Angrep på kryptobørser er en gullgruve for Russland
Etter at krigen i Ukraina brøt ut har aktiviteten til russiske cyberkarteller skutt i været, og det er ikke bare skade på infrastruktur eller desinformasjon som er målet. Ran av kryptobørser er blitt en måte isolerte stater kan finansiere sitt regime på.
18. og 19. mai i år stimlet flere tusen mennesker sammen i Verdenssenteret i Moskva for å enten delta i eller overvære den ellevte utgaven av konferansen Positive Hack Day (PHD). Arrangementet har tidligere tiltrukket seg endel utenlandske gjester og deltagere, men med krigen i Ukraina som et blodig bakteppe var ikke det tilfelle denne gang.
Årets tema var uavhengighet.
Arrangementet selger seg som et sted hvor morgendagens russiske computergenier kan utfordre seg selv, og lære av både hverandre og eksperter. Hele festen ble rundet av med en gedigen stand off-konkurranse hvor talentene virkelig fikk testet sine hackerevner. Konkurransen i år var satt til en fiktiv virtuell by hvor oppgavene var alt fra å hacke minibanker, omgå sikkerhetssystemer i smarthus til å ta seg inn i avanserte våpensystemer og kritisk infrastruktur. Deltagerne fikk prøve seg både som “angripere” og “forsvarere”.
I Russland blir arrangementet hyllet som en nyskapende læringsarena, men i internasjonal presse har arrangementet blitt sett på som episenteret for den russiske stats rekruttering av hackere. Og i forlengelsen av det, cyberkriminelle.
Finansverdenen under angrep
Det siste halve året har mengden cyberkriminalitet økt kraftig i omfang, og hva russisk aktivitet angår, gjelder det spesielt etter at krigen i Ukraina brøt ut. I slutten av april gikk USAs Cybersecurity and Infrastructure Security Agency (CISA) ut med en advarsel til finansverdenen om at ny etterretning tyder på at russiske myndigheter, med hjelp av kriminelle cyberkarteller, utforsker alternativer for nye former for cyberangrep. De skriver blant annet:
“Denne aktiviteten kan oppstå som en følge av de uvanlig kraftige økonomiske sanksjonene som er blitt pålagt Russland.”
Denne aktiviteten kan oppstå som en følge av de uvanlig kraftige økonomiske sanksjonene som er blitt pålagt Russland.CISA
CISA slår blant annet fast at den russiske sikkerhetstjenesten (FSB), den russiske etterretningstjenesten (SVR) og det russiske forsvarsdepartementet har utført eller vært delaktige i ondsinnede cyberangrep på både amerikanske og britiske institusjoner og selskaper. Og de knytter Russland til en rekke kjente hackergrupper. Sammen med FBI og NSA har CISA bedt organisasjoner og selskaper bedre sine sikkerhetsrutiner.
Dette er en utvikling som også næringslivet har merket seg. Det multinasjonale IT- og sikkerhetsselskapet VMware kom nylig med rapporten Modern Bank Heists 5.0. Der går det frem at finansinstitusjoner verden over opplevde en økning i antall dataangrep på 17 prosent i 2021, og trenden ser ut til å fortsette. I rapporten er det intervjuet 130 sikkerhetssjefer fra prominente finansinstitusjoner verden over. De melder kort sagt om en økning av alt. Mer markedsmanipulasjon, flere direktørbedragerier, flere løsepengeangrep osv. Men en av de virkelig store bekymringene til sikkerhetssjefene er stadig oftere ran av kryptovaluta.
83 prosent uttrykte bekymring for sikkerheten til verdens kryptobørser. I lys av krigen i Ukraina har denne bekymringen tiltatt. For isolerte nasjoner som Russland er kryptovaluta en nærliggende mulighet til å spe på krigskassa.
Kryptovaluta kan ikke sanksjoneres på samme måte som vanlig valuta, så det er en fiffig metode å omgå valutarestriksjoner på for områder med sanksjoner.Håkon Fosshaug, Europa-sjef VMware
– Etter utbruddet av krigen i Ukraina har vi sett en oppblomstring av angrep mot kryptobørsene. Kryptovaluta kan ikke sanksjoneres på samme måte som vanlig valuta, så det er en fiffig metode å omgå valutarestriksjoner på for områder med sanksjoner. Man kan sikre seg betydelige inntekter uten å bli stanset av internasjonale begrensninger, forteller sikkerhetsekspert og Europa-sjef for VMware Carbon Black, Håkon Fosshaug, til Kapital.
Åtte milliarder kroner ranet
Bare det siste halve året er det kjent at cyberkriminelle har ranet til seg minst åtte milliarder kroner i kryptovaluta.
