Panorama nyheter er et uavhengig nettsted om bistand, globale forhold og internasjonal utvikling. Sjefsredaktøren er ansvarlig for innholdet.

Flyktninghjelpen har en omfattende innsats i Ukraina. Arbeidet inkluderer blant annet distribusjon av mat, vann og husly, med et spesielt fokus på frontnære områder. Her ser en av organisasjonens ansatte på ruinene av leilighetsbygg i byen Izyum, øst i Ukraina.

Ukraina:

Flyktninghjelpen utsatt for russisk cyber-angrep

Angrepet var rettet mot flere organisasjoner som er helt vesentlige for den humanitære innsatsen i Ukraina. – Russland vil ikke at menneskene disse organisasjonen hjelper skal få hjelp, sier FFI-forsker til Panorama.

Espen Røst
Espen Røst Journalist
Publisert Sist oppdatert

Russlands aller viktigste mål er å utslette Ukraina som en selvstendig stat, påpeker forsker ved Forsvarets Forskningsinstitutt (FFI) Eskil Grendahl Sivertsen til Panorama.

Han jobber med FFIs prosjekt for cybersosial propaganda og påvirkningsoperasjoner.

– Som vi ser hver eneste dag, gjøres dette ved fronten, med drone- og missilangrep, som for eksempel rammer Ukrainas energi-infrastruktur. Det gjøres gjennom påvirkningsoperasjoner – og det gjøres i cyber-domenet, sier Grendahl Sivertsen.

Målet med alt dette, påpeker FFI-forskeren, er at Ukraina og Vesten skal gå lei, at krigens kostnader skal bli for høye, at Russland skal vinne krigen gjennom en utmattelseskrig. 

– Fra Russlands perspektiv er nok logikken at dersom de klarer å redusere humanitære organisasjoners evne til å bistå ukrainerne, kan det over tid bidra til å svekke Ukrainas forsvarsvilje, sier Grendahl Sivertsen.

Flyktninghjelpen angrepet

Flere store hjelpeorganisasjoner, engasjert i hjelpearbeidet i Ukraina, ble angrepet i et sofistikert spearphishing-angrep i begynnelsen av oktober, ifølge Cyber Security News.

Flyktninghjelpens IKT-sjef Anthony Nichols bekrefter overfor Panorama at den norske hjelpeaktøren var blant organisasjonene som ble angrepet. 

Målet med et slikt angrep er å lure mottakeren til å gi fra seg sensitiv informasjon. Slike angrep er mer sofistikerte enn vanlige phishing-angrep, fordi det er skreddersydd ved å bruke informasjon angriperen har samlet om offeret på forhånd.

Angrepene som ble rettet både mot humanitære aktører og delstatsmyndigheter i Ukraina, søkte å distribuere en såkalt trojaner der målet er å skaffe fjerntilgang til systemene til den som blir angrepet, skriver 

Etter etterretning fra Digital Security Lab of Ukraine, etterforsket SentinelLABS analytikere angrepet «rettet mot organisasjoner som er kritiske for Ukrainas hjelpeinnsats». 

Aktørene bak angrepene «demonstrerer et bemerkelsesverdig nivå av operativ planlegging og oppdeling av infrastruktur», heter det fra SentinelLABS.

«Russiskeide servere»

Ifølge SentinelLABS var angrepene spesifikt rettet mot Røde Kors-bevegelsen, norske Flyktninghjelpen, FNs barneorganisasjon (UNICEF) og regionale myndigheter i Ukraina. 

Angrepet mot hjelpeorganisasjonene kom med e-poster som utga seg for å være fra det ukrainske presidentkontoret, ifølge SentinelLABS

Analytikerne skriver i sin rapport at angrepene skjedde ved hjelp av e-poster som utga seg for å være fra den ukrainske presidentens kontor.

Da mottakerne åpnet en vedlagt PDF-fil, skal de ha blitt sendt til en falsk, men «overbevisende» nettside, ifølge SentinelLabs. Angriperne skal ha registrert domenet zoomconference.app for å etterligne en legitim konferansetjeneste, «men denne var vert for den ondsinnede infrastrukturen på russiskeide VPS-servere».

Flyktninghjelpens IKT-sjef forteller at organisasjonen klarte å avverge angrepet. 

– Det gjorde ingen skade, da NRC-målene ikke samhandlet med phishing-e-postene. På grunn av andre sikkerhetstiltak vi har, tror vi heller ikke at noen servere eller operativsystemer kunne blitt nådd fra angripernes enheter, sier Anthony Nichols.

