Cyberkrigen i Rusland: Begge sider saboterer hinanden med digitale håndgranater
I enhver krig er der fronter. For parterne i traditionel krig gælder det om at holde sine egne fronter stærke, mens man forsøger at skabe en åbning i fjendens, som man kan udnytte til at presse frem i terrænet og måske omringe ham.
Men det er ofte farligt og risikabelt, for forsvareren har stort set altid en fordel.
Alternativt kan man knække kampgejsten hos den nation, man bekriger. Det er i høj grad relevant for krigen om Ukraine, hvor begge siders hackere forsøger at demoralisere og forstyrre fjenden langt fra fronten.
Hjemmesider bliver mørklagt, persondata om borgere bliver stjålet og lækket, og cyberangreb hagler ned over både ukrainske og russiske tjenester og netværk. Begge sider håber, at den andens kampgejst ebber ud, for alternativet ligner i stigende grad en blodig, langvarig krig.
»Hjemmefronten bliver altid undervurderet af generalerne i felten. Ikke desto mindre var det på hjemmefronten, Den Store Krig blev vundet – og tabt,« lød det i bagklogskabens klare lys fra David Lloyd George, der var premierminister i Storbritannien under Første Verdenskrig.
»De russiske, bulgarske, østrigske og tyske hjemmefronter faldt fra hinanden, før deres hære gjorde.«
Presset på hjemmefronten
Putins Rusland er lammet af sanktioner og eksportembargoer, der gør det svært for russerne at udvikle og fremstille teknologi, og almindelige varer som sukker er blevet nærmest umulige at opdrive nogle steder i Rusland.
Ukrainernes økonomi er ligeledes presset af Ruslands søblokade, og landet oplever et generelt og massivt bombardement af fabrikker og infrastruktur og har mobiliseret alle mænd mellem 18 og 60.
Begge lande er altså presset på hjemmefronten, og begge parter udkæmper en krig på nettet. De kæmper om gunst, og både omverdenens og deres respektive befolkningers gunst er på spil.
‘IT Army of Ukraine’ hedder en løst sammentømret gruppe af hackere fra Ukraine og Vesten generelt, der i skrivende stund er i gang med at lække en kæmpe mængde data om russiske soldater i Ukraine. Gruppen ringer til deres pårørende og venner og forsøger at øge presset på Ruslands hjemmefront. Russiske ministerier og styrelser går i sort, når gruppen overbelaster siderne med såkaldte DDoS-angreb.
I gruppens tråd på beskedtjenesten Telegram, som Ingeniørens it-medie Version2 er med i, hersker en stemning af, at alt tæller. Intet mål er for småt, og ingen midler er for grove. Døde soldaters kærester ringes op af forvrængede hackerstemmer, og de mange data om de russiske soldater kan hentes kvit og frit i rå mængder. Version2 har dog ikke kunnet verificere dem.
Satellitforbindelsen røg
På den anden side er billedet mere diffust. Den totale ødelæggelse af Ukraine lader vente på sig, både militært og digitalt, og ideen om Rusland som verdensmester i hybrid cyberkrig har lidt et knæk. Men Ukraine er blevet hårdt ramt af cyberangreb. Op til invasionen eksploderede antallet af angreb mod ukrainske tjenester og services, viser nye analyser af Kaspersky og Trend Micro.
Og mens angrebet mod den europæiske satellitudbyder Viasat gik ud over flere satellitbrugere rundtomkring i EU, ramte hacket Ukraine hårdest i et kritisk øjeblik. Mens russerne forsøgte at omringe Ukraines hovedstad Kyiv og myrde landets præsident, mistede landet i flere områder pludselig muligheden for at kommunikere med den fleksible teknologi, som satellitkommunikation er.
Man måtte bede den rige Teslastifter Elon Musk om hjælp med dækning fra hans satellitnetværk. Den fik man, men først efter en god dags tid.
Nedrige programmer sletter alt
I løbet af krigens første dage gik Rusland også bevidst efter tv- og radiotårnet i Kyiv, der blev sprængt i stykker med flere civile tab som følge – Kyiv skulle gøres tavs.
»Ukraine er offer for et komplekst miks af fjendtlige aktører. Nogle af dem er kommercielle, men der er bestemt statsejede aktører blandt angriberne,« lyder det fra Costin Raiu, der er direktør i Kasperskys Global Research & Analysis Team, Great.
Sammen med nogle kolleger fortæller han på en onlinebriefing Version2 og en række andre medier om de seneste it-sikkerhedsfund i krigen om Ukraine. Han siger også, at camouflage ikke er forbeholdt fysisk krig.
»Der er alle mulige typer angreb mod Ukraine lige nu. Der er de sædvanlige ransomwareangreb, men flere og flere af dem viser sig at være kamouflerede wipers,« siger sikkerhedsspecialisten, der forklarer, at en wiper ikke har til formål at kryptere filer, så man kan afkræve løsesum af ofret.
