Har funnet Hydro-hackerne - nå skal de få dem dømt

- Vi mener saken i det vesentligste er oppklart, sier Knut Jostein Sætnan, operativ påtalejurist i Hydro-saken.

Til sammen 56 mistenkte er så langt navngitt og kartlagt – blant dem pengevaskere, kryptovalutaaktører som i slike saker bidrar med miksing, veksling og utbetaling av kryptovaluta. 📸: Terje Pedersen / NTB
Til sammen 56 mistenkte er så langt navngitt og kartlagt – blant dem pengevaskere, kryptovalutaaktører som i slike saker bidrar med miksing, veksling og utbetaling av kryptovaluta. 📸: Terje Pedersen / NTB Vis mer

Kripos har funnet dem som sto bak løsepenge-angrepet mot Hydro og mener at «Norges største datakrim-sak» er oppklart. Det gjenstår å få domfelt de ansvarlige.

– Vi mener saken i det vesentligste er oppklart, i den forstand at vi i grove trekk vet hva, hvordan og hvem som sto bak. Men saken er likevel ikke ferdig. Domfellelse er målet. Vi jobber med å pågripe flere sentrale gjerningspersoner. Målet er å få sakene ført for retten i Ukraina og Sveits, sa operativ påtalejurist Knut Jostein Sætnan på Hydro-saken i Kripos under et seminar torsdag.

Til sammen 56 mistenkte er så langt navngitt og kartlagt – blant dem pengevaskere, kryptovalutaaktører som i slike saker bidrar med miksing, veksling og utbetaling av kryptovaluta.

Tror de vet hvem som sto bak

Politiet mener de har identifisert fem menn som faktisk gjennomførte selve angrepet. Det hadde pågått i tre og en halv måned da et infisert vedlegg i en epost rammet brutalt.

– Det er disse personene vi mener det er grunnlag for å få tiltalt for å ha utført angrepet, sier Sætnan.

I tillegg er en håndfull personer mistenkt for å ha medvirket, ved blant annet å ha levert tjenester, skadevare og infrastruktur som gjorde angrepet mulig å gjennomføre. Dette er personer «med en klar kriminell intensjon» som har hatt kontakt med de personene Kripos mener er sentrale i saken.

Krevde løsepenger

Fire år etter at alarmen gikk hos Hydro på Vækerø og hos Kripos på Helsfyr, kunne Sætnan fortelle om den nitide etterforskningen som har ført til identifisering av en rekke antatte gjerningspersoner i Ukraina, samt én ukrainer bosatt i Sveits. Den spektakulære løsepenge-saken lammet all digital kommunikasjon og aktivitet i Hydro månedsvis våren og sommeren 2019.

– Dette startet i en av våre fabrikker i USA. Deretter har viruset spredt seg ut i organisasjonen og rammet flere deler av virksomheten både i USA og Europa, sa Hydros finansdirektør Eivind Kallevik til NTB samme dag som angrepet var et faktum.

Samtidig som løsepengeviruset krypterte filene i Hydros verdensomspennende datasystem, krevde gjerningspersonene løsepenger i bytte mot dekrypteringsnøkkelen. Beløpet skulle utbetales i Bitcoin. Størrelsen på det skulle Hydro-ledelsen få vite ved å kontakte gjerningspersonene.

Først i fjor høst kunne politiet overlevere krypteringsnøklene til Hydro. De var hentet ut av serverne til personen som var bosatt i Sveits.

Ukraina var episenter

– Vi skjønte raskt at Ukraina var et episenter i denne saken, og at vi måtte komme oss dit for å komme oss videre i etterforskningen, sier Sætnan.

To og et halvt år etter angrepet mot Hydro aksjonerte ti tjenestepersoner fra Kripos 26. oktober 2021. Sammen med 45 utenlandske og et hundretalls ukrainske politifolk tok de seg inn på 14 adresser i Ukraina og en i Sveits.

Cyberenheten på Kripos, NC3, ledet etterforskningen, som har foregått i samarbeid med politiet i Frankrike, Storbritannia, Ukraina, samt USA, Nederland og Sveits. Aksjonen i oktober for to år siden resulterte i at Kripos fikk med seg 88 servere tilbake til Norge som skal analyseres i forbindelse med etterforskningen.

– Saken er fortsatt under etterforskning og det er mye arbeid som gjenstår. Vi jobber blant annet med å så pågrepet flere gjerningspersoner. Målet er å få domfellelser i Ukraina og Sveits, understreker Sætnan.

De organiserte kriminelle bak angrepet er mistenkt for å stå bak tilsvarende dataangrep mot 1800 individer og virksomheter i totalt 71 land. Etter aksjonen i 2021 ble det hentet ut flere krypteringsnøkler gjør at virksomheter som har vært rammet, kan få hjelp til å låse opp krypteringen og få tilgang til dataene sine igjen. Det er snakk om både norske og internasjonale virksomheter, ifølge Kripos.