Læsetid: 3 min.

Danske virksomheder ramt af avanceret cyberangreb

Center for Cybersikkerhed vurderer, at et cyberangreb mod to danske virksomheder blev gennemført af en statsstøttet aktør
18. januar 2016

To danske virksomheder blev i 2014 og 2015 ofre for et cyberangreb, som blev »gennemført af en statsstøttet aktør med spionage for øje«.

Det vurderer Center for Cybersikkerhed, som er en del af Forsvarets Efterretningstjeneste, i en ny rapport.

Angrebet er før blevet omtalt meget kortfattet af centret, men rapporten beskriver nu angrebet i flere detaljer.

Thomas Lund-Sørensen, der er chef for Center for Cybersikkerhed, peger på, at der var tale om et avanceret angreb, hvor målene blev rekognosceret grundigt inden angrebet, og at angriberne udviste vedholdenhed.

Alt det vidner om, at det er »en organisation med temmelig store ressourcer«, der står bag angrebet, siger han.

Rapporten om det konkrete angreb mod de to danske virksomheder kommer efter, at Center for Cybersikkerhed for nylig selv udgav en trusselsvurdering, hvori centret vurderer, at truslen fra cyberspionage er ’meget høj’, det højest mulige niveau.

For få dage siden udgav også Center for Militære Studier på Københavns Universitet resultaterne af en spørgeskemaundersøgelse, hvor 156 eksperter har svaret på, hvad de mener udgør den største trussel mod Danmark.

Her svarer eksperterne, ligesom de to foregående år, at cyberangreb udgør den største trussel mod Danmark. Cyberangreb er dermed ifølge eksperterne en større trussel mod Danmark end både migration og terrorisme.

’Bagdør til hovedmålet’

Det konkrete angreb mod de to danske virksomheder blev først opdaget i sommeren 2015, hvor Center for Cybersikkerhed modtog oplysninger fra en »partner«, som kunne tyde på et igangværende angreb mod en dansk it-leverandør.

Forskellige dele af it-leverandørens infrastruktur viste sig at være inficeret med et såkaldt remote access tool, som gør det muligt for angriberne at overtage kontrollen med eller spionere mod brugere af computeren.

Det kan eksempelvis ske ved i skjul at opsnappe tastetryk samt tage skærmbilleder, mens en anden person bruger computeren. Adgangen til den danske it-leverandør blev af angriberne brugt til at angribe en af virksomhedens kunder.

»En af de ting, der gør denne sag speciel, er, at den første virksomhed, som blev kompromitteret, efter alt at dømme ikke var målet for angrebet. Det var formentlig en af virksomhedens kunder, som var målet,« siger Thomas Lund-Sørensen.

Det er ikke muligt at sige, hvilke oplysninger der blev stjålet fra it-leverandøren eller kunden, konkluderer Center for Cybersikkerhed. Men analyser af angrebet viser, at »angriberne havde mulighed for at navigere uset rundt på netværkene i mere end et år. I den periode kunne angriberne i princippet tilgå alle data (hos it-leverandøren og kunden, red.).«

Alene for it-leverandøren har angrebet kostet tre millioner kroner i it-udgifter til blandt andet at analysere og rense inficerede maskiner.

For den anden virksomhed, som blev inficeret, er de økonomiske omkostninger ikke opgjort, men Center for Cybersikkerhed vurderer, at det har haft »store omkostninger« for virksomheden.

Hvem stod bag?

Spørgsmålet er, hvem der stod bag angrebet?

I den ondsindede programkode, som de danske virksomheder blev inficeret med, fremgår der to åbenlyse referencer til Kina. Dels en reference til det kinesiske sociale medie Weibo og dels et andet kinesisk website. Derudover har et privat it-sikkerhedsfirma tidligere koblet denne type af ondsindet progamkode til et kinesisk firma og en kinesisk it-ekspert.

– Mistænker I Kina for at stå bag angrebet?