Wipers sletter alt på disken i stedet. Derefter overskriver den det igen, og til sidst fragmenterer den disken, så intet ligger, hvor det lå inden angrebet – med andre ord er håbet om en genetablering af det ramte system ganske spagt. Det er en digital håndgranat, og selv hvis den ikke kommer helt ned i maven på et system, kan den gøre stor skade.
»Wiperne er blevet kloge, og de skal ikke slette særlig meget, før et system ikke virker,« siger Costin Raiu, der vurderer situationen i Ukraines cyberspace som helt ekstraordinær.
Et simpelt, men effektivt hackerværktøj, der lige nu vælter ind i ukrainske indbakker. Kamoufleret som mails fra ukrainske myndigheder skaber PandoraBlade et udgangspunkt for mere sofistikerede hackerangreb, og softwaren kan købes for omkring 300 dollars.
De forskellige Wipers rammer fra forskellige servere og grupper, og det gør det svært at bevise, at det er Rusland eller en konkret gruppe, der står bag.
»Generelt er der tale om en klar og koordineret indsats for at ødelægge. Angrebene er blandt andet hostet på Discord, hvilket er utrolig lavpraktisk, men også svært at attribuere,« siger Costin Raiu, som fortæller, at der er tale om et sammensurium af ondsindet kode, der tyder på samarbejde mellem flere individer, måske endda flere grupper.
»Vi har aldrig set noget som det her før, men samtidig tror vi ikke, at vi har set de mest sofistikerede angreb endnu.«
Påfaldende timing
Sammen med sine kolleger i det Moskvabaserede antivirusselskab har han holdt øje med nogle af de hackerværktøjer, der er blevet brugt i Ukraine op til krigen, og efter at den brød ud.
Et af de mere interessante er den såkaldte Isaac Wiper. Den dukkede nemlig allerede op i selskabets sensornetværk i december. Det var en grov udgave, der kun virkede nogenlunde, men den blev finpudset, præciseret – og så forsvandt den fra radaren.
Lige indtil den altså dukkede op igen 23. februar, kort før invasionen af Ukraine begyndte.
»Malwaren var compilet i december og var klar til at køre, så hvorfor dukker den først op i slutningen af februar?« siger Costin Raiu, der finder timingen påfaldende.
En af hans kolleger, direktør for Great Europe, Marco Preuss, fortæller, at angreb mod Ukraine udgør mere end halvdelen af alle de angreb, sikkerhedsfirmaet ser på globalt plan.
»Den seneste måned har vores sensornetværk fanget 21.000 unikke IP-adresser, 12.000 af dem var involveret i angreb mod Ukraine. Det er ret tankevækkende, at mere end halvdelen kun er i Ukraine,« siger Marco Preuss.
Samtidig forsøger begge sider at skabe et konstant pres på hinandens infrastruktur. Lige nu oplever Ukraine et varierende, langsommere internet. Vi ved også, at et utal af russiske hjemmesider har været under pres i ugevis – det har Version2 også kunnet verificere. De popper op i ny og næ, men langt de fleste russiske nyhedssites og Ruslands officielle hjemmesider er slet ikke tilgængelige for resten af verden. Adgangen til det åbne internet er slet og ret blevet termineret for at beskytte tjenesterne mod angreb udefra.
Tester man oppetiden med en russisk VPN, er der imidlertid også udfald, og det bekræfter det, som en af Ukraines hackere har fortalt Version2: at man er ved at have et ikke ubetydeligt botnet etableret i Rusland.
Hacktivister skal tænke sig om
Ingen ved, hvor stor skade angrebene på begge sider konkret har forårsaget, eller hvordan man overhovedet kan opgøre den form for ødelæggelse. Men da Nordea for nylig blev ramt af et angreb i Danmark, gav det et lille jag i maven hos skribenten her. Var cyberkrigen kommet til Danmark? Ville vores bankvæsen komme i problemer?
Med det in mente kan man godt forestille sig, at angrebene sætter begge landes befolkninger i en yderst ubehagelig situation, der forstærker følelsen af isolation og lammer landene yderligere oven på den skrappe økonomiske og humanitære situation, som især Ukraine, men også Rusland oplever.
Det bliver også spændende at følge med i, om Anonymous og it-hæren fortsat kan holde dampen oppe, som krigen skrider frem. Flere danskere har anonymt fortalt til Version2, at de overvejer at tilslutte sig indsatsen.
Men inden man pludselig ejer en del af et russisk botnet, skal man huske, at det er en krig på nettet og ikke en drengestreg. For som tidligere analytiker for CIA Michael E. van Landingham sagde til Technology Review:
»Selvom USA siger, at de ikke tillader hacktivister at bruge amerikanske forbindelser til at lave DDoS-angreb mod russiske hjemmesider, stoler Rusland næppe på det. Rusland bruger cyberkrig som en forlængelse af sin statsmagt. Derfor tror jeg, de mener, at det samme gør sig gældende for Anonymous eller andre grupperinger, der støtter Vesten.«
Han mener altså, at aktivisterne skal passe på, når de stævner ud – også selvom de som internetkrigere sejler under Anonymous.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
