Hackarna som tar industrin som gisslan

Angreppet startade strax efter midnatt den 19 mars 2019. It-driften på den norska industrikoncernen Hydro, en av världens största aluminiumproducenter, upptäckte att flera servrar i företagets globala nätverk plötsligt slutade fungera.

Det var genast tydligt att det inte var någon normal störning. Servrar som stod i vitt skilda delar av världen kraschade. Snart insåg personalen att det bara fanns en lösning: koppla ner systemen och stänga servrarna innan infektionen spred sig.

Den tisdagsmorgonen blev bolagets nytillträdde it-säkerhetschef Torstein Gimnes Are väckt av ett telefonsamtal runt fyratiden på morgonen.

– Det var nästan overkligt att få samtalet. Jag hade börjat på jobbet 14 dagar tidigare. Det är den bästa, och den värsta, upplärningen en ny it-säkerhetschef kan få, säger han.

Snart konstaterades att de kraschade servrarna hade infekterats av ett utpressningsvirus som heter LockerGoga. För att återfå kontroll över systemen ville hackarna att Hydro skulle betala en lösensumma. Ju längre företaget väntade, desto högre skulle priset bli, stod det i ett meddelande som visades på de krypterade datorerna.

Ett par timmar senare satt bolagsledningen samlad, tillsammans med jurister, kommunikationsavdelning och it-organisationens chefer. De försökte sammanfatta skadorna, och se hur de över 35 000 anställda spridda över 40 länder skulle kunna arbeta utan några affärssystem eller orderlistor. Hur de skulle gå till väga för att byta digitala verktyg mot papper och penna.

Tidigt togs två avgörande beslut. För det första skulle bolaget inte betala en enda krona till hackarna. För det andra skulle Norsk Hydro, till skillnad från många offer för storskaliga it-attacker, genast berätta för allmänheten vad som pågick.

– Att vi skulle vara öppna etablerades redan på det mötet. Vi är ett börsnoterat företag, och det ska vara naturligt att kommunicera det här transparent och i god tid. Det är oftast bästa sättet att hantera en kris, säger Torstein Gimnes Are.

Hydro hade blivit det senaste i en lång rad offer för cyberbrottslingar som utför riktade utpressningsattacker mot stora bolag såväl som offentlig sektor. För aluminiumjätten blev skadorna monumentala: attackerna beräknas ha kostat bolaget uppåt 650 miljoner kronor.

Ett nytt hot

Under 2015 drog en ny våg av cyberattacker fram över Sverige. Hos både privatpersoner, företag och offentlig sektor damp det ned mejl i inkorgen som innehöll fejkade postavier som utgav sig för att komma från Postnord.

Användare som i god tro öppnade bilagorna installerade i själva verket ett virus på datorn. En typ av trojan som kallas för ransomware, eller utpressarvirus, som krypterar filer på hårddisken. Den som vill ha tillbaka sina viktiga dokument eller familjefoton uppmanas att pytsa upp pengar till hackarna.

Problemet blev snabbt uppmärksammat, inte minst efter att flera offentliga verksamheter drabbades. I mars det året tvingades exempelvis Stockholms läns landsting skicka hem flera hundra anställda efter en virusinfektion.

När ransomwarevågen var som störst, under mitten av 2017, utgjorde utpressarvirusen 68 procent av all skadlig kod som skickades via mejl, enligt e-postsäkerhetsföretaget Proofpoint.

Men sedan dess har utvecklingen vänt radikalt. Enligt samma källa utgör ransomware i dag mindre än en procent av all skadlig kod som skickas via mejl.

Ändå fortsätter utpressningsvirusen att orsaka skada och kosta pengar. Fast i en helt annan skala än tidigare.

– Den volym attackerna fick under 2017 och 2018 var så stor att aktörerna bakom dem inte hann administrera alla längre. Vad de egentligen gjorde då, var att ändra taktik och bli mer riktade i sina angrepp, säger Fredrik Möller som är Sverigechef på Proofpoint.

