– Morgendagens bankran handler om markedsmanipulasjon
En fersk rapport fra sikkerhetsselskapet VMware Carbon Black slår fast at cyberkriminelle stadig oftere gjør “bankinnbrudd” for å sikre seg sensitive markedsopplysninger som kan brukes til blant annet ulovlig innsidehandel. Både Oslo Børs og DNB er oppmerksomme på faren.
– Vi vet at sensitiv børsinformasjon har blitt stjålet fra banker av profesjonelle cyberkriminelle, forteller sikkerhetsekspert og Europa-sjef for VMware Carbon Black, Håkon Fosshaug.
VMware er et multinasjonalt IT-selskap. Nylig utgav selskapet rapporten Modern Bank Heists 4.0. Analytikerne bak rapporten har samlet informasjon fra 126 sikkerhetssjefer i banker og finansinstitusjoner verden rundt. Deres tilbakemeldinger maler et dystert bilde: Aktiviteten til cyberkriminelle har økt betydelig i omfang, og metodene deres blir stadig mer sofistikerte. Verdens finanssektor har opplevd en økning på 118 prosent i antall digitale angrep det foregående året.
Vi vet at sensitiv børsinformasjon har blitt stjålet fra banker av profesjonelle cyberkriminelle,Håkon Fosshaug, Europa-sjef VMware Carbon Black
I 2021 ser det også ut som de cyberkriminelle for alvor har tatt inn over seg den gamle læresetningen “kunnskap er makt”. 51 prosent av de spurte finansinstitusjonene i rapporten har det siste året opplevd cyberangrep fra kriminelle som spesifikt er ute etter ikke-offentlig markedsinformasjon – finansspionasje, om du vil. VMware skriver i rapporten:
“Cyberkriminelle har nå lært at den mest verdifulle ressursen en bank har er ikke-offentlig markedsinformasjon, som kan bli brukt til f.eks. å fasilitere ulovlig innsidehandel eller ‘front running’. Våre sikkerhetseksperter har observert at dette har skjedd.”
Selskapet har altså definert det ultimate målet til den moderne bankraner, men før vi ser nærmere på det potensielle ransutbyttet og hvem ranerne er, må vi kaste et blikk på metoden.
17.000 angrep mot DNB
Fosshaug er bare en hatt og sigar unna å kunne passere som klassisk gentleman-bankraner – se for deg Egon Olsen.
Ikke det at DNBs sikkerhetskameraer i dag hadde spandert noe ekstra pikselering på ham av den grunn. Dagene der dynamitt og overmot var sentrale bestanddeler i et godt brekk er forbi. Ifølge DNBs trusselvurdering for 2021, som kom i april i år, ble det ikke gjennomført et eneste fysisk bankran i Norge i 2020. Noe av grunnen for dette må tilskrives Covid-19, men trenden ligger like fullt på ett til to fysiske ran i året.
Til sammenligning har Kapital fått opplyst av DNB at det i 2020 ble håndtert over 17.000 digitale angrep mot banken. Av dem ble riktignok bare 31 behandlet som potensielt alvorlige angrep, men utviklingen er tydelig.
I lys av dette bryr nok overvåkningskameraene på DNB-bygget seg lite om Fosshaug, til tross for at han peker og gestikulerer mot banken som om han har en snedig plan.
Mange veier til hvelvet
– Det vi ser mer og mer, er at cyberkriminelle kommer seg inn via bakveier. Det kan være de minste ting som utgjør en sikkerhetsrisiko, forteller han og peker opp mot de nevnte overvåkningskameraene før han fortsetter:
– Ta DNB-bygget. Her har du kameraer spredt rundt på hele bygget som er koblet til et nettverk. Ofte blir denne typen overvåkning betjent av eksterne selskaper, som eksempelvis Verisure eller Securitas. Vi ser at oftere og oftere, i stedet for å gå direkte til angrep mot banken selv, så angriper hackere systemer som drifter ting som kamera, som kanskje har dårligere sikkerhet enn de øvrige systemene. Slik kan cyberkriminelle finne en bakvei.
Et famøst eksempel på dette skjedde på et kasino i Las Vegas. Kasinoet hadde et prangende akvarium sentralt i bygget, hvor matingen var styrt av en liten computer koblet til kasinoets nettverk. I stedet for å hacke kasinoet selv hacket de kriminelle akvariet og fikk kloa i ti gigabyte konfidensiell informasjon – da spesielt om kasinoets storspillere.
