Læsetid 5 min.

Cyberangreb mod Forsvaret var mere omfattende end hidtil kendt

Det lykkedes ikke alene en angiveligt russisk hackergruppe at få adgang til Forsvarets ansattes arbejdsmails. De angreb også ansattes private mailkonti, afslører it-ekspert. Oplysninger herfra vil typisk kunne bruges til afpresning, siger tidligere PET-chef
Hack og læk af e-mails kom til at spille stor – og måske afgørende – rolle i den amerikanske præsidentvalgkamp sidste år. Her en senatshøring med tidligere FBI-direktør James Comey. Det er angiveligt hackere fra samme gruppe, som hackede Det Demokratiske Parti, der er brudt ind i det danske Forsvarsministerium.

Hack og læk af e-mails kom til at spille stor – og måske afgørende – rolle i den amerikanske præsidentvalgkamp sidste år. Her en senatshøring med tidligere FBI-direktør James Comey. Det er angiveligt hackere fra samme gruppe, som hackede Det Demokratiske Parti, der er brudt ind i det danske Forsvarsministerium.

Erin Scott
1. august 2017

Den berygtede hackergruppe Fancy Bear har angiveligt angrebet ansatte i Forsvaret og Forsvarsministeriet på flere fronter end hidtil kendt.

I april kom det frem, at gruppen, der menes at være knyttet til den russiske stat, over en længere periode i 2015 og 2016 har haft adgang til Forsvarets mailsystem, efter at det med såkaldte phishing-mails var lykkedes at franarre ansatte deres login-oplysninger.

Nu fortæller den hollandske cybersikkerheds-ekspert Feike Hacquebord fra firmaet Trend Micro, at gruppen på samme måde har angrebet de ansattes private e-mail-konti.

»Jeg informerede de danske myndigheder tilbage i august 2015,« siger han til Information.

»Både om det, der siden har været fremme i den danske presse om angreb på det danske forsvars webmail. Men også om, at højtprofilerede danske mål var blevet angrebet på deres private, gratis mail-adresser.«

Hvem de »højtprofilerede mål« var, ønsker Feike Hacquebord af hensyn til de pågældende ikke at fortælle.

»Men de fleste arbejdede for den danske hær og Forsvarsministeriet,« siger han.

Fem klik

Feike Hacquebord er en af verdens førende eksperter i Fancy Bear-gruppen, der også er kendt under navnene APT28 og Pawn Storm. Tidligere har han blandt andet afsløret, at gruppen stod bag et phishingangreb på den nuværende franske præsident Macrons kampagnestab under valgkampen tidligere på året.

Et phishingangreb fungerer på den måde, at bagmanden sender en mail til sit mål med et link, som vedkommende opfordres til at klikke på. Mailen kan eksempelvis være camoufleret som et nyhedsbrev med indhold, som interesserer personen, eller foregive at være fra en person, som vedkommende kender og stoler på.

Tyveriet af oplysninger fra Forsvarets mailsystem, der foregik over to år fra 2015-2016, blev offentligt kendt søndag. I et interview med Berlingske sagde forsvarsminister Claus Hjort Frederiksen (V), at angrebet »er knyttet til efterretningstjenesterne eller centrale elementer i det russiske styre«. Det afviser russerne.
Læs også

Når målet klikker på linket, føres vedkommende til et falsk website, der foregiver at være log-in-siden til deres mail. Hvis man indtaster sit brugernavn og password, kommer det i hackernes besiddelse.

Det er uvist, om det lykkedes hacker-gruppen at få adgang til de danske måls private mails. Men Feike Hacquebord fortæller, at fem personer har klikket på det link, hackerne sendte dem. Han har ikke overblik over, hvor mange der modtog en mail uden at klikke på linket.

Fancy Bears angreb

Fancy Bear alias Pawn Storm alias APT28 alias Sofacy. Den berygtede hackergruppe har mange navne. Men listen over angreb, der tilskrives dem, er endnu længere. Her er et udpluk.

Det demokratiske parti

I april 2016 trængte hackere ind i e-mail-konti tilknyttet Det Demokratiske Parti. Knap 20.000 e-mails blev efterfølgende lækket til og offentliggjort af Wikilekeaks. Ifølge sikkerhedsfirmaet Crowdstrike stod Fancy Bear bag. En online-persona ved navn Guccifer 2.0, der hævder at være en rumænsk hacker, tog kort efter ansvar for angrebet og afviste påstandene om russisk indblanding. Men i et interview med Vice Motherboard viste det sig, at han ikke beherskede det rumænske sprog.

Det franske valg

Op til det franske valg tidligere i år angreb Fancy Bear Emmanuel Macrons kampagnestab. Det afslørede Trend Micro i april. På det tidspunkt var det uklart, om angrebet var lykkedes, men lige op til valgdagen blev store mængder e-mails lækket online. Ifølge Macrons kampagne var der i mængden af ægte mails også blevet plantet falske oplysninger.

