En statsstyret russisk hackergruppe har gennem 2015 og 2016 hacket det danske forsvar og skaffet sig adgang til en række nøje udvalgte ansattes emails, som hackerne har tappet for oplysninger.
Gruppen bag angrebet - APT 28, også kaldet Fancy Bear - trækker ifølge flere efterretningstjenester tråde helt op til præsident Vladimir Putins styre og er identisk med en af de to førende hackergrupper, som sidste år skaffede sig ulovlig adgang til Demokraternes email-konti i USA.
Informationerne i de hackede emails i forsvaret er såkaldt ikke-klassificerede oplysninger, men i en netop færdiggjort rapport om angrebet, som Berlingske har fået adgang til, skriver Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, at angrebet alligevel udgør en alvorlig sikkerhedsrisiko for Danmark – bl.a. fordi at Rusland kan bruge informationerne til at hyre agenter i det danske forsvar.
»Informationerne kan misbruges til forsøg på rekruttering, afpresning eller til planlægning af yderligere spionage,« står der i rapporten.
Derudover kan hackerne bruge de inficerede email-konti til at sende nye mails, som kan udbrede hacket og skaffe adgang til endnu mere kompromitterende oplysninger, lyder det.
Center for Cybersikkerhed har nu afleveret rapporten til forsvarsminister Claus Hjort Frederiksen (V), der er rystet over angrebet, som, han siger, er styret af den russiske stat.
»Det er meget kontrolleret, det der foregår. Det er ikke små hackergrupper, der gør det for sportens skyld. Det er knyttet til efterretningstjenesterne eller centrale elementer i det russiske styre, og det er en evig kamp for at holde dem væk,« siger Claus Hjort Frederiksen.
Vi står med en meget kritisk situation
Han vil ikke fortælle, hvilke personer eller hvor i forsvaret angrebet er sat ind, da det er fortroligt.
Hjort understreger, som det også fremgår af rapporten, at der ikke har været adgang til informationer af højeste sikkerhedskarakter som f.eks. våbensystemer, da klassificerede oplysninger ikke kan tilgås via internettet.
Information fra hacket af Demokraterne i USA – som Rusland har afvist at stå bag - blev senere lækket til pressen under valgkampen med fortrolige oplysninger om Hillary Clinton. Det fik efterfølgende den daværende amerikanske præsident Barack Obama til at udvise 35 russiske diplomater fra USA.
Det er endnu uvist, om en tilsvarende spredning af informationer vil ske med hacket af det danske forsvar, siger Claus Hjort Frederiksen.
»Ingen af os kan vide, hvad hackerne har brugt de her oplysninger til. Men selv i et uklassificeret system kan der forekomme henvisninger til ting og sager, der kan blive spredt. De angriber på flere måder, og det foregår på et meget sofistikeret niveau. Det gør, at vi står med en meget kritisk situation,« siger han.
Rapport: Udenrigsministeriet har også været under angreb
Angrebet er foregået på den måde, at hackerne i flere bølger har sendt i hundredvis af emails til adskillige nøje udvalgte ansatte i forsvaret i såkaldte phishing-mails. F.eks. har de ansatte fået en email - der har set ud til at være fra en intern afsender - med besked om, at systemet skulle opdateres.
Den ansatte har derefter skullet logge ind med sit password for at foretage opdateringen, men er kommet ind på en falsk fabrikeret loginside stort set identisk med den oprindelige.
Når den hemmelige kode er blevet indtastet, har hackerne fået fat i passwordet og har kunnet tømme email-kontoen for al information.
Hackerne har også ad flere gange forsøgt to andre typer angreb på både forsvaret og Udenrigsministeriet, hvor de har prøvet at vinde kontrol over computere og servere. Blandt andet ved avancerede programmer, der gætter på tusindvis af potentielle adgangskoder.
Men det er ikke lykkedes, fremgår det af rapporten.
Rapport: Forsvaret havde ikke nok sikkerhed
Det fremgår også, at angrebet bl.a. har været muligt at gennemføre, fordi der ikke i tide har været iværksat nye sikkerhedsforanstaltninger til at dæmme op for hackerne mod de ikke-kvalificerede emails. Det er ikke sket på trods af, at trusselsbilledet har ændret sig og brugen af emails er øget, står der.
»Der er tale om et mailsystem, der bruges til uklassificeret post. Derfor er der også lavere standarder for sikkerheden end i forsvarets øvrige systemer, og derfor er det også – alt andet lige – lettere for hackere at komme ind i systemet. Systemet er et ældre system, og analyserne har også vist, at der kunne være bedre sikkerhedsforanstaltninger,« siger Claus Hjort Frederiksen.
Men det er forsvarets sikkerhed, vi snakker om. Er det acceptabelt, at der ikke er styr på det?
