I december 2016 hørte Verden om historiens muligvis første fysiske eksempel på cyberkrig.

Det privatejede IT-firma, CrowdStrike, mente at have afsløret det første hackerangreb, der har kostet mennesker livet. Angiveligt afslørede hackerangrebet placeringen af ukrainske artilleristillinger, som efterfølgende blev bombet af russiske styrker.

CrowdStrikes rapport om angrebet tilbyder en forklaring på det russiske militærs opsigtsvækkende succesrate overfor ukrainsk artilleri og giver et makabert indblik i, hvad ondsindet software kan bruges til ved frontlinjen i det nye årtusinde.

»Betegnelsen ‘cyberkrig’ er blevet flittigt brugt før, ja. Men det her var første gang, det faktisk gav mening.«

Ordene kommer fra en finsk mand med hestehale og ledsages af et fast blik hen over runde brilleglas.

Mikko Hypponen arbejder for et andet IT-sikkerhedsfirma, F-Secure, men han har en pointe med at nævne den skelsættende afsløring. For ifølge Hypponen er det kun begyndelsen.

»Vi er kun lige akkurat sluppet ud af de sidste våbenkapløb, atomkapløbet. Efter 60 år lykkedes det os - sådan da - at lægge det bag os. Med det samme har vi kastet os hovedkulds ud i det næste våbenkapløb, cyberkapløbet. Og jeg tror på, at det her kun er begyndelsen - det er ganske sandsynligt, at vi kommer til at bruge de næste 60 år på dette nye våbenkapløb,« siger Mikko Hypponen.

Han er selverklæret nørd og hacker, og privat har han en svaghed for pinball-maskiner. Online henviser han i spøg til sig selv som »superskurk«, og da han besøger Berlingske i København vil han med et glimt i øjet heller ikke udelukke, at han har et hemmeligt laboratorium gemt et sted i de finske bjerge.

Ikke desto mindre er den 47-årige finne i høj grad værd at lytte til, når det drejer sig om internettet og truslerne online. Han har undervist på universiteter som Stanford, Oxford og Cambridge, og millioner har set hans TED Talks-forelæsninger om malware og NSA’s overvågning online.

Som chief research officer ved F-Secure har Mikko Hypponen i 25 år dekonstrueret og efterforsket virtuelle orme og vira, såkaldt malware, der truer sikkerheden på internettet.

Mikko Hypponen har blandt andet efterforsket Stuxnet-ormen, der inficerede og saboterede irans atomprogram i 2010, og som de fleste i branchen anser for at være udviklet af amerikanske og israelske efterretningstjenester.

»Selv om amerikanerne officielt fortsat nægter, at de har haft noget med det at gøre,« tilføjer han og ryster vantro på hovedet.

Hypponen var også med til at undersøge hacket af Sony Pictures i 2014, som blev sporet til hackergruppen Dark Seoul, der sættes i forbindelse med Nordkoreas regime. Samme land stod ifølge den finske virusekspert formentlig også bag tyveriet af op mod en milliard dollars i angrebet mod det internationale banknetværk, SWIFT, i begyndelsen af 2016.

I sin efterforskning af cyberspace støder han også på terrororganisationer, hvilket i praksis betyder hackere fra Islamisk Stat, som ifølge Hypponen er de eneste med den slags kapacitet.

»Men de har lukket ned på det seneste, formentligt fordi USA har lanceret angreb med droner mod deres hackere,« siger Mikko Hypponen.
Senest har han – af helt konkrete sager – undersøgt hackerangrebet mod Demokraterne i USA, og hans konklusion er klar.

»Vi har meget stærke tekniske beviser på, at det var russerne,« siger han og bakker dermed op om den melding, en række amerikanske efterretningstjenester kom med i en fælles rapport 29. december.

Hypponen forklarer, at hans gruppe i øvrigt kæder dette angreb sammen med det hackernetværk, som angiveligt også stod bag verdens første eksempel på cyberkrig.
Netværket er populært kendt som »Fancy Bear«, og ifølge Hypponen er der stærke tekniskeindikationer på, at det har forbindelse til det russiske militærs efterretningstjeneste, GRU.

Angiveligt stod Rusland altså bag det første hackerangreb, der har kostet menneskeliv, og CrowdStrike-rapporten giver et bud på hvordan.

