EU-topper og ansatte i Europakommisjonen er rammet av en voksende cyberkrise etter at angrep har truffet både digitale systemer og tjenestetelefoner. Sikkerhetseksperter jobber nå med å kartlegge omfanget, og om hendelsene kan ha en felles årsak.
Ifølge opplysninger har Europakommisjonen bedt flere av sine mest sentrale ledere om å stenge en gruppe på meldingstjenesten Signal, av frykt for at den kunne være et mål for hacking. Tiltaket kommer etter en rekke hendelser de siste månedene, blant annet brudd knyttet til Kommisjonens skyløsninger og et IT-system som håndterer mobile enheter.
– EU oppdager endelig sine sikkerhetssvakheter … man bruker milliarder på ubrukelige ting og investerer ikke i kritiske områder, sier en vestlig etterretningskilde som er orientert om situasjonen, men som uttaler seg anonymt.
Det er fortsatt uklart om angrepene henger sammen. Europakommisjonen har gitt få detaljer om hendelsene og vil i liten grad kommentere sensitive sikkerhetsspørsmål. Slike angrep er ofte krevende å etterforske, og det å peke ut en ansvarlig aktør er både vanskelig og politisk følsomt.
Minst to bekreftede brudd i år
Europakommisjonen har bekreftet minst to separate sikkerhetshendelser så langt i år.
Sent i mars ble Kommisjonens skyløsninger som driver nettstedet europa.eu kompromittert. Kommisjonens interne cybersikkerhetsteam, CERT-EU, opplyste at angriperne fikk tilgang til personopplysninger, inkludert navn, e-postadresser og innhold i e-poster.
Talsmann Thomas Regnier har samtidig uttalt at Kommisjonens interne infrastruktur ikke skal ha blitt rammet, og at Kommisjonen har vært i kontakt med Amazon og EUs interne personvernmyndighet i forbindelse med hendelsen.
I en tidligere sak, mot slutten av januar, opplyste Europakommisjonen at de hadde funnet spor av et cyberangrep i den sentrale infrastrukturen som brukes til å administrere mobile enheter. Bruddet kan ha gitt tilgang til ansattnavn og mobilnumre for enkelte medarbeidere. Kommisjonen understreket at det ikke ble påvist kompromittering av selve mobiltelefonene.
Sårbarheter i programvare og økt uro rundt sikre meldinger
Rundt samme tid rapporterte teknologiselskapet Ivanti om sårbarheter i programvare som brukes av store organisasjoner til å administrere enheter. Flere land, blant annet Nederland, har opplyst at de har vært utsatt for angrep som utnyttet slike svakheter. Cybersikkerhetsselskaper advarte om at hackere raskt tok i bruk sårbarhetene, særlig mot offentlige institusjoner.
Europakommisjonen har ikke bekreftet at hendelsen i januar var knyttet til Ivanti-sårbarhetene.
Separat ble en privat telefonsamtale mellom en journalist og en EU-ansatt avlyttet og publisert på nettet i forrige måned. EU-institusjonene har ikke opplyst hva som forårsaket lekkasjen, og arbeidsstedet til den berørte tjenestepersonen ble ikke navngitt.
Siden 2020 har Europakommisjonen hatt retningslinjer som anbefaler at ansatte bruker Signal til ikke-jobbrelatert kommunikasjon. Signal er en ende-til-ende-kryptert meldingstjeneste som lenge har vært ansett som blant de sikreste.
De siste ukene har imidlertid europeiske cyber- og etterretningstjenester advart mot en omfattende global kampanje der hackere har utgitt seg for å være falsk Signal-støtte og forsøkt å lure brukere til å avsløre PIN-koder. Flere lands sikkerhetsmyndigheter har sendt ut varsler om metoden.
Nedstengingen av Signal-gruppen i Europakommisjonen kommer i kjølvannet av disse advarslene.
Flere land vil bort fra Signal og WhatsApp
Flere europeiske regjeringer oppfordrer i økende grad offentlige ansatte til å gå bort fra Signal og lignende tjenester som WhatsApp og Threema. Begrunnelsen er at slike apper, selv om de kan være sikre, i mindre grad kan kontrolleres og administreres av myndighetene.
Flere land og organisasjoner har derfor tatt i bruk interne eller statlige meldingsløsninger. EU har også planer om et mer samordnet opplegg for sikre kommunikasjonsløsninger på tvers av institusjoner.
Bruken av Signal blant offentlige toppledere har i tillegg blitt gjenstand for økt oppmerksomhet internasjonalt etter at det i USA ble kjent at høytstående personer delte sensitiv informasjon på appen i en alvorlig sikkerhetssak.
Hvem står bak?
Nasjonale sikkerhetstjenester har pekt på Kreml som ansvarlig for de nylige kampanjene rettet mot offentlige tjenestepersoner på Signal. Det er uvanlig at etterretnings- og cybersikkerhetsmiljøer går så tydelig ut med hvem de mener står bak mens en pågående kampanje fortsatt etterforskes, fordi slike vurderinger ofte krever politisk og diplomatisk forankring.
En talsperson for Europakommisjonen uttalte i forbindelse med stengingen av Signal-gruppen:
– Vi kommenterer ikke interne sikkerhetsrutiner. Vi tar cybersikkerhetsrisiko svært alvorlig og har klare interne retningslinjer for våre ansatte.
Når det gjelder bruddet knyttet til Kommisjonens skyløsninger, har CERT-EU pekt på en kjent cyberkriminell gruppe. Ifølge CERT-EU var hackinggruppen ShinyHunters ansvarlig, og skal ha lekket en stor datamengde fra Kommisjonen på det som omtales som dark web.
ShinyHunters er tidligere blitt koblet til flere store datainnbrudd. Gruppen beskrives som engelskspråklig og kjent for avanserte svindelmetoder, og har fått internasjonal oppmerksomhet etter angrep mot store teknologimiljøer.
Europakommisjonen har uttalt at hendelsen knyttet til skyløsningene ble håndtert og avgrenset.
Uroen for cyberetterretning og spionasje har økt de siste årene, blant annet etter at europeiske myndigheter har avdekket flere angrep som knyttes til statstilknyttede aktører mot europeiske regjeringer.
