring og tekniske analyser av data fra hendelsen er sentrale arbeidsoppgaver som det arbeides med i samvirke med relevante aktører både i Norge og internasjonalt, sier Sætnan.

Les på E24+ (for abonnenter)

Små- og mellomstore selskapers guide til cybertrusselen

Viruset

Det var løsepengeviruset LockerGoga som rammet Hydro. Det fungerer slik at angriperne får tilgang til en PC, og deretter går videre fra data til data på det samme nivået i nettverket, og forsøker å stjele passord som gir tilgang til høyere nivåer.

Løsepengevirus blir oftest oppdaget først når angriperne krypterer deler av datasystemet, og krever løsepenger for å få tilgang igjen.

Politiadvokaten sier at Kripos ikke er kjent med flere LockerGoga-angrep i Norge som kan ses i sammenheng med angrepet på Hydro.

– Utbredelsen av LockerGoga viruset og eventuelt hvilke andre virksomheter som er rammet er naturlig nok en sentral del av etterforskningen, og Kripos vil samarbeidet med de land hvor det foregår tilstøtende etterforskninger. Internasjonalt samarbeid er helt nødvendig i denne typen saker og Kripos har derfor etablert et godt samarbeid med Europol og andre aktuelle internasjonale aktører, sier Sætnan.

Les også

Hydro: Nesten normal drift igjen etter angrepet

Les også

If har fått 950 prosent flere sidetreff på cyberforsikring etter Hydro-angrepet

Les også

Hydro har bevisst ikke kontaktet hackerne

Her kan du lese mer om