De gick från breda mejlkampanjer till skräddarsydda attacker riktade mot storbolag.

Men fortfarande är mejlkorgen den vanligaste vägen in. Omsorgsfullt utformade bluffmejl som innehåller en trojan som kan användas för att fjärrstyra datorn. Precis så började attacken mot Hydro.

När bolaget i efterhand har gått igenom loggfiler, så har de kunnat hitta det ursprungliga intrånget, flera månder före attacken.

– Då hittade vi ett mejl med skadlig kod. Problemet är att det kom från en kund som vi har regelbunden dialog med. Angriparen måste ha haft kontroll över deras mejlserver, och hade gått in i en pågående mejlkonversation och lagt in en länk till ett dokument som innehöll en trojan, berättar Torstein Gimnes Are.

– Du kan inte lasta en anställd för att ha klickat på den länken.

Tillvägagångssättet har blivit typiskt för den här typen av riktade attacker mot storbolag.

– Det ligger mycket social engineering bakom mejlen. De kommer aldrig i stora volymer utan är riktade till individer som är noggrant kartlagda. Det är väldigt snygga mejl, och de kommer från avsändare som ser legitima ut, säger Fredrik Möller på Proofpoint.

Från den första infekterade datorn spred sig angriparen i nätverket, och kartlade Hydros it-system. Det tog lång tid innan attacken genomfördes. En teori är att den som utförde det första intrånget sålde informationen vidare till en annan hackergrupp som utförde själva utpressningen.

– Vi har inte kunnat bekräfta vem som låg bakom. Det är en polissak och utredningen pågår, men vår egen hypotes är att brottet är finansiellt motiverat, säger Torstein Gimnes Are.

Krypterad aluminium­fabrik i Småland

I småländska Vetlanda startade aluminiumtillverkningen när Sapa öppnade sin första anläggning 1963. Aluminiumprofiler som pressas här går till fordonsindustrin, möbeltillverkare och byggföretag både inom och utanför Sveriges gränser.

Sedan ett par år tillbaka äger Hydro verksamheten. På de två anläggningarna i småstaden jobbar över 700 anställda, och ytterligare 300 personer jobbar på verket i Finnspång. Här finns i princip hela värdekedjan för tillverkningen, från smältverk till färdiga profiler. Därför är de svenska anläggningarna också bland de enheter inom koncernen som drabbades hårdast av cyberattacken förra våren.

– Vår beredskapsgrupp fick ett meddelande mitt i natten om att vi hade attackerats. Vi aktiverade vår beredskap, och började plugga ur så många system vi någonsin kunde, berättar Thomas Hammarqvist som är it-ansvarig för Hydros svenska verksamhet.

En ljusglimt i attacken som skakade koncernen är att styrsystemen som kontrollerar de tunga maskinerna inne på fabrikerna inte påverkades. Det hade gjort återhämtningen svårare, och ökat riskerna för personalen.

Men när alltifrån lönelistor till orderhistorik ligger på en krypterad hårddisk rubbas ändå oundvikligen arbetet i tillverkningsindustrin. Också här samlades den lokala ledningsgruppen för att överblicka situationen, och kunde snabbt konstatera att läget var kritiskt.

Visst hade de varit med om tidigare hackerförsök som orsakat gnissel i maskineriet, men inget som tagit någon längre tid eller krävt några större insatser.

– Till skillnad mot en vanlig cyberattack så växte det under den där dagen fram en bild där vi egentligen inte hade ett uppskattat datum för när vi kunde vara i drift igen, säger Thomas Hammarqvist.

Snart kunde de konstatera att koncernens alla globala it-system var utom räckhåll. Det gällde att bygga upp tillfälliga lösningar för att kunna ta beställningar och se till att kunderna fick sina leveranser.

