Soldater i pyjamas: Russiske hackere er patriotiske, professionelle – og bange

Sporene efter cyberangrebet mod det danske forsvar fører ind i gråzonen mellem hackergrupper, digitale lejesoldater og russiske cyberstyrker. Berlingske har mødt en insider, der fortæller om voksende pres fra den magtfulde sikkerhedstjeneste FSB.

Pavel Vrublevsky er en af de mest kendte stemmer i den russiske IT- og hackerbranche. Han ser et øget pres fra sikkerhedstjenesten på de unge IT-specialister og hackere. Foto: Andrey Rudakov
Læs mere
Fold sammen

Et par muskuløse arme klikker et magasin i en kalasjnikov-riffel og lægger våbnet til rette ved siden af tastaturet.

Behandskede fingre danser over tasterne. Kodelinjer flimrer på skærmen, mens navnet på Ruslands digitale indsatsstyrke toner frem, »Den videnskabelige kampgruppe«.

Der er ikke sparet på effekterne i den 62 sekunder lange rekrutteringsvideo, der skal lokke unge russiske programmører indenfor i den russiske hærs tjeneste. De kan vente sig et »et komfortabelt liv«, hvis de vælger at aftjene værnepligten foran computerskærmen, lyder det i videoen.

Se videon her.

Ruslands væbnede styrker har hårdt brug for de unge specialister. Krigsførelse i cyberspace er i dag lige så vigtig som pansrede mandskabsvogne, lyder budskabet.

Den russiske hærs avis, Hæren i dag, citerer en replik fra den seneste James Bond-film for at hamre pointen hjem.

»Jeg kan gøre mere skade i min pyjamas med min bærbare computer, end du kan på et helt år i felten. Det er sådan nogle specialister, vi har brug for til Ruslands cyberstyrker,« lyder det i avisens hvervekampagne.

Sådan har det stolte budskab længe runget i Ruslands hjemlige medier, selv om der udadtil lyder andre toner.

Den russiske regering afviser konsekvent at have det mindste at gøre med de cyberangreb, der de seneste to år har ramt en stribe vestlige lande, herunder valgkampe i USA og Frankrig. Og senest det danske forsvar.

Gennem to år har russiske hackere udført hackerangreb og stjålet email fra ansatte i forsvaret, oplyste forsvarsminister Claus Hjort Frederiksen (V) i denne uge. Hackerne er »knyttet til efterretningstjenesterne eller centrale elementer i det russiske styre,« sagde ministeren med henvisning til en ny rapport fra Forsvarets Efterretningstjeneste.

Den danske anklage mod Rusland kom næsten samtidig med, at en tyk rapport udpegede samme russiske gruppe som ansvarlig for cyberangreb på den franske præsidentkandidat Emmanuel Macron, der stiller op mod Vladimir Putins foretrukne kandidat i Frankrig, Marine Le Pen.

Svaret fra Moskva var det samme som altid.

»Der kan ikke være tale om nogen som helst involvering fra det officielle Moskva,« sagde Dmitrij Peskov, Vladimir Putins mangeårige talsmand, til nyhedsbureauet Interfax.

Og tænk nu, hvis Putins talsmand har ret?

Det drilske spørgsmål kommer fra Pavel Vrubljovskij. Han er en af de mest kendte, anarkistiske stemmer på den russiske IT-sikkerheds- og hackerscene. Som han sidder dér bag sit skrivebord i hjørnekontoret hos sin virksomhed Chronopay i det centrale Moskva, kniber han øjnene sammen og nyder kunstpausen efter sit retoriske spørgsmål.

BMINTERN - Pavel Vrublevsky (Russian: ????? ???????? ???????????; born 26 December 1978) is a Russian computer programmer, businessman and entrepreneur. He is the former CEO of ChronoPay credit card processing company, convicted for organizing a denial-of-service attack. Moscow, Russia, April 27, 2017. Photographer: Andrey Rudakov. Fold sammen
Læs mere

Pavel Vrubljovskij er ingen letvægter. Mange i det russiske IT-miljø kender ham som den højtflyvende forretningsmand, der i 2013 blev idømt to og et halvt års fængsel for cyberangreb mod et konkurrerende firma. Amerikanske sikkerhedsrapporter har stemplet ham som medansvarlig for en af de største globale spam-operationer i nyere historie.

Selv mener han, at en dramatisk udluftning i FSBs cyberkontor har renset ham for de gamle anklager. En højtstående efterretningsofficer fra sikkerhedstjenesten FSB, der rejste sagen imod ham dengang, er for nylig selv blevet sendt bag tremmer, anklaget for intet mindre end forræderi. Den dramatiske anholdelse af Sergej Mikhailov, kontorets vicechef, trækker endda tråde hele vejen til hackerangrebene på Hillary Clinton under den amerikanske valgkamp.

Det vender vi tilbage til.

Først er der en pointe, som Pavel Vrubljovskij gerne vil gøre klar, som den reneste maskinkode: I digital krigsførelse er der ingen rygende pistoler.

I magtkampen mellem rivaliserende efterretningstjenester, IT-sikkerhedsfirmaer, cyberkriminelle og hackergrupper forsøger alle at tørre skylden af på alle. Og hvis europæiske regeringer tror, at de kan identificere gerningsmænd på flere tusind kilometers afstand, tager de fejl, mener han.

»Pointen er, at du ikke kan bevise noget. Det kan i princippet være nogen i den russiske stats tjeneste. Det kan være hackere. Eller det kan være CIA, ikke? Ingen ved det, og alle vil altid beskylde hinanden,« siger Pavel Vrubljovskij.

