Den globale cyberkrig udkæmpes i din hule hånd

Denne artikel stammer fra Ingeniørens årsnummer, Året Rundt.

Hvis et EU-land bliver udsat for et alvorligt cyberangreb, har landet ikke blot lov til at svare igen med egentlig fysisk krig, men også til at bede de øvrige EU-­lande om hjælp.

Sådan lyder budskabet i et diplomatisk dokument udarbejdet af Europa-Kommissionen, som forventes at blive underskrevet af samtlige 28 EU-lande inden nytår.

Dermed følger EU Natos eksempel, idet den militære organisation i 2016 erklærede 'cyber' for et område, der skulle forsvares på linje med vand, luft og landjord – samt et område, hvor den såkaldte musketered står ved magt: Et angreb mod én er et angreb mod alle.

Det lyder som en kobling, der er ligetil. Men krigsførelse i cyberspace er alt andet end simpelt. Hackerne bærer ikke uniformer og efterlader sjældent håndfaste beviser. Samtidig er cyberangreb ikke udelukkende rettet mod fysiske mål som kraftværker og hospitaler eller tænkt som spionage mod topledere, generaler og embedsmænd.

I stigende grad har cyberangreb også karakter af det, militæreksperter kalder informationskrig, hvis mål er at skabe splid og forvirring, og som det er endnu sværere at definere som egentlige krigshandlinger.

Som når en hær af Twitter-robotter drukner politiske debatter i støj, når falske Facebook-grupper spreder misinformation, eller når data lækkes strategisk for at svække politiske organisationer.

Informationskrig er ikke et nyt fænomen. Men med de sociale medier som forstærkere og cybervåben i arsenalet har det udviklet sig markant:

»Det er først i år, vi virkelig er vågnet op til at forstå omfanget af, hvor sårbare vi er over for denne type angreb,« siger Flemming Splidsboel Hansen, seniorforsker ved Dansk Institut for Internationale Studier – DIIS.

Subtilt og kontroversielt

Da de amerikanske vælgere i november 2016 pegede på Donald Trump som USA's præsident, skete det efter et valg præget af ekstreme mængder af misinformation, strategiske datalæk og online-annoncer købt af udenlandske aktører.

I dag – mere end et år efter det amerikanske præsidentvalg – er omfanget af påvirkning udefra endnu ikke fuldt opklaret.

Så sent som i oktober oplyste Facebook til USA's kongres, at 126 millioner amerikanere under og efter valget skulle have set Facebook-indhold sponseret af konti tilknyttet Rusland.

Sponseret indhold

Webinar: Det er ikke nok at sikkerhedskopiere din data

It-sikkerhed

Hør podcasten Transformator Special, hvor journalisterne Magnus Boye og Jakob Møllerhøj er i studiet for at tale om cyberkrig:

I september meddelte selskabet, at man havde fundet reklamer for omkring 100.000 dollars tilknyttet 470 falske profiler.

»Vores analyse antyder, at disse konti og sider er forbundet med hinanden og sandsynligvis styret fra Rusland,« skrev Facebooks Chief Security Officer, Alex Stamos, i en meddelelse.

Det er bemærkelsesværdigt subtile budskaber, de ofte russisk sponserede reklamer spreder. Langt størstedelen af dem henviser slet ikke til præsidentvalget eller en specifik kandidat. I stedet fokuserer de på emner, som har bedst mulighed for at dele de politiske vande – som immigration, våbenkontrol og LGBT-vilkår.

I kølvandet på annoncerne følger adskillige Facebook-grupper som 'Defend the 2nd' og 'LGBT-United'. Amerikanske efterforskere og Facebook selv kæder reklamer og grupper sammen med det såkaldte Internet Research Agency, et selskab med hovedbase i Sankt Petersborg.

Andre aktører har brugt Facebook-platformen til at sprede decideret mis­information gennem falske nyheder – som historien om, at både Hillary Clinton og hendes datter, Chelsea, skulle være omkommet i en bådulykke.

Penge eller vildledning

Formålet med de falske nyheder kan i nogle tilfælde simpelthen være at indkassere de reklamepenge, der ruller, når Facebook-brugere i tusindvis klikker på en medrivende overskrift.