Lyckligtvis var backuperna intakta. Produktionsnära system gick relativt lätt att återställa, och beställningarna för de närmaste dagarna gick att lokalisera så att arbetet på golvet kunde fortsätta långsamt framåt. Men det gick inte att leverera varor eller fakturera kunder.

– När vi insåg att det var en sådan magnitud att vi inte skulle kunna få tillbaka vår Active Directory eller vårt affärssystem inom rimlig tid började vi fråga oss hur vi skulle hålla produktionen vid liv och ta in nya order, säger Thomas Hammarqvist.

It-tekniker på plats fick börja bygga upp en tillfällig miljö, där alla enheter kommunicerade direkt över ett lokalt nätverk, ip-adress till ip-adress. De började långsamt skapa en manuell rutin för något som sedan länge varit automatiserat och digitaliserat.

– Hade någon frågat före attacken, så hade jag sagt att det vi gjorde var omöjligt. Det går inte att köra en it-miljö på det sättet. Vi var i princip nere och jobbade på PLC-nivå (styrsystem inom industrin, reds anm) de första veckorna. Det var på ett sätt fantastiskt lärorikt. Våra tekniker fick bygga en ny miljö från scratch, säger Thomas Hammarqvist.

Den första tiden jobbade många i personalen långa dagar för att lappa och laga, och bygga upp en lösning som kunde hålla verksamheten levande tills de globala systemen var på plats igen. Ett till synes aldrig sinande arbete.

– Det är en sak att tala om de stora dragen, men något annat när man står där i verkligheten och ser detaljerna som poppar upp varje minut. Märklappar på produkterna, adresser som saknas, felstavade namn på kunder, transporter som inte går att genomföra, högarna med varor som bara växer. Det är miljontals detaljer, något enormt komplext. I ett stort bolag händer saker varje timme, och utan ett system för att hålla koll på allt blir det synnerligen komplicerat efter bara ett litet tag, säger Jonas Bjuhr som är vd för Hydros profilverksamhet i Sverige.

Teknikhandlare på knä

Ett annat svenskt offer för den nya storskaliga ransomwarevågen är teknikkoncernen Addtech. Den 30 oktober i fjol drabbades 80 av teknikhandelskoncernens 130 dotterbolag av en storskalig attack som lamslog hela verksamheten. Det tog uppemot två månader innan Addtech, som agerar underleverantör åt många av Sveriges stora industriföretag, var på benen. Först i slutet på december uppgav Addtech att alla deras bolag åter var ”tillbaka i relativt normal produktion”.

– Det återstår mycket arbete, men vi har fast mark under fötterna igen. Våra dotterbolag har verkligen gjort ett otroligt jobb, och vi har tack vare vår decentraliserade struktur och starka kultur lyckats hålla i gång stora delar av verksamheterna under hela attacken. Nu känns det skönt att vi är ett i läge där vi åter kan lägga allt fokus på affärerna och återgå till det normala, sa Addtechs vd Niklas Stenberg i ett pressmeddelande som skickades ut dagarna innan jul.

Attacken beräknas preliminärt ha orsakat skador för runt 150 miljoner kronor. Där ingår både inkomstbortfall till följd av produktions- och leveransproblem och kostnader för att bygga upp en ny och säkrare it-miljö. Nu säger Kerstin Danasten, kommunikationsansvarig på Addtech, att det fortfarande återstår mycket arbete.

– Men vi ser inte att vi är påverkade på lång sikt. Samtidigt har vi lärt oss väldigt mycket, och vi kommer absolut att berätta mer om våra erfarenheter framöver, säger hon och tillägger att de har en tydlig bild av hur angreppet gick till. Angriparna tog sig in via en enskild arbetsstation redan under försommaren. De kom över ett administratörskonto via ett makro i en mejlbilaga, och på så sätt kunde de ta sig vidare in i systemet utan att bli upptäckta. Själva ransomwareprogrammet aktiverade de inte förrän i det allra sista skedet av attacken.