»Vi kommer ikke længere end til at sige, at vi anser det for at være et statsstøttet angreb,« siger Thomas Lund-Sørensen.

Han understreger, at der trods de kinesiske referencer i programkoden kan være tale om et angreb under såkaldt falsk flag.

Det er en sløringsteknik, hvor en angriber efterlader spor, som peger tilbage på en stat, der i virkeligheden ikke er ansvarlig for angrebet.

Peter Kruse, der er it-sikkerhedsekspert hos virksomheden CSIS Security Group, vurderer, at angreb af denne type mod Danmark oftest stammer fra Kina.

»Det tror jeg godt, at vi med en vis sikkerhed kan konkludere,« som han siger.

Center for Cybersikkerhed oplyser ikke navnene på de to danske virksomheder, som blev ramt af angrebet.

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Anbefalinger

anbefalede denne artikel

Kommentarer

Ville et så kompleks styret angreb, således at der skal et helt stats-apparat til af finansiere det - efterlade sig spor på en website eller social-mediegruppe? Come on.

Anders Jensen, Keld Albrektsen og Helene Kristensen anbefalede denne kommentar
Helene Kristensen

Ro på. Der var også en masse "kloge hoveder", der udråbte år 2000 til et kæmpeproblem for visse systemer. Det var vi da en del der tjente rigtig godt på - at 2000-sikre disse systemer. Hvad skete der - med alle dem der ikke smed monstersummer efter programmører? Ikke en skid, eller rettere småproblemer om noget.

Herman Hansen

Der burde være to adskilte netværk i landet, hvoraf det ene udelukkende bruges til den vitale lands interne infrastruktur 100% isoleret fra internettet.

Anders Jensen, Keld Albrektsen, Torben Selch og Helene Kristensen anbefalede denne kommentar
Søren Kristensen

Og så burde alle PC- ere fødes med to harddiske, hvoraf den ene udelukkende sørger for at lave backup som går helt i bund, hvorefter computeren, på måske ugentlig basis, skiller sig af med alt uønsket malware, spam, reklamegejl, cookies, virus og hvad har vi. En frisk og hurtig computer hver mandag, var det ikke en god ide? Ikke rigtigt, vil computerindustrien sikkert mene, for den lever jo af sælge dig en ny, når du er blevet træt af den gamle og det bliver du altså hurtigere hvis den fyldes med alt muligt lort. Lidt ligesom med dem der sælger dig antivirusprogrammerne og som sikkert heller aldrig bliver helt kede af dem der laver virus.

Det er ærgerligt at befolkningen generelt ikke tage deres privatliv og online sikkerhed alvorligt. Hvis der var et udbredt ønsker om at forbedre vores IT sikkerhed, samt en lovgivning som ikke kun forbød hacking men også forbød lemfældig omgang med folks personlige data, ville affære som denne forhåbentlig sætte sinden i kog i den Danske befolkning.

Det er ærgerligt at befolkningen generelt ikke tage deres privatliv og online sikkerhed alvorligt. Hvis der var et udbredt ønsker om at forbedre vores IT sikkerhed, samt en lovgivning som ikke kun forbød hacking men også forbød lemfældig omgang med folks personlige data, ville affære som denne forhåbentlig sætte sinden i kog i den Danske befolkning.

I spent time with guys from the NSA - and most people would be surprised by all the information that they collect. Most of it is kept "compartmentalized" - and the government has no idea that it is being collected and saved. In general, there would be no record of any "break in". They often cite their motto of "collect everything" as their overriding concern. You may think that you would not be a target - but they want to have your information just in case they need it. I think most people would be surprised by how useless their own computer security is - wasn't it Snowden who said that encryption isn't a problem when you can compromise the endpoints?

On the positive side, this creates market opportunity for a next generation of security. I look at Unikernels as a key component of that security - since you will no longer have to depend on Microsoft, Apple, Linux, and Google to protect their monolithic software from backdoors. (Assuming you very carefully choose a Unikernel from some organization you trust not to be complicit in espionage.)