Det kan umiddelbart lyde som en belejlig hvidvaskning af det russiske statsapparat, hvis fingeraftryk ifølge vestlige efterretningstjenester findes i hackerangreb fra USA til den tyske Forbundsdag, hollandske ministerier og nu i det danske forsvar.

Men graden af sikkerhed er ikke uvigtig i international politik. Det er således ikke forkert, at en endegyldig identificering af den skyldige part er en sjældenhed i efterforskningen af cyberangreb, siger Peter Kruse, en af Danmarks erfarne eksperter i cybertrusler hos IT-sikkerhedsvirksomheden CSIS.

»Det er dobbelt svært, fordi de, der angriber, udmærket ved, hvilke parametre efterforskerne kigger på. De lægger bevidst røgslør og falske spor ud,« siger han.

Åbenlyse spor som sprog, tidszoner og datapunkter kan forfalskes, påpeger han. Samtidig er det ingen hemmelighed, at også vestlige efterretningstjenester står bag offensive cyberoperationer.

»Derfor skal man passe på med at pege fingre,« siger han.

Rapporten fra Forsvarets Efterretningstjeneste regner det for »meget sandsynligt«, at hackergruppen APT28, kendt som »Fancy Bear«, står bag angrebet mod forsvaret i Danmark. Det er samme gruppe, som ifølge amerikanske efterretningsrapporter med »stor sandsynlighed« stod bag angreb på Hillary Clintons kampagnechef under den amerikanske valgkamp.

De forsigtige formuleringer er ikke tilfældige. Der findes omfattende teknisk vidnesbyrd og efterretningsmateriale, der peger på forbindelser til russisk militær eller efterretningstjeneste. Men det er ikke det samme som fældende beviser, siger Kenneth Geers, senior fellow fra Atlantic Council og medlem af ekspertgruppen NATO Cyber Center.

»For endelig udpegelse af skyld må du identificere mennesker bag tastaturer,« skriver Kenneth Geers i en email til Berlingske.

På den anden side er der ingen grund til at være naiv, når cyberangreb bliver direkte del af militære konflikter, siger han. De senere års nøje timede digitale anslag mod nabolande til Rusland som Estland, Georgien og Ukraine ligner klokkeklare tilfælde af cyberkrigsførsel.

Under krigen mellem Rusland og Georgien i 2008 blev den georgiske regerings hjemmesider prompte lagt ned. Efter russisk-støttede separatister i Østukraine i 2014 erklærede sig uafhængige, fulgte nådesløse cyberangreb mod de ukrainske myndigheder – herunder mod elværker og den ukrainske hær.

Den russiske cyberindsats er som skabt til at udnytte den manglende mulighed for at placere et endegyldigt ansvar, siger den russiske sikkerhedsanalytiker Andrej Soldatov.

»Kinesisk hacking er for eksempel mere centraliseret. I Rusland består systemet af formelle og uformelle elementer, der skaber et røgslør,« siger Soldatov, forfatter til bogen The Red Web om det russisksprogede internet og FSBs forsøg på at kontrollere det.

Når Putins talsmand benægter, at »statslige strukturer« står bag et angreb, så kan det være delvist sandt alt efter, om et konkret angreb er udført af Kreml-loyale hackergrupper, IT-sikkerhedsfirmaer, den »videnskabelige kampgruppe« eller digitale lejesoldater, siger han.

»Tidligere var opfattelsen, at hvis kriminelle hackere arbejdede for staten, så skete det gennem mellemmænd, ungdomsbevægelser eller PR-firmaer. I dag er presset sådan, at det er meget svært for næsten alle aktører at sige nej til sikkerhedstjenesten,« siger Soldatov.

At sikkerhedstjenesten spiller en central rolle i det russiske hacker- og IT-sikkerhedsmiljø ved Pavel Vrubljovskij om nogen. Hans egen virksomhed Chronopay arbejdede tæt sammen med FSBs cyberenhed i efterforskningen af en tidligere spamsag, siger han.

De seneste to års storpolitiske hackersager har imidlertid ændret både stemningen og magtbalancen i miljøet.

I USA og Europa er en stribe russiske hackere blevet anholdt de seneste måneder. Den tidligere generation af anarkistiske og til dels Kreml-kritiske hackere er blevet afløst af unge og mere »patriotiske« grupper, siger han.

Hvorfor er de mere patriotiske?

»Fordi de har brug for beskyttelse,« siger Vrubljovskij.

»Hele miljøet hader denne situation. De vil leve et normalt liv. Men så snart de begynder at tjene penge, føler de truslen fra politifolk og kriminelle. De ønsker beskyttelse, og de føler, at hvis de hacker Pentagon eller sådan noget, så vil de få beskyttelse af det almægtige FSB,« siger han.

Og her er vi tilbage ved den dramatiske anholdelse af FSB-chefen Sergej Mikhailov tilbage i januar. Han skulle ifølge russiske efterforskningskilder have lækket fortrolige oplysninger til USA. Men sigtelsen, der også omfatter kendte hackere og IT-sikkerhedseksperter, illustrerer frem for alt det stadig tættere parløb mellem sikkerhedstjenesten og hackergrupperne, mener Andrej Soldatov.

Trods de hårdtpumpede hvervekampagner er russisk militær og efterretningsvirksomhed fortsat afhængige af hackernes tekniske snilde. Men den internationale jagt på de cyberkriminelle har ændret magtbalancen og skubbet nogle af grupperne i armene på et FSB, der kan dingle truslen om en kriminalsag over deres hoveder, mens de arbejder ved tastaturet.

»Jeg vil sige, at nogle af disse grupper arbejder med en pistol for panden,« siger Andrej Soldatov.