Sponseret indhold

Når Hasse trækker i kedeldragten, kan du være sikker på, at han er i gang med at optimere fabriksgulvet

Smart Factory

I andre tilfælde mener observatører, politikere og journalister, at der er tale om bevidst vildledning – som da falske historier om Hillary Clinton blev spredt blandt tilhængere af Bernie Sanders, hendes modkandidat i Demokraternes primærvalg.

»Ingen skal bruge vores værktøjer til at underminere demokratiet. Det er ikke det, vi står for,« sagde Facebooks stifter, Mark Zuckerberg, i en video om analysen.

»Vi er i en ny verden. Og det er en ny udfordring for et internet-community, at vi skal håndtere nationers forsøg på at påvirke et valg,« fortsatte it-milliardæren.

»Jeg tror ham virkelig, når han siger det.«

Sådan lød budskabet fra Donald Trump, da han i november blev spurgt til, om han har tillid til Vladimir Putin, som nægter at have påvirket det amerikanske valg.

Samtidig er den tidligere FBI-boss Robert Mueller blevet sat i spidsen for en særlig efterforskning, der skal undersøge kontakten mellem Rusland og Trumps kampagnehold. Foreløbig er to af Trumps tidligere kampagnechefer – Paul Manafort og Rick Gates – blandt andet sigtet for sammensværgelse mod USA, hvilket de begge benægter.

Også Trumps ældste søn, Donald Trump Jr., er i søgelyset, efter at det er kommet frem, at han havde holdt møde med en russisk advokat, angiveligt efter at være blevet lovet kompromitterende information om Hillary Clinton.

Google har fundet reklamer for flere tusinde dollars fra konti, der enten befinder sig i Rusland eller knytter sig til Ruslands regering – både på selve søgemaskinen og på Youtube.

Endelig beregner et forskningsprojekt fra University of Southern California, at omkring en femtedel af alle tweets om det amerikanske valg under valgkampen kom fra bots – altså automatisk software og ikke egentlige brugere.

Disse kan både være skabt af nationer, organisationer, partier og borgere, understreger forskerne i deres konklusion.

Cyber- og informationskrig i forening

Informationskrig – eller i den militære jargon 'et angreb i det kognitive domæne' – er ikke lig med cyberkrig, men kan sagtens foregå analogt, for eksempel ved spredning af propaganda gennem traditionelle medier.

Men de to discipliner er i stigende grad et fast makkerpar. Som det lyder fra Stephen Blank, der er tidligere professor i national sikkerhed og nu medlem af USA's Foreign Policy Council, i forskningsartiklen 'Cyber War and Information War à la Russe':

»Den russiske deep state har tydeligvis inkorporeret cyberangreb og informationsoperationer i informationskrig, som den definerer termen.«

»Instrumenterne i sig selv er ikke nødvendigvis nye, men kombinationen af dem og det, de bliver brugt til, afviger kraftigt fra den vestlige tankegang og praksis,« fortsætter han. I et essay fra 2013 forklarer Ruslands øverste general, Valerij Gerasimov, sit syn på fremtidens krig:

»Selve reglerne for krig har ændret sig. Rollen, som spilles af ikke-militære midler for at opnå politiske og strategiske mål, er vokset, og i mange tilfælde overstiger deres effektivitet den magt, der ligger i våbenkraft.«

»Informationssfæren åbner store muligheder for at reducere fjendens evne til at kæmpe,« skriver Gerasimov endvidere.

»Det er nødvendigt at perfektionere aktiviteter i informationssfæren, inklusive forsvaret af vores egne mål,« pointerer generalen.

Et supplement til traditionel krig

År efter Gerasimovs essay har verden set den komplette integration af cyber­angreb og informationskrig i traditionelle såkaldte kinetiske konflikter – altså konflikter med krudt, kugler og kampvogne.

Således blev krigen i Ukraine i 2014 ledsaget af hackerangreb mod det ukrainske rumagenturs satellitter, en serie af såkaldte doxing-angreb mod politikere, hvis følsomme dokumenter blev lagt frem på nettet, bølger af spam på sociale medier og store ændringer på relevante Wikipedia-sider. Undervejs blev såkaldte smart-tv sågar hacket til at vise propaganda.

Men kombinationen af cyberangreb og informationskrig kan også bruges uden for egentlige krige, hvilket blev åbenbart under den amerikanske valgkamp.