Det tyske valg

Både kansler Merkels CDU-parti og det socialdemokratiske SPD er blevet angrebet af Fancy Bear. I Tyskland frygtes det, at eventuelt stjålet materiale vil blive lækket i et forsøg på at påvirke udfaldet af parlamentsvalget til september.

Kompromat

Hvis Feike Hacquebord fra Trend Micros oplysninger er korrekte, har hackerne formentlig været på udkig efter noget, der kunne bruges til afpresning – det, der på russisk kaldes ’kompromat’. Det vurderer tidligere operativ chef i Politiets Efterretningstjeneste Hans Jørgen Bonnichsen.

»Forhåbentlig er der ikke nogen i Forsvaret, som har klassificerede oplysninger liggende på deres private mail. Men der kan jo godt være nogle personlige ting, som man under ingen omstændigheder ønsker bliver offentligt kendt,« siger han.

»Hvis du får fat i dem, har du pludselig et pressionsmateriale, som du kan bruge til at få yderligere informationer. Det er en klassisk metode inden for spionage, som russerne historisk set har været dygtige til.«

Ondsindede programmer har inficeret hundredtusindevis af computere, så ofrene skal betale for at få adgang til deres egne filer. Bagmændene bliver sjældent fanget, men nogle tilbyder deres ofre en slags kundeservice, hvor man kan få hjælp til at betale løsesummen – og prutte om prisen
Læs også

Jens Christian Høy Monrad, der er senioranalytiker ved sikkerhedsfirmaet FireEye, vurderer umiddelbart Trend Micros oplysninger som troværdige.

»Vi har ikke selv nogen oplysninger om det her, som vi kan dele. Men det er meget plausibelt,« siger han.

»Der er eksempler fra andre lande, hvor vi har set gruppen gå efter forsvars-ansatte, politikere og diplomaters private mails. Og den måde, det skulle være foregået på her, stemmer fuldstændig overens med den måde, de normalt arbejder på.«

Digitale spor

Når Trend Micro har kunnet opdage angrebet, skyldes det, at Fancy Bear har begået en række fodfejl. Eksempelvis var de falske login-sider registreret med en e-mail-adresse, som hackergruppen har brugt i andre sammenhænge.

Gruppen har også brugt linkforkortelsestjenesten bit.ly til at camouflere de links, de sendte til deres mål. Men de har brugt de samme bit.ly-konti, som de tidligere har benyttet til andre angreb.

Ved at holde øje med de konti har Feike Hacquebord i årevis kunnet følge med i gruppens aktiviteter. Ved hjælp af bit.ly’s statistikker kunne han se, hvor mange der havde klikket på et link, og hvilket land de var fra. Og da hvert mål havde fået tilsendt et unikt link, der indeholdt deres e-mail-adresse, kunne han også fastslå, hvem der var blevet angrebet.

Feike Hacquebord informerede de danske myndigheder om sagen, da han den 19. august 2015 fik en henvendelse fra dem med generelle spørgsmål om hackergruppen. Han sendte efterfølgende en mail mere med supplerende oplysninger. Den 17. september modtog han bekræftelse på, at oplysningerne var modtaget, forklarer han. Men hvad de danske myndigheder foretog sig på den baggrund, ved han ikke.

Russisk afvisning

Det har ikke været muligt at få et interview med forsvarsminister Claus Hjort Frederiksen. Han henviser til Forsvarets Efterretningstjeneste. I en mail til Information skriver tjenestens Center for Cybersikkerhed (CFCS):

»Center for Cybersikkerhed er bekendt med, at Trend Micro har udsendt rapporter om APT28-angrebet. Ift. spørgsmålet om, hvornår CFCS har modtaget oplysninger og centrets analyse af angrebets udbredelse, så offentliggør CFCS ikke nærmere detaljerede oplysninger om, hvordan analysen gennemføres eller om dens resultater, udover hvad der måtte fremgå af CFCS’s undersøgelsesrapporter.«

Dmitry Peskov, der er talsmand for den russiske præsident Vladimir Putin, har tidligere afvist, at Rusland stod bag angrebet på det danske forsvar.

Bliv opdateret med nyt om disse emner

Prøv en gratis måned med uafhængig kvalitetsjournalistik

Klik her

Allerede abonnent? Log ind her

Forsiden lige nu

Anbefalinger

  • Brugerbillede for Jacob Fenger
    Jacob Fenger
  • Brugerbillede for Eva Schwanenflügel
    Eva Schwanenflügel
Jacob Fenger og Eva Schwanenflügel anbefalede denne artikel

Kommentarer

Brugerbillede for Søren Jensen
Søren Jensen

Hvis de fandt noget belastende for 2 år siden, så må man mistænke at det allerede er forsøgt anvendt.