– Det var en väldigt riktad och medveten attack. Just nu väljer vi att inte gå ut med namnet på ransomwareprogrammet, dels på grund av att polisutredningen fortfarande pågår, dels för att vi helt enkelt inte vill bjuda brottslingarna på den uppmärksamheten.

”Ett väldigt stort mörkertal”

Det är i övrigt ont om publika exempel på svenska storföretag som drabbats. Men mörkertalet är stort, menar Marcus Murray som är grundare av it-säkerhetsföretaget Truesec. De kallas ofta in när stora bolag har drabbats av cyberattacker för att återställa system och återupprätta en säker it-miljö.

Bara under 2019 deltog hans bolag i över tio sådana utredningar, men av sekretesskäl får han inte uppge vilka företag som Truesec arbetat för.

– Det finns ett väldigt stort mörkertal. De allra flesta incidenter av den här typen som sker i Sverige kommer inte till allmänhetens kännedom, säger Marcus Murray.

I USA har flera amerikanska delstater och städer, däribland Baltimore, New Orleans och Riviera Beach, fått sina it-system kapade. I delstaten Alabama höll hackare flera sjukhus som gisslan. Attacker som beräknas ha kostat åtskilliga miljarder bara under 2019. Flera av de drabbade städerna ska ha betalat miljonsummor till kriminella för att återfå kontrollen över sina it-miljöer.

På den här sidan Atlanten finns också ett antal högprofilerade offer för den nya ransomwarevågen. Det franska konsultföretaget Altran Technologies och den belgiska metallproducenten Nyrstar är två kända europeiska exempel från 2019. Men mörkertalet tros vara stort.

De första veckorna efter attacken möttes krisledningen på Hydro tre gånger om dagen. Totalt sysselsattes företagets it-anställda och ett hundratal externa konsulter med att lappa och laga och bygga upp en säker it-miljö från grunden.

– Det är alle man på däck i ett sådant läge. Flera hundra personer ur it jobbade enbart med att hantera den här krisen i både veckor och månader, berättar säkerhetschefen Torstein Gimnes Are.

Lyckligtvis hade företaget en backuprutin som säkerställde att ingen data skulle gå förlorad. Men det är en sak att återställa enstaka kraschade datorer; nu handlade det om tusentals maskiner i många olika länder.

– Krypteringsviruset var bara en liten del av problemet. Efter ett sådant här angrepp måste du bygga upp hela infrastrukturen på nytt, och det medför stora kostnader, säger Torstein Gimnes Are.

– Du måste rensa servrarna, installera om mjukvaran och samtidigt introducera en högre säkerhet. Säkerställa att varje ny server lever upp till våra krav, det är en rigorös process. Det är ett gigantiskt it-projekt.

De första veckorna gick åt till att bygga upp en enkel infrastruktur, för att sedan börja driftsätta systemen som behövdes för verksamheterna.

– Det handlar i princip om att bygga upp en it-miljö som tog 20 år att bygga första gången, men nu skulle det ske på några månader, säger Torstein Gimnes Are.

Samtidigt dök nya faror upp. En bieffekt av att Hydro berättat öppet om attacken var en ny våg av bedrägeriförsök.

– Folk ringde och utgav sig för att tillhöra it-helpdesk och bad anställda om kreditkortsnummer eller lösenord. Det blev ett extremt tryck, säger Torstein Gimnes Are.

Det tog åtskilliga månader att återhämta sig från attacken. Först till sommaren började något som liknade ett normalläge infinna sig. Då hade bolaget också investerat i att öka säkerheten. Samtidigt håller de på att sammanställa lärdomarna från den här krisen.

– Vi måste dra lärdom av hur vi hanterat situationen, och skriva ner vår process så att vi kan öva på den i fredstid. Vi vill vara förberedda nästa gång. För vi är helt övertygade om att det blir en nästa gång. Det här var ingen engångshändelse, säger Torstein Gimnes Are.

Hydro/Marius Motrøen