I desember kom en gruppe cyberkriminelle seg unna med kryptovaluta som den gang var verdt 196 millioner dollar, tilsvarende 1,9 milliarder kroner etter dagens kurs, fra kryptobørsen BitMart. Ranet skjedde ved at tyvene fikk tilgang til to av børsens såkalte hot wallets ved hjelp av en krypteringsnøkkel.
Vel fire måneder senere, i mars, slo en gruppe cyberkriminelle til mot onlinespillet Axie Infinity. Spillet bruker ethereum-basert kryptovaluta. Denne gangen kom tyvene seg unna med kryptovaluta verdt 620 millioner dollar (ca. 6 milliarder kroner).
VMware-rapporten slår fast at de siste ti årene er til sammen 2,6 milliarder dollar (tilsvarende 25,4 milliarder kroner etter dagens kurs) blitt stjålet via dataangrep rettet mot kryptovaluta, og angrepene ser ut til å øke i omfang.
“Fordelen med å rane kryptobørser for cyberkriminelle er at byttet fra et vellykket kryptoran blir tilgjengeliggjort for hackerne, og kan potensielt veksles om til andre valutaer. På den måten opplever ranerne en øyeblikkelig belønning uten at de trenger å gjennomføre besværlige svindler, personlig risiko eller ulne disponeringer, som løsepengetrusler eller persondata. I 2022 har dette blitt den digitale versjonen av det klassiske bankranet,” heter det i VMwares rapport.
De største kryptovaluta-ranene til nå
- Ronin (Axie Infinity) – 620 millioner dollar
- PolyNetwork – 611 millioner dollar
- Coincheck – 532 millioner dollar
- Mt Gox – 470 millioner dollar
- Wormhole – 325 millioner dollar
- KuCoin – 281 millioner dollar
- MitMart – 225 millioner dollar
- BitGrail – 146 millioner dollar
- BXH – 140 millioner dollar
- CreamFi – 130 millioner dollar
Statsfinansierte ran
Fosshaug viser til Nord-Korea for å illustrere hvorfor statsfinansierte hackergrupper velger å gå etter kryptobørsene. Det har lenge vært en kjensgjerning at Nord-Korea sper på statskassen med utstrakt bruk av cyberkriminalitet. Hva angår Axie Infinity-ranet vist til innledningsvis, har FBI knyttet det til hackergruppene Lazarus og APT38, som igjen er knyttet til Nord-Korea.
– Den største inntektskilden til Nord-Korea er nettopp slike ran. På grunn av begrensningen i handel. For angrep som stammer fra russiske territorier, vil jeg tro det handler om å teste miljøene og mulighetene. Vi har ennå ikke noen konrekte data på hva Russland har oppnådd eller er ute etter, men vi registrerer at cyberangrep øker generelt i større og større omfang om dagen. Det dreier seg både om å skade og å oppnå økonomisk vinning. Den russiske økonomien er i en svært presset situasjon, og det er nå veldig attraktivt å benytte cyberkriminelle til å tilegne seg verdier eller for å skape økonomisk uro. Disse cyberangrepene kan ha en sterk påvirkning såvel økonomisk som politisk, sier Fosshaug.
Den russiske økonomien er i en svært presset situasjon, og det er nå veldig attraktivt å benytte cyberkriminelle til å tilegne seg verdier eller for å skape økonomisk uro.Håkon Fosshaug, Europa-sjef VMware
Ifølge CISA slutter flere og flere kjente hackergrupper seg til Russland. Av de mest kjente finner du: The CoomingProject, Killnet og Mummy Spider. Førstnevnte gruppe spesialiserer seg på utpressing og løsepenger.
– På disse kryptobørsene ligger det enorme verdier. Det er mye større enn om du skulle ha ranet en bank, og dette er noe som kan gjøres fra gutterommet med den riktige kunnskapen og verktøyene. Det er enorm mulighet for gevinst uten noen særlig risiko, forteller Fosshaug om hvorfor spesielt kryptobørsene har utkrystallisert seg som favorittmål.
– Hvordan påvirker disse kryptovaluta-ranene finansbransjen?
– Kryptovaluta har økt i popularitet, godt hjulpet av investorer som Elon Musk. Flere og flere legitime bedrifter og stater eier kryptovaluta, og tyverier av disse valutaene kan f.eks. påvirke kursen betraktelig.
Tredobling i antall hendelser
– Det er ikke noen tvil om at kryptovaluta er ettertraktet blant aktører med ondsinnede hensikter, sier fagdirektør Roar Thon i Nasjonal sikkerhetsmyndighet (NSM).
Det er ikke noen tvil om at kryptovaluta er ettertraktet blant aktører med ondsinnede hensikter.Roar Thon, Nasjonal sikkerhetsmyndighet
Lik CISA observerer også norske sikkerhetsmyndigheter en kraftig økning i antall dataangrep, men der amerikanerne er langt fremme med å identifisere aktørene bak, er Norge mer tilbakeholdne.
