– Vi mener saken i det vesentligste er oppklart, i den forstand at vi i grove trekk vet hva, hvordan og hvem som sto bak. Men saken er likevel ikke ferdig. Domfellelse er målet. Vi jobber med å pågripe flere sentrale gjerningspersoner. Målet er å få sakene ført for retten i Ukraina og Sveits, sa operativ påtalejurist Knut Jostein Sætnan på Hydro-saken i Kripos under et seminar torsdag.
Til sammen 56 mistenkte er så langt navngitt og kartlagt – blant dem pengevaskere, kryptovalutaaktører som i slike saker bidrar med miksing, veksling og utbetaling av kryptovaluta.
Tror de vet hvem som sto bak
Politiet mener de har identifisert fem menn som faktisk gjennomførte selve angrepet. Det hadde pågått i tre og en halv måned da et infisert vedlegg i en epost rammet brutalt.
– Det er disse personene vi mener det er grunnlag for å få tiltalt for å ha utført angrepet, sier Sætnan.
I tillegg er en håndfull personer mistenkt for å ha medvirket, ved blant annet å ha levert tjenester, skadevare og infrastruktur som gjorde angrepet mulig å gjennomføre. Dette er personer «med en klar kriminell intensjon» som har hatt kontakt med de personene Kripos mener er sentrale i saken.
Krevde løsepenger
Fire år etter at alarmen gikk hos Hydro på Vækerø og hos Kripos på Helsfyr, kunne Sætnan fortelle om den nitide etterforskningen som har ført til identifisering av en rekke antatte gjerningspersoner i Ukraina, samt én ukrainer bosatt i Sveits. Den spektakulære løsepenge-saken lammet all digital kommunikasjon og aktivitet i Hydro månedsvis våren og sommeren 2019.
– Dette startet i en av våre fabrikker i USA. Deretter har viruset spredt seg ut i organisasjonen og rammet flere deler av virksomheten både i USA og Europa, sa Hydros finansdirektør Eivind Kallevik til NTB samme dag som angrepet var et faktum.
Samtidig som løsepengeviruset krypterte filene i Hydros verdensomspennende datasystem, krevde gjerningspersonene løsepenger i bytte mot dekrypteringsnøkkelen. Beløpet skulle utbetales i Bitcoin. Størrelsen på det skulle Hydro-ledelsen få vite ved å kontakte gjerningspersonene.
Først i fjor høst kunne politiet overlevere krypteringsnøklene til Hydro. De var hentet ut av serverne til personen som var bosatt i Sveits.
Ukraina var episenter
– Vi skjønte raskt at Ukraina var et episenter i denne saken, og at vi måtte komme oss dit for å komme oss videre i etterforskningen, sier Sætnan.
To og et halvt år etter angrepet mot Hydro aksjonerte ti tjenestepersoner fra Kripos 26. oktober 2021. Sammen med 45 utenlandske og et hundretalls ukrainske politifolk tok de seg inn på 14 adresser i Ukraina og en i Sveits.
Cyberenheten på Kripos, NC3, ledet etterforskningen, som har foregått i samarbeid med politiet i Frankrike, Storbritannia, Ukraina, samt USA, Nederland og Sveits. Aksjonen i oktober for to år siden resulterte i at Kripos fikk med seg 88 servere tilbake til Norge som skal analyseres i forbindelse med etterforskningen.
– Saken er fortsatt under etterforskning og det er mye arbeid som gjenstår. Vi jobber blant annet med å så pågrepet flere gjerningspersoner. Målet er å få domfellelser i Ukraina og Sveits, understreker Sætnan.
De organiserte kriminelle bak angrepet er mistenkt for å stå bak tilsvarende dataangrep mot 1800 individer og virksomheter i totalt 71 land. Etter aksjonen i 2021 ble det hentet ut flere krypteringsnøkler gjør at virksomheter som har vært rammet, kan få hjelp til å låse opp krypteringen og få tilgang til dataene sine igjen. Det er snakk om både norske og internasjonale virksomheter, ifølge Kripos.
Fakta
- Hydro oppdaget rundt midnatt natt til tirsdag 19. mars at selskapet var rammet av et løsepengevirus. Disse krypterer informasjon i selskapers datamaskiner, og det blir framsatt krav om penger for å få «låst opp» informasjonen igjen.
- Angrepet rammet først en virksomhet i USA, og det spredte seg derfra til andre deler av organisasjonen i USA og Europa. I løpet av tirsdagen lyktes selskapet i å isolere alle sine fabrikker og dermed minimalisere risikoen for videre spredning.
- Viruset slo ut selskapets globale nettverk, og selskapet måtte flere steder bruke reserveløsninger for kommunikasjon og administrative oppgaver.
- Som følge av dataangrepet måtte Hydro stenge ned produksjonen ved noen av anleggene som driver med «extruded solutions» og «rolled products».
- Aluminiumsverkene i Norge gikk som normalt, men med høyere grad av manuell drift. Også driften ved Hydro Sunndal var rammet. Aluminiumsverkene utenfor Norge ble ikke rammet.
(©NTB)
Deler av Hydro fremdeles på halv maskin etter dataangrepet