Her modtog Billy Rinehart, som arbejdede for Hillary Clintons kampagne, en e-mail med emnet 'Someone has your pass­word', som opfordrede ham til at skifte kodeord til sin Gmail-konto omgående. Rinehart fulgte opfordringen – og gav dermed hackerne adgang til sin e-mail-konto.

En anden phishing-e-mail havnede i indbakken hos Clintons kampagnechef, John Podesta. Her havde en assistent åndsnærværelse nok til at videresende e-mailen til en computertekniker. Men da teknikeren ved en tastefejl kaldte den for legitim – frem for illegitim – havnede Podestas 60.000 e-mails alligevel i hænderne på hackerne.

Hundredvis af lignende e-mails blev sendt til amerikanske politiske mål som en del af en større phishingkampagne fra hackergruppen Fancy Bear, der også går under navne som Pawn Storm og APT28. Gruppen har ifølge amerikanske efterretningstjenester, flere sikkerhedsselskaber og Danmarks forsvarsministerium forbindelser til GRU – Ruslands militære efterretningstjeneste – men de eventuelle beviser for forbindelsen er ikke blevet offentliggjort.

Information som våben

Det bemærkelsesværdige ved Fancy Bears phishingkampagne er hverken metoden eller omfanget. Som cyberangreb er spearphishing, altså phishing målrettet enkeltindivider eller organisationer, et simpelt værktøj, omend det kan udføres med varierende grader af troværdighed. Ligeledes er konceptet om cyberspionage velkendt.

Under klimatopmødet i København i 2015 blev verdens top-politikeres kommunikation – jævnfør dokumenter lækket af whistlebloweren Edward Snowden – aflyttet af NSA. Ifølge dokumenter lækket gennem WikiLeaks har den amerikanske efterretningstjeneste i en årrække ligeledes aflyttet Tysklands kansler, Angela Merkel, og tre på hinanden følgende præsidenter i Frankrig.

Nordkorea, Rusland og USA er alle sammen i gang med, hvad jeg ville kalde en alvorlig cyberkrig. Og Kaspersky-sagen er blot en facet af den konflikt.
--Kenneth Geers, sikkerhedsforsker, ambassadør ved Natos center for cyberforsvar

I Danmark blev det i år afsløret, at Rusland – igen i form af Fancy Bear-gruppen – over en periode på to år har haft adgang til e-mails hos udvalgte medarbejdere i det danske forsvar. Ligeledes har gruppen haft adgang til e-mails tilhørende politikere i den tyske forbundsdag.

Men ovenstående eksempler er, omend alvorlige, ikke mere, end hvad eksperter inden for efterretningstjenester og cyberspionage forventer foregår. Informationer indsamles og eventuelt kompromat – altså kompromitterende materiale – gemmes væk for at blive brugt til for eksempel afpresning på et strategisk tidspunkt.

Målet for Fancy Bears operation var øjensynligt hverken afpresning eller spionage, men derimod direkte at påvirke den amerikanske valgkamp med legitim information gjort til et våben – det første angreb af sin slags i amerikansk historie.

Konceptet våbenliggjort information er ikke nyt, understreger Flemming Splidsboel Hansen. Men det har i løbet af det seneste år fået nye betydninger for forskeren.

»Med udbredelsen af de digitale platforme ser vi, at det betyder noget helt andet, end det har gjort tidligere,« forklarer han.

Med de sociale medier har våbnene fået en helt ny kampplads at boltre sig på, hvor man med små beløb kan målrette budskaber ned til en meget detaljeret befolkningsgruppe. Og hvor virale dynamikker, godt hjulpet på vej af likes og delinger foretaget af bot-hære, kan blive til en effektiv megafon for de strategisk placerede informationer.

Brexit og Macron

Og strategien har ikke været begrænset til det amerikanske valg.

Forud for og under det franske præsidentvalg i april og maj forsøgte Fancy Bear at ramme Emmanuel Macrons kampagne med spearphishing-e-mails – et forsøg, som blev delvist forpurret af kampagnens modtræk, der gik ud på at fodre hackerne med falske e-mail-konti fyldt med irrelevante dokumenter.

I starten af november i år, altså næsten halvandet år efter Storbritanniens folkeafstemning om at forlade EU, berettede Twitter, at man havde fundet konti tilknyttet den føromtalte russiske virksomhed Internet Research Agency, der havde blandet sig i den britiske afstemning.

