Den berygtede hackergruppe Fancy Bear har angiveligt angrebet ansatte i Forsvaret og Forsvarsministeriet på flere fronter end hidtil kendt.
I april kom det frem, at gruppen, der menes at være knyttet til den russiske stat, over en længere periode i 2015 og 2016 har haft adgang til Forsvarets mailsystem, efter at det med såkaldte phishing-mails var lykkedes at franarre ansatte deres login-oplysninger.
Nu fortæller den hollandske cybersikkerheds-ekspert Feike Hacquebord fra firmaet Trend Micro, at gruppen på samme måde har angrebet de ansattes private e-mail-konti.
»Jeg informerede de danske myndigheder tilbage i august 2015,« siger han til Information.
»Både om det, der siden har været fremme i den danske presse om angreb på det danske forsvars webmail. Men også om, at højtprofilerede danske mål var blevet angrebet på deres private, gratis mail-adresser.«
Hvem de »højtprofilerede mål« var, ønsker Feike Hacquebord af hensyn til de pågældende ikke at fortælle.
»Men de fleste arbejdede for den danske hær og Forsvarsministeriet,« siger han.
Fem klik
Feike Hacquebord er en af verdens førende eksperter i Fancy Bear-gruppen, der også er kendt under navnene APT28 og Pawn Storm. Tidligere har han blandt andet afsløret, at gruppen stod bag et phishingangreb på den nuværende franske præsident Macrons kampagnestab under valgkampen tidligere på året.
Et phishingangreb fungerer på den måde, at bagmanden sender en mail til sit mål med et link, som vedkommende opfordres til at klikke på. Mailen kan eksempelvis være camoufleret som et nyhedsbrev med indhold, som interesserer personen, eller foregive at være fra en person, som vedkommende kender og stoler på.
Når målet klikker på linket, føres vedkommende til et falsk website, der foregiver at være log-in-siden til deres mail. Hvis man indtaster sit brugernavn og password, kommer det i hackernes besiddelse.
Det er uvist, om det lykkedes hacker-gruppen at få adgang til de danske måls private mails. Men Feike Hacquebord fortæller, at fem personer har klikket på det link, hackerne sendte dem. Han har ikke overblik over, hvor mange der modtog en mail uden at klikke på linket.
Fancy Bears angreb
Fancy Bear alias Pawn Storm alias APT28 alias Sofacy. Den berygtede hackergruppe har mange navne. Men listen over angreb, der tilskrives dem, er endnu længere. Her er et udpluk.
Det demokratiske parti
I april 2016 trængte hackere ind i e-mail-konti tilknyttet Det Demokratiske Parti. Knap 20.000 e-mails blev efterfølgende lækket til og offentliggjort af Wikilekeaks. Ifølge sikkerhedsfirmaet Crowdstrike stod Fancy Bear bag. En online-persona ved navn Guccifer 2.0, der hævder at være en rumænsk hacker, tog kort efter ansvar for angrebet og afviste påstandene om russisk indblanding. Men i et interview med Vice Motherboard viste det sig, at han ikke beherskede det rumænske sprog.
Det franske valg
Op til det franske valg tidligere i år angreb Fancy Bear Emmanuel Macrons kampagnestab. Det afslørede Trend Micro i april. På det tidspunkt var det uklart, om angrebet var lykkedes, men lige op til valgdagen blev store mængder e-mails lækket online. Ifølge Macrons kampagne var der i mængden af ægte mails også blevet plantet falske oplysninger.
Det tyske valg
Både kansler Merkels CDU-parti og det socialdemokratiske SPD er blevet angrebet af Fancy Bear. I Tyskland frygtes det, at eventuelt stjålet materiale vil blive lækket i et forsøg på at påvirke udfaldet af parlamentsvalget til september.
Kompromat
Hvis Feike Hacquebord fra Trend Micros oplysninger er korrekte, har hackerne formentlig været på udkig efter noget, der kunne bruges til afpresning – det, der på russisk kaldes ’kompromat’. Det vurderer tidligere operativ chef i Politiets Efterretningstjeneste Hans Jørgen Bonnichsen.
»Forhåbentlig er der ikke nogen i Forsvaret, som har klassificerede oplysninger liggende på deres private mail. Men der kan jo godt være nogle personlige ting, som man under ingen omstændigheder ønsker bliver offentligt kendt,« siger han.
»Hvis du får fat i dem, har du pludselig et pressionsmateriale, som du kan bruge til at få yderligere informationer. Det er en klassisk metode inden for spionage, som russerne historisk set har været dygtige til.«
Jens Christian Høy Monrad, der er senioranalytiker ved sikkerhedsfirmaet FireEye, vurderer umiddelbart Trend Micros oplysninger som troværdige.
