Russisk ekspert: Ruslands mest »fandenivoldske« hackergruppe i aktion mod dansk forsvar

Den russiske stat udliciterer cyberangreb til hackergrupper og IT-firmaer, som ikke kan sige nej til den magtfulde sikkerhedstjeneste.

Foto: PAWEL KOPCZYNSKI. Berygtet russisk hackergruppe har haft held til at infiltrere mailkonti i det danske forsvar.De har dog næppe fået noget særligt ud af det, vurderer eksperter.
Læs mere
Fold sammen

Det amerikanske præsidentvalg, den tyske Forbundsdag og Ukraines væbnede styrker.

Hackergruppen APT28, også kendt som Fancy Bear, står bag nogle af de mest opsigtsvækkende cyber­angreb de seneste tre år. Ifølge Forsvarets Efter­retningstjeneste er gruppen nu også identificeret som ansvarlig for en serie hackerangreb moddet danske forsvars emailsystemer i 2015 og 2016.

Præcis som ved de tidligere angreb i Tyskland, Holland, Frankrig og USA benyttede hackerne sig af såkaldt phishing, hvor gerningsmænd forsøger at franarre kodeord via falske email. Mål og fremgangsmåden i den danske sag er typisk for APT28, siger en af Ruslands førende eksperter i cybersikkerhed, Andrej Soldatov, til Berlingske.

»Sammenlignet med andre grupper, regnes APT28 for mere fandenivoldske og mindre forsigtige,« siger Andrej Soldatov, journalist og forfatter til flere bøger om den magtfulde russiske sikkerhedstjeneste FSB.

Gruppen bag det kryptiske navn var tidligere kendt som Pawn Storm, en henvisning til skakstrategi, hvor et stort antal bønder rykkes frem. På lignende vis arbejder APT28 med emailbombardementer mod mange adresser frem for mere målrettede angreb.

Storm på Clintons mailserver

Gruppen er tilsyneladende også mindre bekymret for at blive opdaget. Det var stormløbet fra APT28, der i 2016 bragte de amerikanske myndigheder på sporet af cyberangreb mod det demokratiske partis it-system midt under præsidentvalget. Efterforskningen viste senere, at systemet allerede var infiltreret af en rivaliserende og mere diskret hackergruppe kendt som Cozy Bear.

Ifølge de amerikanske myndigheder fungerer begge grupper som den russiske stats forlængede arm. Center for Cybersikkerhed under Forsvarets Efterretningstjeneste vurderer i sin rapport, at »et andet lands efterretningstjeneste« står bag cyberangrebene mod Udenrigsministeriet og Forsvarsministeriet.

Også den hollandske sikkerhedstjeneste meddelte i februar, at to ministerier havde været udsat for cyberangreb, der menes at stamme fra APT28.

»Ud fra de sporingsmetoder, der findes i dag, og når vi ser på de militære mål, de har udvalgt sig, kan man slutte med stor sandsynlighed, at de arbejder sammen med militære strukturer i Rusland,« siger Andrej Soldatov.

For Rusland er der imidlertid en række fordele ved at ’udlicitere’ cyberoperationer til hacker­grupper og i stigende grad også til russiske IT-sikkerhedsfirmaer, siger han.

For det første har sikkerhedstjenesten og militæret har brug for hackere og private virksomheder, fordi de fortsat råder over langt større teknisk snilde end FSB selv.

Samtidig åbner armslængden for retoriske smuthuller. Efter hackingskandalen under det amerikanske valg understregede Vladimir Putins talsmand, at han udelukkede »enhver involvering af regeringen eller regeringsorganer« i cyberangrebet.

»Det kan i formel forstand være korrekt,« påpeger Andrej Soldatov, der er forfatter til den prisbelønnede bog The Red Web om Ruslands cyberindsats.

Et tilbud, du ikke kan afslå

Parløbet er imidlertid tæt. En højtstående FSB-medarbejder – og selv tidligere hacker – blev tidligere på året anholdt i en sag, der afslørede nye direkte forbindelser mellem sikkerhedstjenesten og aktive, russiske hackergrupper. Det samarbejde muliggøres af både penge, patriotisme og trusler, vurderer den russiske ekspert.

»Hvis sikkerhedstjenesten beder om noget, så er situationen sådan, at du ikke kan sige nej. Det er frygten for staten. Men frygten kan også forvandles til patriotisme. Så nogle af disse folk siger, at de gør det for deres land. Endelig kan der være en økonomisk motivation eller en beskyttelse mod strafansvar,« siger han.

I den danske sag vil de russiske efterretningstjenesters primære interesse være oplysninger om NATO-samarbejdet, vurderer Soldatov.

»Det er brikker, der kan bruges i en større sammenhæng. Man får information om navne og omgangsform. Man kan skabe grundlag for nye phishing-angreb på et senere tidspunkt,« siger Andrej Soldatov.