»Vi har taget de relevante forholdsregler, og sikkerheden omkring det pågældende system er blevet væsentligt skærpet. Men det er også væsentligt at slå fast, at cybertrusler har en karakter og kompleksitet, der gør det yderst vanskeligt at garantere noget.«
Får det her konsekvenser for nogen i forsvaret?
»Nej.«
Heller ikke for nogen på ledelsesniveau?
»Nej, sikkerheden er skærpet, og der er indført nye rutiner,« siger Claus Hjort Frederiksen.
Trusselsniveuet er »meget høj«
I januar kaldte han i et interview med Berlingske den massive cybertrussel mod Danmark fra især netop statsstyrede russiske hackergrupper for »skræmmende«.
Forsvarets Efterretningstjeneste udgav kort efter sin trusselsrapport for 2016, hvor man kunne læse, at truslen fra cyberspionage og cyberkriminalitet fra fremmede magter blev vurderet til »meget høj« - det højeste niveau.
Også adskillige andre vestlige efterretningstjenester har advaret mod, at Ruslands hackerangreb udgør en stigende trussel og kan få indflydelse på parlamentsvalgene i Frankrig, Norge og Tyskland i 2017.
Angrebet på forsvaret er derfor også dokumentation for den massive og alvorlige cybertrussel, siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed.
»Det her et meget konkret eksempel på, at det altså ikke er teori og tankespind, når vi siger, at der er en stor og alvorlig spionagetrussel mod Danmark,« siger han og uddyber:
»Det her var et uklassificeret system, som ikke styrer forsvarets våben eller den type ting. Så det var ikke det mest alvorlige, som forsvaret ligger inde med, men selv oplysninger, som ikke er direkte anvendelige i en forsvarsmæssig sammenhæng, kan indeholde informationer, som man på en eller anden måde kan udnytte. For eksempel til at skræddersy mere målrettede cyberangreb mod personer, der er større mål.«
Der står i rapporten, at oplysningerne kan bruges til afpresse og rekruttere ansatte. Er der nogen medarbejdere, der efterfølgende er blevet kontaktet i den retning?
»Det kan jeg ikke kommentere på,« siger Thomas Lund-Sørensen.
Risiko for mere alvorlige cyberangreb øges de kommende år
Han mener også, at hacket af forsvaret er et varsel om, at hackernes adfærd kan blive af endnu mere truende karakter mod vores sikkerhed i fremtiden. Lige nu anser Center for Cybersikkerhed ikke angreb mod kritisk infrastruktur som el,- olie- og gasforsyning som en stor trussel.
Men det, forventer efterretningstjenesten, vil ændre sig inden for nogle år, og det bekymrer Claus Hjort Frederiksen.
»Risikoen for, at den her cybertrussel udvikler sig, er jo noget større end for, at der skulle blive en egentlig krig. Men det er jo ligeså farligt, for hvis det lykkes at hacke infrastruktur, kan du undergrave borgernes tillid til, at vi kan håndtere tingene i samfundet. Hvad hvis man hackede sig ind i udbetaling af folkepension og ødelagde det system? Eller i hospitalers indkaldelse til behandling og i journalerne? Eller lammede el- og naturgasforsyning? Det ville jo skabe panik,« siger forsvarsministeren.
Hvad har I foretaget jer i forhold til Rusland i forbindelse med det her angreb?
»Vi har ikke foretaget os noget som helst. De har jo ikke indrømmet noget som helst af, hvad de har gjort tidligere, så det ville være naivt.«
Men når I nu har en rapport, der viser, at det danske forsvar er blevet hacket af en gruppe styret af den russiske stat, bør du så ikke kræve en forklaring fra de russiske myndigheder, som minimum den russiske ambassadør, og sige, at vi ikke vil acceptere det?
»Det kunne jeg ikke engang få mig selv til, for jeg ved jo, at jeg ikke vil få et svar. Sådan er det jo, det er en daglig kamp mod de her hackere,« siger Claus Hjort Frederiksen.
Han vil nu tage de nye oplysninger med til forligskredsen og til efterårets forhandlinger om et nyt forsvarsforlig for 2018 til 2022, ligesom han pointerer, at regeringen har sat gang i et tjek af sikkerheden i ministerier og styrelser.
Og selvom han understreger, at Forsvarets Efterretningstjeneste er blevet tilført rigtig mange penge de seneste år, lægger han op til, at cybersikkerheden skal opgraderes.
»Nu har jeg jo ikke været forsvarsminister ret lang tid, men jeg må sige, at det har gjort et meget, meget stort indtryk på mig, hvor store og omfattende de her cyberangreb egentlig er. Og hvor meget vi er udsat for i det daglige. Der er grund til at være bekymret,« siger Claus Hjort Frederiksen.