Statsstøttet hackergruppe angriber danske ministerier: Truslen er »meget høj«

Risikoen for, at danske myndigheder udsættes for cyberspionage er »meget høj«, vurderer Forsvarets Efterretningstjeneste. Det er det højeste trusselsniveau overhovedet. »Havde vi haft en højere kategori, havde vi anvendt den,« lyder det.

Arkivfoto: Forsvarets Efterretningstjeneste konkluderer i en netop offentliggjort trusselsvurdering, at risikoen for cyberspionage rettet mod danske myndigheder er »meget høj«, og at truslen primært kommer fra fremmede stater. Det er det højeste trusselsniveau, efterretningstjenesten arbejder med. Fold sammen
Læs mere
Foto: Pawel Kopczynski

Det begyndte engang i 2015 og har stået på siden.

Både det danske udenrigsministerium og det danske forsvarsministerium har i mere end et år nu været udsat for »vedvarende« cyberangreb, hvor udenlandske kriminelle forsøger at tvinge sig adgang til ministeriernes databaser.

Bag angrebene i begge ministerier står ifølge Forsvarets Efterretningstjeneste (FE) den samme hackergruppe, som er en statssponsorerede gruppe, der opererer for en fremmed stat.

Angrebene efterforskes stadig, og derfor er chef for FEs Center for Cybersikkerhed, Thomas Lund-Sørensen, tilbageholdende med at give oplysninger om sagen.

»Men vi har lokaliseret angrebet og har en rigtig god fornemmelse af, hvem der står bag,« siger Thomas Lund-Sørensen, der ikke vil ud med, om det er lykkedes for hackergruppen at trænge ind i ministeriernes systemer.

Han vil hverken sætte navn på gruppen, eller oplyse hvilket land – ej heller hvilken verdensdel – gruppen ifølge FEs oplysninger befinder sig i, men fortæller, at gruppen »ikke er ukendt« hos det danske forsvars efterretningstjeneste.

De to ministerier er ifølge centerchefen »klassiske spionagemål«, fordi begge ligger inde med oplysninger, som kan være givtige for andre landes regeringer. Det kunne for eksempel være oplysninger om, hvordan Danmark organiserer sit forsvar, eller hvordan forsvarets evne til at agere militært er.

Konkret har hackergruppen forsøgt at hive informationer ud med både spear phishing-kampagner, hvor de har forsøgt at lokke personer ansat i ministerierne til at afgive deres maillogin-oplyninger, og i andre tilfælde forsøgt at få adgang til mailkonti ved at afprøve i tusindvis af kodeord, fremgår det af trusselsvurderingen.

Truslen sprænger skalaen

Oplysningerne om de »vedvarende« angreb på de to danske ministerier fremgår af den netop offentliggjorte trusselsvurdering fra Forsvarets Efterretningstjenestes Center for Cybersikkerhed.

Rapporten konkluderer, at risikoen for cyberspionage rettet mod danske myndigheder og private virksomheder er »meget høj«, og at truslen primært kommer fra fremmede stater. Det er det højeste trusselsniveau, efterretningstjenesten arbejder med.

»Havde vi haft en højere kategori, havde vi anvendt den,« siger Thomas Lund-Sørensen med henvisning til, at fremmede stater allerede »jævnligt« forsøger at rette cyberangreb mod Danmark.

Det er en udvikling, der har været tiltagende de seneste år – både i Danmark og i øvrigt også i flere andre lande - og i dag oplever FE på daglig basis nye sager, hvor fremmede stater forsøger at tvinge sig adgang til danske myndigheders systemer og databaser. Op mod 1.000 gange om året bliver Danmark således ramt af alvorlige cyberangreb fra fremmede stater, skrev DR i en artikel tidligere på året, og tendensen har fået FE til flere gange at advare om risikoen.

Rusland og Kina er førende aktører

Flere vestlige lande med USA anklagede sidste år åbent Rusland for at stå bag cyberangreb på deres myndigheder. USA mener, at Rusland forsøgte at påvirke præsidentvalget sidste år, og daværende præsident Barack Obama reagerede ved at sende 35 russiske diplomater ud af landet og indføre sanktioner mod Rusland.

FE har ved flere tidligere lejligheder nægtet at forholde sig til, hvilke lande der forsøger at spionere i Danmark, men det fremgår af trusselsvurderingen, at Kina og Rusland er førende aktører på cyberområdet.

»Vi sætter aldrig navn på, hvem vi mistænker for at stå bag konkrete angreb, men det, vi kan sige, er, at en lang række stater – blandt andet Kina og Rusland, som også er nævnt i rapporten– er stater, som har evnen og kapaciteten til at udføre angrebene,« siger Thomas Lund-Sørensen og understreger, at der også er flere andre mindre lande i Asien og Mellemøsten, som kunne have evnen og interessen for at spionere i Danmark.

Over for Berlingske har seniorforsker med ekspertise i Rusland og efterretningsarbejde ved Dansk Institut for Internationale Studier, Flemming Splidsboel, tidligere vurderet, at netop Rusland har rettet øjnene mod Danmark.

»Der er for mig ikke nogen tvivl om, at Rusland er meget aktive i Danmark. Men ikke så aktive som i andre store lande, som er højere på dagsordenen,« sagde han tidligere på året.

»Meget høj« risiko for to typer angreb

Fælles for de cyberangreb, som har ramt danske myndigheder og private virksomheder i Danmark, og som offentligheden kender til, er, at de primært har været generende eller haft politisk signalværdi, og ikke forårsaget voldsomme ødelæggelser og tab af menneskeliv.

Det mønster forventer FE også, at fremtidens cyberangreb og angrebsforsøg vil følge.

»Men hvis en politisk eller militær konflikt opstår mellem Danmark og en sådan fremmed stat, kan infrastruktur og systemer blive mål for denne type cyberangreb [destruktive angreb, red.],« lyder det i trusselsvurderingen.

I rapporten skelner tjenesten mellem fire former for cyberangreb, hvoraf der er overhængende risiko for, at Danmark rammes af to af dem.

Det gælder foruden cyberspionage også cyberkriminalitet, hvor gerningsmænd bruger it til at begå kriminelle handlinger for berigelse. I begge tilfælde vurderes risikoen som »meget høj«.

Derudover vurderer tjenesten, at risikoen er »Middel« for, at Danmark rammes af cyberaktivisme og »Lav«, når det gælder risikoen for cyberterror.