Kripos har hatt etterforskere, teknikere, påtale, og annet personell i Ukraina for å bistå i aksjonen.
Kripos har hatt etterforskere, teknikere, påtale, og annet personell i Ukraina for å bistå i aksjonen.
FotoKRIPOS

Flere representanter fra Nasjonalt cyberkrimsenter (NC3) ved Kripos var i forrige uke i Ukraina under en planlagt aksjon mot en kriminell gruppe. Kripos mener at de blant annet står bak dataangrepet mot Hydro i 2019, men etterforskningen har også avdekket at gruppen står bak en rekke andre internasjonale angrep. Totalt har minst 1800 virksomheter i 71 land blitt angrepet av den samme gruppen som Hydro ble rammet av.

– Etterforskningen har pågått i lang tid, men den har gitt bemerkelsesverdig gode resultater. Da vi startet i 2019 var det mange som mente det var umulig å løse slike saker. Denne etterforskningen har tydelig vist det motsatte, sier politiadvokat Knut Jostein Sætnan ved Kripos.

Flere personer er pågrepet i Ukraina, blant annet en av hovedmennene i gruppen, og en rekke steder ble ransaket. Mer enn 100 digitale enheter er tatt i beslag for videre undersøkelser.

Armensk statsborger i varetekt i Norge

En armensk statsborger ble i august i år pågrepet i Tyskland på bakgrunn av en Europeisk arrestordre fra Norge. Han er mistenkt for å være en del av den organiserte kriminelle gruppen som stod bak angrepet mot Hydro. Han ble i oktober overlevert til Norge, og varetektsfengslet i Oslo tingrett. 

– Etterforskningen mot ham pågår fortsatt, og Kripos mener han har vært en viktig del av nettverkets angrep på virksomheter verden over. Vi mener nå at den internasjonale etterforskningen trolig har klart å avsløre dette nettverkets oppbygging, og målet er å sette det helt ut av spill, sier Sætnan.

Mannen er siktet for medvirkning til grovt dataskaderverk og grov utpressing som ledd i virksomheten til en organisert kriminell gruppe. Kripos mener han har hatt en sentral rolle i nettverket.

Har etterforsket mens de blir angrepet av Russland

– Hydro anmeldte saken raskt, og vi har hatt god og solid dialog med dem helt siden de ble angrepet i 2019. Det hadde vært umulig å gjennomføre en slik etterforskning og bekjempe slik kriminalitet uten at de hadde deltatt aktivt, sier Sætnan.

Kripos har samarbeidet særlig nært med franske, britiske og ukrainske politimyndigheter i et såkalt "Joint Investigation Team" (JIT), initiert av fransk politi. I tillegg har det vært tett samarbeid med amerikanske, nederlandske, sveitsiske og tyske politimyndigheter. Europol og Eurojust har også vært involvert i etterforskningen.

I 2021 ble det aksjonert mot nettverket i Ukraina for første gang, og på bakgrunn av materialet som ble tatt i beslag da, ble flere personer i nettverket identifisert. I etterkant har Kripos oversatt og oversendt mer enn 1000 sider med etterforskningsdokumenter til Ukraina, for videre arbeid der.

– Det er all grunn til å skryte av ukrainsk politi og påtalemyndighet, der landet står i en ekstremt krevende situasjon der de må forsvare seg mot angrep fra en fremmed makt, samtidig som de har klart å etterforske denne saken videre. Uten den omfattende innsatsen Ukraina har gjort, hadde ikke dette vært mulig, sier Sætnan.

Godt organisert med et strengt hierarki

De pågrepne vil bli avhørt, og målet er nå at de straffeforfølges i Ukraina, Sveits og Norge for angrepene de har utført. 

– Nettverket har vært godt organisert, med klare, definerte roller og et strengt hierarki. I tillegg til de som lager skadevaren, infiserer virksomheter, utfører angrepene og senere presser virksomhetene for penger, er det også et stort apparat for å håndtere pengene. Etterforskningen har klart å identifisere personer fra bunnen og helt opp til toppen av dette nettverket, som samlet har gjort skadeverk over hele verden for flere milliarder av kroner, sier Sætnan.

Kripos mistenker at gruppen i tilegg til skadevaren LockerGoga har brukt en rekke andre skadevarer som Megacortex, Dharma og Ryuk. Sveitsisk politi pågrep i 2021 en person som politiet mener sto bak utviklingen av LockerGoga og Megacortex. Han vil bli straffeforfulgt i Sveits.

– Etterforskningen har vist at det er et færre antall slike kriminelle grupper enn vi tidligere har antatt. Gruppen vi nå etterforsker har stått bak utallige angrep med mange forskjellige skadevarer. Derfor er det også svært viktig å sette dem ut av spill, sier Sætnan.

Metodeutvikling og etterforskningskompetanse

Kripos har hatt etterforskere, teknikere, påtale, og annet personell i Ukraina for å bistå i aksjonen og etterforskningen. NC3 har en verdifull kompetanse som er høyt verdsatt av våre samarbeidspartnere.

– Dette har vært en krevende og lærerik etterforskning, som fortsatt ikke er over. Metodene og kunnskapen som blir utviklet i en slik prosess, kommer hele politiet til gode i det lange løp. Samtidig er det viktig at cyberkriminelle straffeforfølges for de enorme skadene de utøver på virksomheter verden over. Dette er en type kriminalitet som ikke forholder seg til landegrenser, og derfor er internasjonalt samarbeid helt essensielt for å stoppe de som står bak, sier Sætnan.

Pressemelding fra Europol om aksjonen

Pressemelding fra Eurojust om aksjonen

Forsvarere for den armenske statsborgeren som er varetektsfengslet i Norge er Ragnhild Torgersen og Jon Anders Hasle.