Brugerbillede for Dennis Jakobsen
Dennis Jakobsen

Wow, man skulle tro det var CNN det her, den ene russiske konspirations teori efter den anden og når man skal præsentere beviser, så er det altid "det siger firma a, b eller c". Hvad med nogle flere artikler om hvordan vores alle sammens sammensvorne favorit USA er i 7 ulovlige krige, støtter terrorisme igennem Saudi Arabien med $100 milliarder i våben, støtter Israel med våben så de kan begå folkemord imens rygradsløse FN udgiver flere presse meddelelser om hvor frygteligt det er imens alle bare ser til. Vi står med en gigantisk flygtninge krise baseret på alle de ulovlige krige USA fører, men når den skal løses, ser vi så på at vi er årsagen og vi måske skulle stoppe med at tæppe bombe mellemøsten? Ser vi på at bryde samarbejdet med USA? Nej, vi elsker åbenbart at være associeret med en financielt grådig massemorder. Jeg er personligt træt af at have så meget blod på hænderne. Men et-eller-andet-RUSLAND!!! Puha, forsvarer demokratier. Det passer ikke ind i USA's petro-dollar plan i mellemøsten, der skal sættes nogle tåbelige vestligt venlige dukke diktatorer ind med 3% folkelig opbakning. Det er vejen frem. Det har aldrig virket, så pedalen i bund ud af den motorvej!

Jacob Fenger, Niels Nielsen, Niels Erik Philipsen, Kjeld Jensen og Jacob Jensen anbefalede denne kommentar
Brugerbillede for Gert Romme

Jeg syntes faktisk, at det er stærkt bekymrende, at det danske forsvar i lighed med visse andre landets forsvar, ikke forstår at beskytte militære hemmeligheder samt personfølsomme oplysninger om borgerne.

Denne hackergruppe, Fancy Bear, alias APT28, er en internet-spionagedrivende del af den russiske spiontjeneste GRU. Og APT28 har formentlig ca. 3,227 højtuddannede internet- og software specialister, der formentlig er verdens bedste til dette job. Og samtidig har de i eget regi adgang til en enorm datakraft, der skønnes langt større end nogen vestlig organisation besidder.

Der er simpelt hen skabt en skadelig kultur i offentlig administration - nemlig outsourcing. For når ulovlig indtrængen overhovedet er mulig, skyldes det udelukkende, at myndighederne outsourcer en del af både arbejdet samt serverkapaciteten til eksterne virksomheder.

For hvis myndighederne havde haft alle disse følsomme oplysninger på egen server, der var hermetisk adskilt fra internettet, ville det være fysisk umuligt, at det kunne have fundet sted. Og den slags "totalt vandtætte koblinger" til internettet findes faktisk som software, men det kræver til gengæld en helt anden kultur og opmærksomhed hos politikere og myndigheder.

Flemming Berger, Eva Schwanenflügel, Morten Lassen, Henrik L Nielsen og Peter Hansen anbefalede denne kommentar
Brugerbillede for Niels Erik Philipsen
Niels Erik Philipsen

Jeg tør næsten ikke egistrer a jeg anbefaler Dennis Jacosens barske indlæg. Jeg bliver garanteret registreret af NASA, som USA-fjendtlig. Risikerer jeg ikke en eller anden form for chikane ad veje, som kun NASA kender.

Brugerbillede for Mikkel Kristensen
Mikkel Kristensen

Gad vidst om forsvaret har fået et personligt brev fra Putin der indrømmer, at ja den er god det er os russere... eller om det blot passer belejligt ind i vores allerede antagede oprustning med den altid så sandfærdige Claus Hjort i spidsen... så vidt jeg ved kan en dygtigt hackergruppe lægge præcis de spor ud - de ønsker ud / så hvilke spor ønskes ud?

Brugerbillede for Thomas Carstensen
Thomas Carstensen

"Det er angiveligt hackere fra samme gruppe, som hackede Det Demokratiske Parti.."
Det er slet ikke givet, at det demokratiske parti blev hacket. For det første, har både John Brennon og James Clapper (tidligere directors of national intelligence og CIA) begge indrømmet, at det alligevel ikke var alle 17 efterretningstjenester, som stod bag vurderingen (at der var tale om hacking), og den ene medgav endvidere, at analytikerne, som kom med vurderingen var blevet "håndplukket" til arbejdet. Tidligere CIA analytiker Ray McGovern og den tidligere tekniske direktør for NSA, William Binney, har også påpeget at hvis DNCs servere var blevet hacket - som for eks. af russere, ville NSA have set de pågældende filers bevægelser, overalt på kloden. Dvs., at NSA ville have vist med sikkerhed, A) at serverne var blevet hacket, og B) hvem der gjorde det. I stedet for, har de blot vurderet med "moderate to high certainty" at DNCs servere blev hacket af russere.

Brugerbillede for Thomas Carstensen
Thomas Carstensen

Ups - jeg glemte at nævne at både Clapper og Brennon indrømmede, at der kun var tale om 3 efterretningstjenester bag vurderingen (om hacking).