Sofistikerte metoder
Akvarieanekdoten ovenfor er fra 2017. Dagens hackere var trolig ikke en gang født da. Sikkerhetsdirektør Anders Hardangen i DNB forteller om et trusselbilde i rivende utvikling.
– Det vi tidligere så på som veldig avansert, kan dagens aspirerende hackere lære seg ved hjelp av en YouTube-video. Vi ser at de kriminelle profesjonaliserer seg i stor hastighet. Det er et voksende undergrunnsmarked som bygger opp under denne veksten, forteller han.
Vi ser at de kriminelle profesjonaliserer seg i stor hastighet. Det er et voksende undergrunnsmarked som bygger opp under denne vekstenAnders Hardangen, sikkerhetsdirektør i DNB
I bankens ferske trusselrapport blir det vist til en rekke metoder. For å nevne noen av de mest fremtredende: sosial manipulering via f.eks. såkalt voice-phishing (falske telefonsamtaler) og sosiale medier; klassiske digitale angrep, som kan føre til at de kriminelle kommer seg inn i nettverket og simpelthen overfører penger, eller at de krever løsepenger for å fjerne et krypteringsvirus; og du har det mer nylige fenomenet leveransekjedeangrep. Hackingen av IT-selskapet SolarWinds i desember er et ferskt eksempel på dette.
I begynnelsen av mai gikk New York State Department of Financial Services ut og sa at det frykter at neste finanskrise kan inntreffe som følge av en slik infiltrasjon av et stort selskap.
SolariGate
SolarWinds er et internasjonalt IT-selskap som i desember 2020 hadde rundt 300.000 kunder, deriblant Oljefondet og nesten alle selskapene på Fortune 500-listen. Selskapet er en programvare- og tjenesteleverandør, og det lyktes en hackergruppe å etablere en bakdør i form av en skadelig kode kalt SolariGate, i selskapets mest brukte plattform. Bakdøren ble avslørt i desember, men den skal ha vært plassert der allerede i mars i fjor. Det virkelige omfanget av sikkerhetsbruddene er fremdeles ukjent.
– SolarWinds verktøy brukes av veldig mange store bedrifter verden over, blant annet til å overvåke nettverkstrafikk. Banker og sikkerhetsorganisasjoner har sett det som helt legitimt å kjøpe slike tjenester. Det som så skjedde, var at hackerne i stedet for å angripe bankene direkte, angrep en ekstern leverandør som disse institusjonene stolte på, og gjennom denne leverandørens programvare fikk de en trojansk hest inn i tusenvis av systemer verden over. Vi kaller denne metoden for øyhopping, forklarer Fosshaug.
“Øyhopping”, eller “leveransekjedeangrep” som DNB kaller det, er ifølge Fosshaug et av de mest sofistikerte og slueste verktøyene cyberkriminelle har tatt i bruk i senere tid.
– Ved hjelp av denne fremgangsmåten kan de kriminelle nå dit de vil via flere ledd. Det kan begynne med en skadelig kode hos SolarWind, som igjen blir brukt i nettverket til et selskap som på sin side leverer digitale tjenester til en bank.
VMware har identifisert en rekke metoder for slik “øyhopping”. Det kan være nettverksinfiltrasjon, som Solarwind er eksempel på, men det kan også være “vannhullangrep” hvor hackeren infiltrerer en nettside eller mobilapplikasjon brukt til e-handel. RBEC-angrep foregår ved at hackeren infiltrerer brukernes digitale kontorverktøy (Office-pakker o.l.). Og det kan skje via salg av digitale tjenester hvor programvaren inneholder skadelig kode.
Inne i det digitale hvelvet
Nå som vi har sett litt på metodene, er det verdt å se nærmere på det potensielle ransutbyttet. DNBs trusselvurdering gir en meget god oversikt over hvordan cyberkriminelle kan operere, frekvens og alvorlighetsgrad på angrepene. Vurderingen er derimot ganske generell når det gjelder hva tyver har kommet unna med, eller hva de er ute etter. Banken skriver for eksempel:
“Vi må legge til grunn at DNB-konsernet besitter mye informasjon som kan være relevant både for etterretningstjenester og kriminelle. Som en naturlig del av bankvirksomheten besitter DNB personopplysninger om individer med ulike roller og tilknytninger. Våre ansatte får innsyn i sensitive forhandlingsprosesser og blir tidvis kjent med innovative prosjekter og teknologi før disse treffer offentlighetens øye. DNBs forretningsforbindelser og kunder kan være det egentlige målet, både i et strategisk etterretningsperspektiv, for industrispionasje eller for utpressingsformål.”
