- Det virker som at Killnet først og fremst går mot sårbare mål som ikke har gjemt seg bak DDoS-beskyttelse

- Slike angrep er ofte synlig ett sted, så kommer det noe annet inn bakdøren, sier sikkerhetssjef i Visma om de siste ukenes DDoS-angrep.

Den russiske hackergruppen Killnet publiserte dette bildet på Telegram av utenriksminister Anniken Huitfeldt da de varslet angrepet mot Norge. 📸: Beate Oma Dahle / NTB
Den russiske hackergruppen Killnet publiserte dette bildet på Telegram av utenriksminister Anniken Huitfeldt da de varslet angrepet mot Norge. 📸: Beate Oma Dahle / NTB Vis mer

- Slike angrep er ofte synlig ett sted, så kommer det noe annet inn bakdøren, sier Espen Johansen, "Operations and Security Manager" i Visma.

Det er snart to uker siden at den russiske hackergruppen Killnet varslet at de ville gjennomføre et hackerangrep mot Norge. Samme dag var en rekke statlige og ikke-statlige aktører under DDoS-angrep. Alt fra NAV til flere aviser i Schibsted konsernet ble rammet.

Tjenestenektangrepene har fortsatt. Mandag forrige uke skal en annen russisk gruppe kalt NoName057 stå bak et DDoS-angrep mot en rekke nettsider, hevdet Killnet selv. Lørdag ble NRK utsatt for et DDoS-angrep. Det er ikke klart hvem som står bak angrepet.

Særlig Killnets DDoS-angrep fikk mye oppmerksomhet og ble tett fulgt av norsk presse. Likevel er det andre faktorer som er viktige når du kikker på telemetrien, mener Johansen:

- Har det skjedd noe tidligere? Er DDoS-angrepet med på å ta bort oppmerksomheten fra noe annet? Kanskje har du allerede hatt Cobalt Strike eller tilsvarende utøy i systemene?

En åpenbar kobling

Ifølge Johansen er Killnet en selverklært cybervigilante-organisasjon som har markert støtte til Russland. Kort tid før norske selskaper ble rammet, angrep gruppen Litauen etter at den litauiske regjeringen stanset frakt av gods til Kaliningrad.

Også angrepene mot Norge ser ut til å ha et politisk motiv. En person som hevder å være tilknyttet Killnet har fortalt Dagbladet at årsaken til angrepet var norske myndigheters stans av godstransport fra Russland til Barentsburg på Svalbard, ved grenseovergangen Storskog.

- Det er åpenbart en kobling mellom Killnet og russiske myndigheter. Det som er usikkert er om koblingen er den klassiske måten å drive på, der en GRU-offiser gir mål eller om Killnet bare er mindre begavede folk som går russiske myndigheters ærend uten helt å vite det, sier Johansen.

GRU er den militære etterretningsorganisasjonen i Russland. Ifølge Wired springer den beryktede hackergruppen Sandworm ut av GRU-avdelingen Unit 74455.

Espen Johansen er "Operations and Security Manager" i Visma. 📸: Privat
Espen Johansen er "Operations and Security Manager" i Visma. 📸: Privat Vis mer

Går etter sårbare mål

Johansen tror at Killnet etter hvert vil lide samme skjebne som ransomware-gruppen Conti. Etter at gruppen erklærte troskap til Russland lekket en av gruppens ukrainske medlemmer 60.000 interne meldinger - som har gitt en unik innsikt i hvordan ransomware-grupper opererer.

Johansen mener det er nyttig å sammenligne Killnets DDoS-angrep med hendelser i den "ekte" verden, for eksempel når russiske jagerfly flyr nær den norske grensen for å "teste" forsvaret, eller vise "se hva jeg kan gjøre".

- På samme måte som DDoS-angrepene, stopper de etter en stund når oppmerksomhet er skapt. Når det gjelder målvalgene, virker det som at Killnet først og fremst går mot sårbare mål som ikke har gjemt seg bak DDoS beskyttelse som for eksempel Cloudflare, sier Johansen og legger til at han ikke kjenner til om det slo inn mot andre uten disse sårbarhetene som kanskje ikke merket at de var under angrep.

«Hva er det som skjer når noen går bananas med en legitim konto og kjører et egenprodusert angrep i Python?»

Dette kan du gjøre selv

Johansen nevner en rekke ting du som utvikler kan gjøre for å sikre deg selv og arbeidsplassen din. Først er det de obligatoriske patchene og backups av viktig data. Han råder deg også til å ikke bare fokusere på nettverkssikkerhet, men også angrep via applikasjonen din. Dette kan være angrep som lager DoS på applikasjonsnivå og stresser den indre logikken i systemet ditt.

- Hva er det som skjer når noen går bananas med en legitim konto og kjører et egenprodusert angrep i Python? Blir applikasjonen jailbreaket og viser andres informasjon? Etter hvert vil grupper som Killnet bli smartere i angrepsmetodene, sier han

Her kan du som utvikler ta en rekke grep: Statisk kodeanalyse, fuzzing, dynamisk testing, pentesting, bugbounty, Software Composition Analysis og så videre, er gode virkemidler for å sørge for at det du slipper er sikkert nok til formålet, ifølge Johansen.

- Visma har også publisert en del forskning på feltet for de som ønsker å eksperimentere og lære om hvilke tiltak som en kan iverksette i DevTeamet uten for mye støy, sier Johansen.