Hafa ekki unnið beint með rússneskum stjórnvöldum

Guðmundur Arnar Sigmundsson, sviðstjóri netöryggissveitarinnar CERT-IS.
Guðmundur Arnar Sigmundsson, sviðstjóri netöryggissveitarinnar CERT-IS. mbl.is/Kristinn Magnússon

Árásarhópurinn sem stóð að árás á tölvukerfi Árvakurs hefur að undanförnu valdið skaða hjá þrem íslenskum fyrirtækjum til viðbótar. Þetta segir Guðmundur Arnar Sigmundsson, sviðsstjóri netöryggissveitar CERT-IS, í samtali við mbl.is.

Háskólinn í Reykjavík og Brimborg urðu nýlega fyrir svipuðum netárásum á tölvukerfi sín.

Útgáfufélag Morgunblaðsins, Árvakur, varð fyrir stórfelldri netárás í gær með þeim afleiðingum að mikilu magni gagna var læst og lá fréttavefurinn niðri frá klukkan 17 til 20 þegar tókst að koma honum aftur í loftið. Á sama tíma var ekki hægt að vinna í ritstjórnarkerfi Morgunblaðsins og útsendingar útvarpsstöðvarinnar K100 lágu niðri.

Ekkert bendir þó til þess að gögnin sem voru tekin í gíslingu hafi lekið og beindist árásin ekki að áskriftarkerfi eða bókunarkerfi Árvakurs. Þá voru engar upplýsingar um viðskiptavini, þar með talið áskrifendur Morgunblaðsins, teknar í gíslingu.

Hvað er gagnagíslataka?

Að sögn Guðmundar virkar gagnagíslataka þannig að óprúttnir aðilar komast inní kerfi fyrirtækja og reyna að finna þau gögn sem þeir halda að séu fyrirtækjunum mikils virði. Í framhaldinu dulkóða þeir gögnin og læsa þeim með lykli sem aðeins þeir hafa aðgang að. 

Þá finna þeir oft afrit af skrám og eyða þeim svo ómögulegt sé að ná gögnunum tilbaka nema með lyklinum sem þeir hafa aðgang að. Til þess að fyrirtækin fái aðgang að gögnunum sínum aftur krefjast árásarhóparnir oft lausnargjalds. 

Algengast að beita svindlherferðum

Guðmundur segir að árásarhópar fari ólíkar leiðir til að komast inn í kerfi fyrirtækja og skanna þeir meðal annars IP-tölur fyrirtækja og geta þannig greint kerfið sem er í notkun. Ef þeir þekkja kerfin geta þeir fundið þar veikleika og komist inn. 

Algengasta leiðin er þó að beita svindlherferðum og senda hóparnir þá sýkt viðhengi á starfsmenn sem þeir vita að starfa hjá tilteknu fyrirtæki. Ef einhver starfsmaður fellur fyrir slíku svindli og opnar sýkta skrá eru þessir hópar komnir inn í kerfið. 

„Þetta eru algengustu málin sem við sjáum, í nýju ársskýrslunni okkar eru 60 til 70% allra mála sem koma inná okkar borð svindlherferðir, frekar en hrein innbrot í gegnum kerfi,“ segir Guðmundur. 

Hann segir hættuna af slíkum árásum vera sú að mögulega glatast mikilvæg gögn sem ekki sé hægt að afturkalla og fyrirtækin geta orðið fyrir fjárhagslegu tapi.

Auk þess geta slíkar árásir skapað óöryggi gagnvart stafrænum lausnum sem Guðmundur segir að almennt einfaldi líf okkar til muna.  

Ekki bein tengin við rússnesk stjórnvöld

Spurður hvort hægt sé að tengja árásir rússneskra tölvuþrjóta við stríðið á milli Rússland og Úkraínu segir Guðmundur að ekki sé hægt að sjá beina tengingu við þennan tiltekna árásarhóp. 

Hópurinn vinni frekar að fjárhagslegum ávinningi og grípi hvert tækifæri sem gefst til að ráðast á fyrirtæki, og hefur hann meðal annars ráðist af sama krafti á lítil og meðalstór fyrirtæki.

„Hann starfar vissulega frá Rússlandi en hefur ekki verið beintengdur við að tala fyrir rússneskum málstað eða verið að vinna beint með rússneskum stjórnvöldum.“

Þá segir Guðmundur að netöryggissveit CERT-IS hafi engar vísbendingar um að einhver innanlands aðstoði rússneska tölvuþrjóta í árásum sínum. 

Biðlar til fjölmiðla að nafngreina hópinn ekki 

Guðmundur biðlar einnig til fjölmiðla að nafngreina hópinn ekki á nafn, með því fá þeir aukinn drifkraft til að halda áfram með árásir sínar. 

„Almennt þrífast þessir hópar á því að vera nafngreindir og þeir fylgjast með því. Ef nafnið þeirra kemur upp í fjölmiðlum, þá sjá þeir það og nota það sem drifkraft.“

mbl.is
Fleira áhugavert
Fleira áhugavert