DNB påpeker at forretningssensitive data utgjør en meget liten del av den samlede datatrafikken til en bank, men det kan være svært viktig.
“Brytes konfidensialitet til viktige forretningssensitive data, kan det i ytterste konsekvens føre til at forhold som er viktige for forretningskunder som f.eks. strategisk samarbeid, oppkjøp, sammenslåinger, konsesjonsrunder og andre lignende forhold feiler.”
VMwares rapport, Modern Bank Heists 4.0, er mer direkte. Deres analyse viser at det er en økning i pengeoverføringssvindler, rene destruktive angrep mot infrastrukturen, infiltrasjon av bankenes meglerkontoer, og som nevnt innledningsvis, en stigende trend med finansspionasje. DNBs sikkerhetssjef mener trenden med finansspionasje er høyst reell.
– I trusselrapporten vår har vi hatt fokus på trusselangrepene og hvordan vi forsvarer oss, men jeg er enig med VMware i dette. Når cyberkriminelle først er kommet på innsiden av en bedrift, er det flere ting de kan gjøre. I tillegg til å kreve løsepenger og mer direkte angrep kan de både plante og stjele informasjon, sier Hardangen.
Når cyberkriminelle først er kommet på innsiden av en bedrift er det flere ting de kan gjøre. I tillegg til å kreve løsepenger og mer direkte angrep, kan de både plante og stjele informasjon.Anders Hardangen
– Vanskelig å avsløre
Et av de store problemene med den typen infiltrasjon som kjennetegner et avansert hackerangrep, er at det er vanskelig å få oversikt over hva som er blitt “stjålet”.
– Hackerne bruker ikke nødvendigvis det første og beste av verdifull informasjon de finner. De kan ha infiltrert systemet i månedsvis, og de ligger der og venter på å komme over den store gullkrukken. Først når de ser muligheten til virkelig tjene å penger slår de til, forklarer Fosshaug.
Hva angår finansspionasje, er det også vanskelig å spore hvor lekkasjen har oppstått.
– Hvis hackere selger, eller selv benytter seg av, ulovlig tilegnet informasjon for å gjøre en innsidehandel eller shorte en aksje, er dette utrolig vanskelig å spore. Informasjonen vil bli brukt på børsene, men angrepet har ikke foregått der. Det trenger ikke være et eneste virus i børsenes systemer, så selv om en børs har en IT-avdeling med over 100 eksperter, vil de ha store vanskeligheter med å avdekke at et slikt angrep har skjedd.
Kapital har vært i kontakt med Oslo Børs om denne problemstillingen. Direktør for markedsovervåkning og -administrasjon, Thomas Borchgrevink, opplyser at cyberkriminalitet har blitt en mer aktuell problemstilling de siste årene.
– Dette er et av områdene vi har fokus på i vår markedsovervåkning, også i saker relatert til innsidehandel og markedsmisbruk. Vi har blant annet registrert tilfeller av at det har vært mulig å få tilgang til børssensitiv informasjon før selskapene har offentliggjort dette, sier han.
Utover det henviser Borchgrevink til at det er Finanstilsynet som behandler alle varsler om mistanker om ulovligheter i verdipapirmarkedet.
Få saker blir etterforsket
I 2020 behandlet Finanstilsynet 92 saker om ulovlig innsidehandel og/eller brudd på taushetsplikt/listeføring. Videre behandlet de 61 saker om markedsmanipulasjon, 45 saker om flaggepliktig verdipapirhandel, 27 varsler fra privatpersoner, 42 saker om meldepliktig verdipapirhandel og 27 saker om meldepliktige shortposisjoner.
Av disse ble én sak oversendt til Påtalemyndigheten for videre etterforskning. Finanstilsynet opplyser at det foreløpig ikke har avdekket forhold i det norske verdipapirmarkedet som gir grunnlag for å slutte at det har blitt handlet på informasjon som stammer fra datainnbrudd hos banker.
