En myte når det gjelder cyberdomenet er at svært destruktive angrep enkelt kan utføres mot hvem som helst, når som helst. En metafor som illustrerer problemstillingen, er amerikanske myndigheters frykt for et «cyber-Pearl Harbor». Dette er en referanse som til stadighet har dukket opp i taler fra amerikanske politikere og myndighetspersoner. En av de mer kjente, er en tale som tidligere statssekretær i det amerikanske forsvarsdepartementet, Leon Panetta, holdt i 2012. I talen advarte Panetta mot mulighetene for et «cyber-Pearl Harbor» som kunne ødelegge kritisk infrastruktur som strømforsyning, transportsystemer, finansielle nettverk og myndigheters IT-systemer (1). Foreløpig har vi ikke vært vitne et målrettet, destruktivt angrep i cyberdomenet av tilsvarende dimensjoner som japanernes overraskelsesangrep på den amerikanske marinebasen. Og det er fremdeles gode grunner til at den digitale utgaven av angrepet mot «Pearl Harbor» primært vil være forbeholdt fiksjon. Dette er imidlertid ikke synonymt med at cyberoperasjoner ikke kan være destruktive og medføre skade, for det kan de. Men siden de fleste IT-systemer kan forsvares, kobles ut eller gjenopprettes dersom de blir angrepet, er det utfordrende å påføre IT-systemer permanent skade over en lengre tidsperiode.
For å gjennomføre et suksessfullt cyberangrep mot IT-systemer må det nemlig være tilstede en rekke latente svakheter (sårbarheter) i systemene som en angriper kan utnytte til sin fordel. Mange av disse svakhetene kan forsvarere av IT-systemer gjøre noe med for å utbedre, som for eksempel å benytte seg av to-faktor autentisering for pålogging til systemer eller å installere sikkerhetsoppdateringer når nye tekniske sårbarheter dukker opp i programvare. Eller forsvarerne kan holde oversikt over svakhetene så det varsles dersom en trusselaktør forsøker å utnytte en spesifikk sårbarhet. For eksempel at angriperen logger seg på systemet fra en tidligere ukjent datamaskin eller mobil enhet. Dersom angriperen først forbigår to-faktor autentiseringen for å urettmessig logge seg på IT-systemet, blir evnen til å oppdage trusselaktørens pålogging desto viktigere. På den måten må de ulike barrierene og sikkerhetstiltakene fungere i kombinasjon for at virksomheten skal kunne være i stand til å forhindre, avdekke, håndtere, skadebegrense og gjenopprette normaltilstand ved cyberangrep.
Leverandørkjedeangrepet mot SolarWinds
Leverandørkjedeangrepet mot programvareprodusenten SolarWinds, en av de mer avanserte cyber-spionasje operasjonene som har blitt oppdaget i nyere tid, ble avdekket nettopp ved at en ukjent mobil enhet forsøkte å logge seg på IT-systemene til det private cybersikkerhetsselskapet FireEye. Den russiske utenlandsetterretningstjenesten SVR hadde i over 9 måneder arbeidet nærmest uforstyrret i amerikanske IT-systemer tilhørende både private virksomheter og myndighetsorganer, uten at amerikanerne var i stand til å oppdage aktiviteten. Selv ikke myndighetenes eget deteksjonssystem (EINSTEIN) levert av sikkerhetsmyndigheten CISA (søsterorganisasjonen til norske NSM), var i stand til å avdekke trusselaktørens aktivitet. Det var først når den russiske etterretningstjenesten forsøkte å logge seg på IT-systemene til det private sikkerhetsselskapet FireEye ved bruk av en ukjent mobil enhet, at alarmen gikk internt i selskapet. Da alarmklokkene ringte hadde de trusselaktøren allerede stjålet penetrasjonstestingsverktøyene («hacker-verktøyene») til FireEye og kompromittert flere amerikanske departementers IT-systemer.
Leverandørkjedeangrepet mot SolarWinds omtales som en svært spektakulær cyberoperasjon hvor trusselaktøren hadde iverksatt en rekke tiltak for å unngå å bli oppdaget. Det var først da en ung nyutdannet ansatt i FireEye fulgte organisasjonens prosedyrer og reagerte på unormal påloggings-aktivitet ved å ringe opp eieren av den aktuelle brukerkontoen som ble benyttet for å logge seg på selskapets systemer, at den spektakulære cyberoperasjonen ble oppdaget. Eieren av brukerkontoen avkreftet at det var han som logget seg på. Det var derfor primært menneskelig årvåkenhet, ikke kunstig intelligens, førte til at cyberoperasjonen ble «blåst» (2).