– Vi har nylig sagt at vi har sett en tredobling i antall hendelser, men vi kan ikke uten videre knytte alle disse hendelsene til konkrete aktører i konkrete land. Mange er kjapt ute med å tro at de vet motivasjonen og hovedhensikten, men hvem som står bak hva er et betydelig tåkelagt område, med en høy grad av fornektelse. Du skal være veldig forsiktig med å konkludere med hvem som gjør hva, og med hvilke motiver.
– Men kan Russland betegnes som en ondsinnet aktør hva gjelder cyberkriminalitet?
– Ja, Russland er uten tvil en ondsinnet aktør, bekrefter Thon.
Hva angår den økende mengden ran av kryptovaluta er dette en trend som også NSM har observert.
– Vi observerer trenden, og det er interessant å se at aktører som sitter bak digitale murer er i stand til å utføre slike operasjoner mot institusjoner i andre land. Dette tilsier at angrepene er sanksjonert av landet de oppholder seg i sine myndigheter.
Thon forklarer at kryptobørser og kryptovaluta i bunn og grunn representerer noe ganske nytt innen finanssektoren, og at det speiles i sikkerhetsrutinene.
– Aktørene bak er ikke nødvendigvis like godt skodd som de etablerte aktørene innen finanssektoren, og de har gjerne ikke like gode strukturer på plass. Noe som kan skape en betydelig sårbarhet. Grunnen til at dette er en trend, er nok at kryptovaluta er lett omsettelig “valuta” hvor det kan være enklere å skjule sporene av sine transaksjoner.
– Den nye enhjørningen
– I finansiell forstand er cyberkriminalitet blitt den raskest voksende enhjørningen. De siste ti årene har pengene som forsvinner til cyberkriminalitet bare økt, sier direktør i Center for Cyber and Information Security ved NTNU, Nils Kalstad.
I finansiell forstand er cyberkriminalitet blitt den raskest voksende enhjørningen.Nils Kalstad, NTNU
Også han har notert seg den økende mengden angrep rettet mot kryptovaluta, og påpeker at det er en naturlig utvikling.
– Du har mulighet for god fortjeneste for relativt lite risiko. Ran av kryptovaluta er rett og slett god butikk for dem som utfører dem. Kriminelle får stor avkastning på dette. Bare ta kursutviklingen. Ser du bort fra den siste tiden, har kursen på kryptovaluta generelt bare gått oppover.
Hvem som står bak ranene er derimot mer av en gråsone, og Kalstad vil ikke spekulere.
– Det er mye tipping og synsing, og det er vanskelig å si hvem aktørene er. Men noen indikasjoner har vi. Du kan se det på signaturer og spor som hackerne etterlater seg. De har verktøy som skiller seg fra hverandre. Så har du sett noe som ligner på dette før. I tillegg har man i noen tilfeller dialog med aktørene, så du kan kjenne igjen fremgangsmåten.
Øker innsatsen
Den digitale trusselen er stadig økende. Kalstad beskriver det simpelthen som en naturlig konsekvens av at teknologien har forandret seg. Men samtidig med at kriminaliteten øker, øker også mottiltakene. Det amerikanske justisdepartementet opprettet i oktober den nye avdelingen National Cryptocurrency Enforcement Team (NCET), hvis eneste oppgave er å etterforske kryptovaluta-ran og -svindel.
Fire måneder senere kunne NCET notere seg sin første seier da det lyktes dem å beslaglegge 94.000 bitcoin til en verdi av 3,6 milliarder dollar. Bitcoinvalutaen stammet fra et ran tilbake i 2016. To personer er tiltalt for ranet.
Fremgangsmåten til etterforskerne var å bruke såkalte blockchain-data, og i en pressemelding blir det opplyst at de gjennomgikk tusenvis av transaksjoner for å finne gjerningsmennene.
– Kryptovaluta er basert på blockchain-teknologi, og alle transaksjoner er logget. Så fort en slik valuta skifter eier, vil den etterlate seg bevis på det. Pengene må hvitvaskes, eller konverteres til en annen valuta. Amerikanske myndigheter har nå bevist at det lar seg gjøre å spore kryptovaluta, og det er en positiv utvikling, sier Fosshaug.
Kapital har sendt den russiske ambassaden i Oslo spørsmål i forbindelse med denne saken. De tar avstand fra påstandene om at de er en ondsinnet makt i cyberdomenet, og skriver følgende i en melding:
– Istedenfor å demonisere Russland burde man heller tenke på å tilrettelegge faglig samarbeid med russiske ansvarlige myndigheter for å sikre reell trygghet for borgere, bl.a. innen cybersikkerhet, samt forbedre atmosfæren i de bilaterale forhold.