– Den norske finanssektoren har gjennom IKT-forskriften vært underlagt strenge krav til IKT-sikkerhet siden 2002, og Finanstilsynet følger gjennom tilsyn opp bankenes IKT-sikkerhetsarbeid, sier underdirektør Geir Holen i avdeling for markedstilsyn i Finanstilsynet i en kort kommentar.
Cyberkartellene
Vi har nå sett litt på hvordan cyberkriminelle jobber, hva de ser etter og hvilket utbytte de får, men hvem er de? Ser du på de mest profesjonelle hackerne, er det korte svaret at dette er grupper sammensatt av mennesker med forskjellig spesialkompetanse. Ofte blir de mest prominente gitt eksotiske navn av sikkerhetsselskap, som f.eks. Turla, APT28 og APT29 og The Sandworm Team.
Disse gruppene betegnes gjerne som cyberkarteller, og et fellestrekk de alle deler her er at de ofte ses i sammenheng med fremmede makter.
– For at en slik gruppe skal kunne operere, må de kunne rekruttere supersmarte mennesker som får tilgang til enorme mengder datakraft. Vi snakker her om datasentraler som er så store at det er usannsynlig at de eies av private selskaper eller en privatperson. Derfor ser vi at noen nasjoner eller tilsvarende må bidra til, eller stå bak, de virkelige store angrepene. Vi vet at Nord-Korea har finansiert slike angrep, og det samme gjelder Russland, forklarer Fosshaug.
Han påpeker derimot at mange av disse kartellene er uavhengige aktører, og hva gjelder sensitiv markedsinformasjon, mener han at kartellene selger denne informasjonen videre til andre kriminelle organisasjoner.
– Det blir litt sånn Exit-style.
Spesialist mot spesialist
Og vi er tilbake til bankraneranalogien. Fosshaug påpeker at et godt gjennomført klassisk bankran krever forskjellig kompetanse. Du må ha en som kjører fluktbilen, en skapsprenger osv. Disse rollene har sine ekvivalenter innen digitale angrep. Sikkerhetssjefen i DNB deler denne anskuelsen:
– Du har de som er eksperter på å lage skadelig programvare. Så har du de som er eksperter på menneskelig kommunikasjon eller andre metoder. Vi ser det at de virkelig gode cyberkriminelle bruker det vi kaller en hybrid angrepsfrom. De er ikke redd for å f.eks. rekruttere innsidere i en organisasjon, eller bruke fysisk kontakt for å oppnå målet sitt, i tillegg til å anvende digital kompetanse, sier Hardangen.
“Sikkert som banken”?
DNB og VMware har to forskjellige innfallsvinkler til digitale angrep. Førstnevnte er ute etter å beskytte seg best mulig, mens sistnevnte selger sikkerhetstjenester. Fosshaug i VMware fremhever viktigheten av å ha digitale “sikkerhetsvakter”, og han mener det er kritisk at IT-systemene til en organisasjon blir kontinuerlig overvåket.
– Akkurat som i gamle dager, hvor en vakt fysisk sjekket at ingen var i lokalet, trenger du eksperter og løsninger som hele tiden patruljerer IT-miljøene dine.
Akkurat som i gamle dager, hvor en vakt fysisk sjekket at ingen var i lokalet, trenger du eksperter og løsninger som hele tiden patruljer IT-miljøene dine.Håkon Fosshaug
DNB har et utstrakt samarbeid med offentlige sikkerhetsmiljøer i Norge, og har bygget opp solid innomhus kompetanse.
– Hos oss blir de aller fleste angrepene stoppet før de greier å bryte gjennom våre systemer. I dag har vi har flere ansatte som beskytter det digitale systemet enn det vi har av fysisk vakthold. Det handler også om at tidene har forandret seg. Når vi reduserer penger i filialer, fjerner vi også noe av risikoen for ran. Samtidig observer vi at den digitale trusselen øker. Vi har utviklet et profesjonelt og modent sikkerhetsmiljø i DNB, sier Hardangen og påpeker:
– Selv om trusselen har flyttet seg fra fysiske bankhvelv til digitale bankhvelv er mottoet vårt fremdeles “sikkert som banken”.