SolarWinds operasjonen førte til konsekvenser verden over generelt og i USA spesielt. Over 18,000 virksomheter globalt benyttet den aktuelle programvaren med kallenavn Orion. Likevel ble kun ni føderale myndighetsorganer i USA og omtrent 100 private selskaper kompromittert av trusselaktøren. Konsekvensene kunne imidlertid blitt betydelig mer omfattende dersom FireEye ikke hadde avdekket leverandørkjedeangrepet. Også i Norge ble Norges Bank Investment Management (NBIM), også kjent som Oljefondet, flyselskapet SAS og et titalls kraftselskaper berørt av sårbarheten. Likevel utnyttet ikke trusselaktøren SolarWinds sårbarheten hos de nevnte norske selskapene. Selv om en trusselaktør har mulighet til å utnytte en bestemt sårbarhet i et IT-system, betyr ikke dette at den samme aktøren har intensjon om å gjøre det. Jo flere mål og IT-systemer hvor en trusselaktør forsøker å utnytte en bestemt sårbarhet – desto større øker sannsynligheten for å bli oppdaget. Derfor vil en avansert aktør som søker å unngå oppdagelse, ofte iverksette en rekke tiltak for å ivareta egen operasjonssikkerhet (3).
Cyber-spionasje og cyber-effekt operasjoner
Spesielt gjelder dette ved cyber-spionasje som i sin kjerne handler om å operere skjult, uten å bli oppdaget. Når det gjelder de mer destruktive cyber-effekt operasjonene vil disse ofte manifestere seg i utilgjengelige eller manipulerte IT-systemer. Som oftest vil konsekvensen av en slik effekt ofte være synlig for den som blir angrepet. For eksempel at strømmen bortfaller eller at skjermene går i svart. Svært sofistikerte cyber-effekt operasjoner, slik som den amerikansk-israelske Stuxnet-skadevaren jeg vil komme tilbake til senere i artikkelen, var imidlertid utformet slik at den ikke skulle bli oppdaget. Stuxnet var derfor en cyber-effekt operasjon som hadde flere trekk som er typisk for cyber-spionasje.
Faktum er at cyber-effekt operasjoner krever mye forberedelser og planlegging, testing og utvikling, og effektene kan noen ganger være begrenset eller vanskelig å forutsi med nøyaktighet på forhånd. Skal en cyber-effekt operasjon medføre den tiltenkte effekten på et bestemt IT-system, må det gjennomføres grundig rekognosering og kartlegging av målet slik at angriperen er godt kjent med maskin- og programvaren som IT-systemet består av, med tilhørende konfigurasjon av systemet (4). Et «cyber-Pearl Harbour», i dette tilfellet forstått som destruktive angrep mot flere viktige IT-systemer samtidig, er vanskelig å få til på en suksessfull måte fordi IT-systemer ofte består av mange forskjellige komponenter. Hver komponent kan ha ulike latente svakheter (sårbarheter) som kan utnyttes. En cyber-effekt operasjon har derfor størst sannsynlighet for å lykkes dersom angrepet skreddersys for å ramme et spesifikt IT-system, hvor trusselaktøren har kartlagt alle komponentene det består av – eller i det minste de nødvendige sårbarhetene som må utnyttes for at angrepet skal la seg gjennomføre.
I tillegg er det slik at enkelte IT-systemer forsvares bedre enn andre, noe FireEyes evne til å oppdage trusselaktøren bak SolarWinds operasjonen illustrerer. For angriperen kan det være utfordrende å tilegne seg alle de nødvendige rettighetene i flere ulike IT-systemer parallelt, uten å bli oppdaget. Et utviklingstrekk som bidrar til å effektivisere angrep mot flere IT-systemer samtidig er automatisering av angrepsverktøy og -teknikker. Denne utfordringen kan derfor bli betydelig mer krevende fremover, og spesielt ettersom teknologier basert på kunstig intelligens blir tilgjengelig for flere, også angripere.
Hurtighet, intensitet og kontroll korrelerer negativt
I artikkelen «The Subversive Trilemma» argumenterer forsker på cybersikkerhet ved ETH Zurich, Lennart Maschmeyer, for at fart, hurtighet og kontroll korrelerer negativt ved utførelse av cyber-effekt operasjoner. Det er med andre ord utfordrende å utføre cyberoperasjoner som treffer mange mål, med høy intensitet, raskt og på en kontrollert måte. Dersom angriperen øker farten eller intensiteten på en operasjon, reduseres ofte kontrollen – og vice versa. Som følger av den negative korrelasjonen påpeker Maschmeyer at cyberoperasjoner, og da spesielt cyber-effekt operasjoner, ofte ikke leverer opp til mange aktørers forventninger. Dette kan anses som en form for kritikk, eller i det minste en nyansering av bildet som enkelte aktører i historien har tegnet av sannsynligheten for at det vil gjennomføres målrettede og omfattende, destruktive cyberangrep mot flere sentrale mål, samtidig.