Den første cyberkrigshandling

Det ukrainske militærs artilleri tæller blandt andet en række D-30 howitzer-kanoner fra sovjettiden. Disse kanoner tager lang tid at indstille, så de rammer efter hensigten, og derfor udviklede en ukrainsk officer i 2014 en applikation, så soldaterne ved hjælp af en smartphone langt hurtigere kunne indstille kanonerne.

Men ifølge CrowdStrike-rapporten lykkedes det hackere at inficere applikationen med en virus, som gjorde det muligt at pejle sig ind på de ukrainske artilleri-enheders geografiske position.

Ifølge en af CrowdStrike-stifterne, som har udtalt sig til Washington Post, Dmitri Alperovitch, stod GRU og Fancy Bear »med høj sikkerhed« bag hackingen.

Og ifølge det Internationale Institut for Strategiske Studier har ukrainske artilleristyrker mistet omkring 50 procent af deres materiel, men mere end 80 procent af de ukrainske D-30 howitzer-kanoner, efter russiske bombardementer. Forklaringen kan ifølge CrowdStrike-rapporten være Fancy Bear-hacket, skriver Washington Post videre i artiklen.

Statssponseret hacking

Adspurgt om Rusland er mere aktive online end andre nationer, lyder det fra Mikko Hypponen:

»Ikke nødvendigvis. Men russerne virker ikke så bekymrede for at blive opdaget. De bliver formentligt opdaget oftere end eksempelvis amerikanerne eller israelerne. Kineserne bliver også opdaget hele tiden, men kineserne foretager formentligt også flere cyberangreb end noget andet land«.

Hvor bekymrede skal vi i Danmark være for russiske cyberangreb?

»Den russiske regering er helt klart interesseret i danske mål, inklusive den danske regering, forsvarsindustrien, jeres militær og forbindelsen til NATO. Men disse mål ved selvfølgelig godt, at de er udsatte, og de forsøger at holde angriberne ude,« siger Mikko Hypponen:

»Problemet er, hvis du har en tålmodig angriber, som bare bliver ved igen og igen, til det lykkes, for det vil det sandsynligvis gøre på et tidspunkt.«

Derfor er det vigtigt at overvåge sine systemer, så man opdager eventuelle hackerangreb og begrænser skaderne, siger han.

I Danmark overvåger Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (FE) eksempelvis netværkene i blandt andet de fleste af ministerierne og i regeringen. FE karakteriserede i december truslen fra cyberangreb som »meget høj« og »en vedvarende trussel«.

»Så ja, Danmark er bestemt et mål. Hvornår har I jeres næste valg? Det er jo den nye norm, at organisationer eller interessenter forsøger at påvirke valgprocesser,« siger Mikko Hypponen.

Den største trussel online

F-Secure opsnapper og analyserer hver dag mellem 350-400.000 stykker malware, fortæller han. Langt størstedelen, 97 procent, kommer fra organiserede cyberkriminelle, som Hypponen betegner som »den klart største trussel på internettet«.

»Og i øjeblikket er deres største pengemaskine ransomware,« siger Mikko Hypponen med henvisning til en metode, hvor cyberkriminelle inficerer et offers computer, låser samtlige filer og kræver løsepenge for at låse dem op igen.

»Vi følger mere end 110 online-bander for tiden, de fleste fra Rusland, nogle fra Ukraine, en enkelt fra Japan og en fra Brasilien. Det er ganske interessant, for de konkurrerer ligesom små virksomheder om deres kunder, eller i det her tilfælde ofre,« siger han og forklarer, at kun de resterende tre procent af malwaren kommer fra statssponserede hackere og aktivister.

Ifølge Mikko Hypponen er listen lang over stater, som anvender hacking.

»Og jeg har fuld forståelse for, at regeringer har brug for at spionere - det har regeringer altid gjort,« siger han.

Et af problemerne med cyberspionage er dog, at der kun sjældent er en rygende pistol. Gerningsmændene bliver sjældent fanget, og skylden for et angreb forsvinder ofte i det, Hypponen kalder »cyberkrigstågen«.

»Det er også en klar forskel fra atomkapløbet, hvor det handlede om den afskrækkende effekt ved at have dem. Cybervåben har ingen afskrækkende effekt,« siger han:

»De virker kun, hvis andre ikke ved, man har dem«.