»Vi har ikke selv nogen oplysninger om det her, som vi kan dele. Men det er meget plausibelt,« siger han.
»Der er eksempler fra andre lande, hvor vi har set gruppen gå efter forsvars-ansatte, politikere og diplomaters private mails. Og den måde, det skulle være foregået på her, stemmer fuldstændig overens med den måde, de normalt arbejder på.«
Digitale spor
Når Trend Micro har kunnet opdage angrebet, skyldes det, at Fancy Bear har begået en række fodfejl. Eksempelvis var de falske login-sider registreret med en e-mail-adresse, som hackergruppen har brugt i andre sammenhænge.
Gruppen har også brugt linkforkortelsestjenesten bit.ly til at camouflere de links, de sendte til deres mål. Men de har brugt de samme bit.ly-konti, som de tidligere har benyttet til andre angreb.
Ved at holde øje med de konti har Feike Hacquebord i årevis kunnet følge med i gruppens aktiviteter. Ved hjælp af bit.ly’s statistikker kunne han se, hvor mange der havde klikket på et link, og hvilket land de var fra. Og da hvert mål havde fået tilsendt et unikt link, der indeholdt deres e-mail-adresse, kunne han også fastslå, hvem der var blevet angrebet.
Feike Hacquebord informerede de danske myndigheder om sagen, da han den 19. august 2015 fik en henvendelse fra dem med generelle spørgsmål om hackergruppen. Han sendte efterfølgende en mail mere med supplerende oplysninger. Den 17. september modtog han bekræftelse på, at oplysningerne var modtaget, forklarer han. Men hvad de danske myndigheder foretog sig på den baggrund, ved han ikke.
Russisk afvisning
Det har ikke været muligt at få et interview med forsvarsminister Claus Hjort Frederiksen. Han henviser til Forsvarets Efterretningstjeneste. I en mail til Information skriver tjenestens Center for Cybersikkerhed (CFCS):
»Center for Cybersikkerhed er bekendt med, at Trend Micro har udsendt rapporter om APT28-angrebet. Ift. spørgsmålet om, hvornår CFCS har modtaget oplysninger og centrets analyse af angrebets udbredelse, så offentliggør CFCS ikke nærmere detaljerede oplysninger om, hvordan analysen gennemføres eller om dens resultater, udover hvad der måtte fremgå af CFCS’s undersøgelsesrapporter.«
Dmitry Peskov, der er talsmand for den russiske præsident Vladimir Putin, har tidligere afvist, at Rusland stod bag angrebet på det danske forsvar.
Hvis de fandt noget belastende for 2 år siden, så må man mistænke at det allerede er forsøgt anvendt.
Det er allerede anvendt. Vi danskere er utrolig langsomme, good grief..
Jeg syntes faktisk, at det er stærkt bekymrende, at det danske forsvar i lighed med visse andre landets forsvar, ikke forstår at beskytte militære hemmeligheder samt personfølsomme oplysninger om borgerne.
Denne hackergruppe, Fancy Bear, alias APT28, er en internet-spionagedrivende del af den russiske spiontjeneste GRU. Og APT28 har formentlig ca. 3,227 højtuddannede internet- og software specialister, der formentlig er verdens bedste til dette job. Og samtidig har de i eget regi adgang til en enorm datakraft, der skønnes langt større end nogen vestlig organisation besidder.
Der er simpelt hen skabt en skadelig kultur i offentlig administration - nemlig outsourcing. For når ulovlig indtrængen overhovedet er mulig, skyldes det udelukkende, at myndighederne outsourcer en del af både arbejdet samt serverkapaciteten til eksterne virksomheder.
For hvis myndighederne havde haft alle disse følsomme oplysninger på egen server, der var hermetisk adskilt fra internettet, ville det være fysisk umuligt, at det kunne have fundet sted. Og den slags "totalt vandtætte koblinger" til internettet findes faktisk som software, men det kræver til gengæld en helt anden kultur og opmærksomhed hos politikere og myndigheder.
Jeg tør næsten ikke egistrer a jeg anbefaler Dennis Jacosens barske indlæg. Jeg bliver garanteret registreret af NASA, som USA-fjendtlig. Risikerer jeg ikke en eller anden form for chikane ad veje, som kun NASA kender.
Gad vidst om forsvaret har fået et personligt brev fra Putin der indrømmer, at ja den er god det er os russere... eller om det blot passer belejligt ind i vores allerede antagede oprustning med den altid så sandfærdige Claus Hjort i spidsen... så vidt jeg ved kan en dygtigt hackergruppe lægge præcis de spor ud - de ønsker ud / så hvilke spor ønskes ud?