Gjennom en case-studie av fem eksempler på cyber-effekt operasjoner som Russland har utført mot Ukraina i tidsperioden mellom 2014 og 2017, underbygger Maschmeyer «the subversive trilemma». Som ett eksempel finner vi angrepet mot det ukrainske strømnettet i desember 2015. Angrepet tok 19 måneder for de russiske trusselaktørene å forberede, men førte kun til at 230,000 husstander i vest-Ukraina mistet strømmen i opptil 6 timer. Operasjonen medførte ingen strategisk betydning og ble motvirket av at strømleverandørene skrudde på én enkelt bryter (5). Som nevnt innledningsvis var det latente svakheter (sårbarheter) som kunne utnyttes av en angriper også her, men ved hjelp av barrierer og sikkerhetstiltak kunne forsvarerne gjenopprette normaltilstand uten store problemer.
Derfor har cyberoperasjoner ifølge Maschmeyer en tendens til enten å være trege, med lav intensitet eller for upålitelige til å oppnå strategisk målsettinger som tipper maktbalansen mellom stater (6). Noen få, velplanlagte cyberoperasjoner, slik som den amerikansk-israelske operasjonen «Olympic Games» hvor Stuxnet-skadevaren ble benyttet – bidro imidlertid til å oppnå strategiske mål mot staten Iran.
Skreddersydd Stuxnet-skadevare
Stuxnet var en målrettet cyber-effekt operasjon, utført mot Irans atomanrikingsanlegg i Natanz, godkjent på starten av 2000-tallet fra øverste hold av den daværende amerikanske presidenten, George W. Bush. Bakgrunnen for cyberoperasjonen var frykten for at Iran skulle videreutvikle sitt atomprogram gjennom høyanriking av uran. Som følger ble det viktig for USA å stanse utviklingen.
Ettersom en militær konflikt i etterkant av Irak-krigen ikke var ønskelig, ble Bush fremlagt alternativet med å gjennomføre en målrettet cyber-effekt operasjon mot atomanrikingsanlegget. Operasjonen skulle tvinge Iran til forhandlingsbordet. Stuxnet-skadevaren var skreddersydd for å kun sabotere sentrifugene som ble benyttet til å anrike uran ved anlegget i Natanz. Dette ble gjennomført blant annet ved at Stuxnet-skadevaren kompromitterte Siemens PLS systemer, altså kontrollsystemene som regulerte hastigheten på sentrifugene. I tillegg ble datamaskinene i kontrollrommet infisert slik at alt så normalt ut for operatørene selv om hastigheten på sentrifugene gikk opp og ned mellom 86 400 og 120 omdreininger per minutt. Dette førte igjen til at metallet i sentrifugene ble ødelagt av ristingen. Ettersom alt så normalt ut for operatørene i kontrollrommet, var de overbevist at menneskelig feil forårsaket skadene på sentrifugene – selv om over 1000 sentrifuger ble ødelagt i operasjonen (7).
I 2010 ble daværende president Barack Obama informert av den samme Leon Panetta som er sitert i denne artikkelens innledning, om at Stuxnet-skadevaren hadde spredt seg utenfor anlegget i Natanz. Panetta var på dette tidspunktet CIA-direktør. Stuxnet skulle egentlig være utviklet slik at den kun skulle spre seg internt i IT-systemene og nettverkene til atomanrikingsanlegget i Natanz, og ikke utenfor. Dette var i teorien mulig ettersom IT-systemene i Natanz ikke var tilkoblet internett. For å bringe skadevaren inn i anlegget, ble den transportert inn på en USB-enhet. Problemene oppstod imidlertid når en ansatt ved anlegget koblet datamaskinen sin til sentrifugenes kontrollsystem og deretter tilbake på et annet nettverk hvor skadevaren kunne spre seg videre. Stuxnet spredte seg globalt og infiserte IT-systemer i Iran, India, Indonesia og selv i USA. Det gikk imidlertid over ett år før det ble fastslått at hovedmålet for den avanserte cyberoperasjonen var PLS-systemet i Natanz (8).
Som nevnt var Stuxnet en enormt målrettet og velplanlagt cyberoperasjon. Tiden det tok å forberede en operasjon som skulle ramme dette spesifikke anlegget uten at den ble oppdaget av operatørene i Natanz, var lang. Trolig flere år. Operasjonen var svært kontrollert, men likevel viste det seg at Stuxnet skadevaren spredte seg langt utover Natanz, som følge av handlinger angriperne – i dette tilfellet amerikansk og israelsk etterretning – trolig ikke hadde forutsett på forhånd. Alternativt så hadde de forutsett det, men godtatt risikoen. Sammenliknet med strømbruddet i vest-Ukraina som de russiske cyberaktørene utførte i desember 2015, en operasjon som bidro til liten strategisk nytteverdi ettersom bortfallet av strøm kun varte i opptil 6 timer, var Stuxnet-operasjonen av en helt annen liga.
