Prorussiske hackere tok kontroll over et damanlegg for settefisk på Vestlandet og saboterte vanntilstrømningen i vår.
I hele fire timer stod ventilene vidåpne.
Slusene slapp da gjennom nærmere 500 liter vann i sekundet, før innbruddet ble oppdaget og stanset.
Kripos og Politiets sikkerhetstjeneste (PST) har etterforsket hendelsen og et liknende datainnbrudd, og er ikke i tvil om hvem som står bak.
Likevel henlegges sakene.
I fire timer stod ventilene hele åpne og slapp gjennom 500 liter i sekundet, før datainnbruddet ble oppdaget og stanset.
Foto: Preben Nedreberg Holmøy / NRKPeker på Russland
Kripos og senere PST etterforsket saken etter straffeloven §130, som gjelder påvirkning fra fremmed etterretning.
PST konkluderer sin etterforskning med at samme prorussiske hackerallianse stod bak datainnbrudd mot begge de to norske bedriftene.
Dataangrepene ble rettet mot damanlegget i Risevatnet i Bremanger i Vestland og en bedrift på Østlandet.
– Den aktuelle gruppen er en prorussisk hackergruppe, som angivelig står bak slike datainnbrudd også andre steder i verden.
Det sier politiadvokat Per Niklas Hafsmoe i PST til NRK. Han har ledet PST sin etterforskning.
Politiadvokat Per Niklas Hafsmoe har ledet PSTs etterforskning.
Foto: Benjamin Vorland Andersrød / NRKHafsmoe legger til at det også kan dreie seg om en allianse av flere grupperinger.
Politiadvokaten og PST retter nå en tydelig pekefinger mot Russland.
– PST ser indikasjoner på personer i denne konkrete gruppen, eller alliansen den er en del av, har tilknytninger til russiske statlige aktører.
Derfor henlegges sakene
En prorussisk hackerallianse la selv ut en video på Telegram hvor de viste frem kontrollpanelet til damanlegget, og påtok seg ansvaret for hackingen.
– En hacker-allianse med tilknytning til Russland publiserte en uttalelse i sosiale medier hvor de påtok seg ansvaret for dette konkrete datainnbruddet, sier Hafsmoe.
Det er denne gruppen politiadvokat Hafsmoe og PST mener står bak dam-sabotasjen og datainnbruddet på Østlandet.
– Etterforskingen konkluderer med at det er den prorussiske gruppen som påtok seg ansvaret for datainnbruddene som også gjennomførte dem.
Men PST har ikke noen konkrete personer å pågripe og henlegger nå saken.
– Etterforskingen har ikke avdekket hvilke personer som stod bak disse spesifikke datainnbruddene. Straffesakene avsluttes derfor av påtalemyndigheten som en følge av manglende opplysninger om gjerningsperson, sier Hafsmoe.
– Har dere noen kommentar til at sakene henlegges og hvilket signal det sender?
– Det at vi etterforsker slike datainnbrudd viser at PST og norske myndigheter tar slike hendelser på alvor, svarer Hafsmoe.
La ut ny video etter nytt hackerangrep
21. mai ble en annen norsk bedrift på Østlandet utsatt for et liknende datainnbrudd. Også her startet Kripos ved Nasjonalt cyberkrimsenter (NC3) etterforskning, som i juni ble overført til PST.
I august skrev Aftenposten først om det nye angrepet. PST var da tydelig på at de mistenkte samme gjerningspersoner som i Bremanger.
Hackeralliansen hadde da allerede lagt ut video på Telegram, hvor de nok en gang påtok seg ansvaret.
– Det er samme gruppe som selv hevder å stå bak. Fremgangsmåten er lik ved at det ble begått et datainnbrudd hos det aktuelle firmaet, hvorpå gruppen etterpå la ut skjermopptak og hevdet de stod bak, sa Hafsmoe til Aftenposten.
Hendelsen på Østlandet gjaldt ikke et damanlegg. Utover dette ønsker ikke PST å gå ut med informasjon om selskapet som ble rammet.
PST-sjef Beate Gangås kommenterte Bremanger-angrepet under Arendalsuka i sommer.
Foto: Ole Berg-Rusten / NTBI sommer kommenterte PST-sjef Beate Gangås Bremanger-angrepet, noe VG omtalte først.
– Hensikten med denne typen aksjoner er å bidra til påvirkning, samt skape frykt eller uro i landets befolkning, sa Gangås.
Gangås var da ikke overrasket av skrytevideoen hackerne la ut etter Bremanger-angrepet.
– Det er typisk modus at en statlig aktør bruker for eksempel aktivistgrupper til å ta seg inn, nettopp for å vise «se hva vi kan gjøre hvis vi vil». Så går de ut og skryter av det etterpå.
Til Aftenposten avviste russiske myndigheter anklagene.
Klandrer svake passord
I begge tilfeller blir svake passord pekt på som forklaringer til at datainnbruddene kunne skje.
– Etterforskingen fra Kripos viste at datainnbruddet var mulig ettersom det var brukt et svakt passord, sier Hafsmoe om datainnbruddet mot damanlegget på Vestlandet.
Selv om hackergruppen som begikk innbruddet fikk tilgang til å regulere vanngjennomstrømningen og ifølge PST benyttet denne til å øke gjennomstrømningen, mener PST at skaden var begrenset.
– Elven nedenfor anlegget er dimensjonert for langt mer vann enn hva slusene kan regulere, og det var derfor aldri fare for oversvømmelser, sier Hafsmoe.
Om datainnbruddet på Østlandet sier Hafsmoe følgende:
– Skadepotensialet var også i dette tilfellet marginalt og bedriften hadde benyttet et svakt passord.
PST har advart om sabotasjer
PST har advart om at norsk infrastruktur er utsatt, senest i sin nasjonale trusselvurdering for 2025.
I trusselvurderingen står det at PST anser det som sannsynlig at russisk etterretning vil forsøke å utføre sabotasjeaksjoner mot mål i Norge, og at norskeid energi-infrastruktur kan være et mål.
Forsvarets forskingsinstitutt (FFI) og Nasjonalt tryggingsorgan (NSM) har også pekt på kraftbransjen som særlig sårbar for hybrid krigføring.
– Anser PST nå at trusselen har ytterligere økt? Frykter PST nye snarlige sabotasjeaksjoner, eller etterforsker dere allerede lignende hendelser?
– PST har tidligere i år uttalt at vi mener sabotasjetrusselen fra Russland har økt i Norge. Den vurderingen gjelder fortsatt, konstaterer Hafsmoe.
Hei
Takk for at du leste saken. Har du tanker eller tips til denne saken, eller om noe annet?
Send meg gjerne en e-post: erica.kronheim@nrk.no
Publisert 03.10.2025, kl. 11.55 Oppdatert 03.10.2025, kl. 12.28
English (US) ·