– Angrepet, døpt PhantomCaptcha, leverte en trojaner for fjerntilgang fra russiskeid infrastruktur. Denne infrastrukturen muliggjør vilkårlig fjernkjøring av kommandoer, datauttrekk og potensiell distribusjon av ytterligere skadelig programvare, ifølge SentinelLABS. Er dere helt sikre på at angriperne ikke lyktes med å få innsyn i data fra NRCs servere?

– Ingen enheter, servere eller tjenester ble påvirket. Det skapte ingen forstyrrelser i Flyktninghjelpens operasjoner, verken i Ukraina eller andre steder, sier Nichols.

– Ikke første gang

Ideelle organisasjoner står for 31 prosent av alle varsler om cyber-angrep fra statlige aktører, ifølge Microsofts Digital Defence Report. En annen studie, fra Cyber Peace Institute, viser at 41 prosent av de spurte organisasjonene hadde vært utsatt for angrep, og at halvparten ikke hadde satt av midler til å møte egne cybersikkerhets-behov.

– Cyberangrep blir mer og mer sofistikerte, sier Nichols til Panorama.

Han forteller at Flyktninghjelpen jobber kontinuerlig for å sikre seg mot angrep.

– Vi bruker ulike beskyttelses-systemer, og har regelmessig opplæringe i IKT-sikkerhet for våre ansatte. I tillegg har vi dedikerte medarbeidere som overvåker mistenkelig aktivitet. 

Nichols påpeker at investering i IKT-sikkerhet er viktig, blant annet fordi Flyktninghjelpen jobber for å hjelpe noen av klodens mest sårbare befolkningsgrupper.

– Vi har en forpliktelse til å beskytte dataene deres, og for å sikre at tjenestene våre til lokale partnere og programdeltakere ikke avbrytes, sier Nichols.

– Er dette første gang dere har opplevd cyberangrep direkte knyttet til statlige aktører involvert i konflikter der Flyktninghjelpen driver humanitært arbeid?

– Flyktninghjelpen har vært mål for statstilknyttede cyberangrep før. Angrep kan komme fra hvor som helst ettersom verktøyene blir både mer sofistikerte og enklere for enkeltpersoner og ikke-statlige aktører å få tilgang til. Derfor investerer vi i både tekniske sikkerhetstiltak og i opplæring og bevisstgjøring av våre ansatte, sier Nichols.

– Vil ikke at ukrainere skal få hjelp

Eskil Grendahl Sivertsen forteller at det  er kontinuerlige cyberangrep mot Ukraina. 

– Dette er et komplisert felt, med mange aktører, alt fra russisk etterretning, betalte aktører knyttet til etterretningen, og aktivistgrupper som gjennomfører angrep for å støtte Russlands krigføring. Noe er målrettede angrep, andre ganger kan det være at det bare kastes ut et stort “nett", med mål om å trenge gjennom ulike aktørers brannmur. 

Eskil Grendahl Sivertsen er tilknyttet C-SPI-prosjektet (Cyber-Social Propaganda & Influence) ved Forsvarets forskningsinstitutt.

Han forklarer at hensikten kan være å ødelegge, det kan være å innhente kunnskap, altså etterretning, eller det kan være å endre på data i systemene til den som blir angrepet, for eksempel en humanitær organisasjon.

– Russland vil ikke at de menneskene disse organisasjonen hjelper skal få hjelp.

Han sier at også humanitære aktører er avhengig av datasystemer for å gjøre jobben sin. 

– Om Russland for eksempel klarer å ta ned et humanitært logistikksystem, kan man ødelegge denne innsatsen. Om de trenger gjennom organisasjonens brannmur, kan de også innhente verdifull informasjon, sier FFI-forskeren. 

Hypotetisk, hvis en humanitær organisasjon bistår med utkjøring av strøm-aggregater til et område der russiske angrep har tatt ut energi-infrastruktur, er dette etterretningsinformasjon som er svært verdifull for russerne, påpeker FFI-forskeren. 

– Da vet de konkret hvor disse aggregatene kjøres ut, og kan i neste omgang ta dem ut. I tillegg er det jo slik at dersom hjelpeorganisasjoner må bruke mer penger på sikkerhet av for eksempel sine datasystemer, har de mindre penger å bruke på det de egentlig er i Ukraina for - nemlig å hjelpe sivilbefolkningen. Slike cyberangrep, som Russland eller russiske aktører utfører jevnlig, kan skape store utfordringer i hjelpearbeidet, sier han.

Lese mer om Ukraina?

bistand ukraina flyktninghjelpen nyheter norske organisasjoner krig og konflikt
Powered by Labrador CMS