Forholdet mellom cyberangrep- og forsvar
I tillegg til å underbygge Maschmeyers teori om at de tre faktorene fart, intensitet og kontroll korrelerer negativt ved bruk av cyberoperasjoner, illustrerer Stuxnet også godt det destruktive potensialet til cyber-effekt operasjoner. Utfordringen er bare at det ofte tar enormt lang tid å forberede, utvikle, teste og gjennomføre slike avanserte og målrettede operasjoner. Og som oftest fører de kun til konsekvenser i de IT-systemene som har alle de latente svakhetene (sårbarhetene) tilstede som må utnyttes for at operasjonen skal kunne gjennomføres. Etter at Stuxnet-operasjonen ble kjent i offentligheten gikk det opp for en rekke aktører at IT-systemer, spesielt industrielle kontrollsystemer (IKS) som er tilkoblet operasjonell teknologi (OT), slik som PLS’er koblet til sentrifuger eller strømsystemer, må sikres bedre. I tillegg har det økende antallet cyberoperasjoner ført til at både private selskaper og myndighetsaktører tar cybersikkerhet på alvor nå sammenliknet med tidligere. Derfor legges det i dag ned betydelig arbeid for å sikre både IT- og OT-systemer.
SolarWinds-operasjonen, som var en cyber-spionasje operasjon der over 18,000 virksomheter ble infisert, illustrerer imidlertid godt hvordan leverandørkjedeangrep kan benyttes av trusselaktører for å lage en bakdør inn til mange IT-systemer, verden over, samtidig. Likevel ble bakdøren kun benyttet hos litt over 100 virksomheter. Som forbilledlig illustrert gjennom Stuxnet-operasjonen tar det ofte både lang tid og krever betydelig arbeid for å målrettet kompromittere et IT-system, uten å bli oppdaget. Jo bedre IT-systemene blir forsvart, desto vanskeligere vil det være for trusselaktøren å utføre en suksessfull cyberoperasjon. FireEye’s evne til å oppdage den ukjente mobile enheten som den russiske etterretningstjenesten SVR benyttet for å logge seg på selskapets IT-systemer, illustrerer viktigheten av å være i stand til å oppdage slik trusselaktivitet. Det som starter som en cyber-spionasje operasjon kan imidlertid utvikle seg til å bli en mer destruktiv cyber-effekt operasjon.
Når trusselaktøren først har skaffet seg urettmessig tilgang og kompromittert det aktuelle IT-systemet, er angriperens mulighet til å bevege seg videre i nettverket, tilegne seg forhøyede rettigheter og ta over større deler av infrastrukturen, det som vil avgjøre hva angriperen faktisk vil kunne utføre av skade. Dersom tilstrekkelig antall og den riktige kombinasjonen av latente svakheter (sårbarheter) er tilstede i det aktuelle IT-systemet, er det primært trusselaktørens intensjon som avgjør hvilke effekter de kan påføre.
Derfor bør vi, som nevnt i sist artikkel undertegnede skrev for Stratagem, gjøre mest mulig for å utbedre kritiske sårbarheter i IT-systemene våre. Reduksjon av sårbarhet er en forsikring. En forsikring som kan forhindre at vi i fremtiden blir utsatt for et digitalt «cyber-Pearl Harbor».
FOTNOTER
[1] Bumiller, E. & Shanker, T. (11. oktober, 2012). Panetta Warns of Dire Threat of Cyberattack on U.S. The New York Times. https://www.nytimes.com/2012/10/12/world/panetta-warns-of-dire-threat-of-cyberattack.html
[2] Bakke, S. (2023). SolarWinds Orion og Microsoft Exchange: Hendelseshåndtering og politisk oppfølging i USA og i Norge. I Lund, M. og Berrefjord, V. (red.) Cyberoperasjoner fra Stuxnet til Solarwinds – staters bruk av cyberdomenet [Upublisert]. Universitetsforlaget.
[3] Ibid.
[4]Smeets, M. (2022). No Shortcuts – Why States Struggle to Develop a Military Cyber-Force. Hurst.
[5] Maschmeyer, L. (2021). The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations. International Security 46(2): 51–90.
[6] Ibid.
[7]Aanonsen, C., Jacobsen, E. & Schia, N. (2023). Stuxnet – et paradigmeskifte? I Lund, M. og Berrefjord, V. (red.) Cyberoperasjoner fra Stuxnet til Solarwinds – staters bruk av cyberdomenet [Upublisert]. Universitetsforlaget.
[8]Ibid.
Foto: Anette Ask/Forsvaret