Ifølge forskere fra Swansea University og The University of California, Berkeley, var mere end 150.000 Twitter-konti baseret i Rusland – som tidligere primært havde tweetet om emner som konflikten i Ukraine – med i den politiske debat, der ledte op til beslutningen om at trække Storbritannien ud af EU. Kontiene stod for mere end 45.000 tweets i de sidste 48 timer af valgkampen, og indholdet var primært negative budskaber om muslimer og immigranter.

I kølvandet på afsløringerne langede Storbritanniens premierminister, Theresa May, direkte ud efter Rusland i en tale ved en officiel middag hos Londons borgmester.

»De ønsker at våbenliggøre information. De bruger deres statsstyrede medieorganisationer til at plante falske historier og photoshoppede billeder i et forsøg på at så splid i Vesten og underminere vores institutioner.«

»Vi ved, hvad I laver. Og det vil ikke lykkes jer,« sagde May og understregede, at Storbritannien ville gøre 'det nødvendige' for at beskytte sig.

Fra cyberkrig til krig

Alle mistanker og anklager – fra falske nyheder og Twitter-­robotter til deciderede hackerangreb fra Fancy Bear – bliver benægtet af Rusland.

På det statsejede medie Sputnik kan man læse, at Theresa Mays angreb er et forsøg på at positionere Storbritannien som en vigtig spiller. Ligesom man på Russia Today kan læse, at den hybride krigsførelse, som Rusland beskyldes for at føre, ikke er anderledes end den, USA udfører med økonomiske sanktioner og revolutioner i andre lande.

Anklagerne illustrerer noget helt grundlæggende ved både informations- og cyberkrig. Det er utrolig svært at finde ud af, hvem der står bag et angreb. Og hvornår et angreb i cyberspace er lig et angreb i den fysiske verden.

»Vi mangler at kunne definere, hvor vi sætter grænsen. Og det er kun endnu mere vanskeligt, når vi taler om informa­tionskrig,« vurderer Flemming Splidsboel Hansen:

»Det rejser en masse problemstillinger, som vi kommer til at tumle med i mange år frem.«

Var det for eksempel en krigserklæring, da ransomwaren WannaCry, som Storbritannien mener kommer fra Nordkorea, i maj i år lukkede britiske hospitaler ned og gjorde det nødvendigt at aflyse omkring 7.000 konsultationer og behandlinger?

Eller da malwaren NotPetya – som NATO også mener kommer fra en nation – i juni ramte Mærsks terminaler og kostede rederigiganten op mod to milliarder kroner i tab?

Og hvornår er de spor, der efterlades i cyberspace, vægtige nok til, at konflikten kan udvikle sig til egentlig krig?

Ovenstående spørgsmål var også omdrejningspunktet, da FN's forhandlinger om regler for cyberkrig brød sammen tidligere på året. For hvad betyder det at have ret til at forsvare sig selv, hvis man som mindre nation ikke har ressourcer til at afgøre, hvor et angreb kommer fra, lød det fra blandt andet Cuba.

Eller værre: Hvor nemt kan store nationer fabrikere beviser på cyberangreb, når de lovligt vil gå i krig med en nation?

Krig uden krudt

Selv hvis man mener at have de kritiske beviser, er det sjældent, de bliver lagt frem til frit skue – for eksempel fordi de i sig selv fortæller for meget om, hvad man som nation er i stand til og ikke i stand til at opdage.

Tidligere på året valgte USA's kongres at forbyde software fra det russiske sikkerhedsselskab Kaspersky på computere i det offentlige. Selskabet har et samarbejde med den russiske efterretningstjeneste, lyder anklagen fra de amerikanske efterretningstjenester, som dog undlader at lægge beviserne frem. Samtidig benægter Kaspersky alt og har blandt andet tilbudt at lade USA inspicere kildekoden til den kritiske software.

Alt sammen er en del af en større konflikt, fastslog Kenneth Geers, sikkerhedsforsker og ambassadør ved Natos center for cyberforsvar, da han i november gæstede IDAs Driving IT-konference over en knitrende Skype-forbindelse:

»Nordkorea, Rusland og USA er alle sammen i gang med, hvad jeg ville kalde en alvorlig cyberkrig. Og Kaspersky-sagen er blot en facet af den konflikt.«

Alt imens er stormagterne ved at redefinere krig, mener Flemming Splidsboel Hansen.

»Den russiske topgeneral Gerasimov har meldt ud, at krig i fremtiden kan udføres uden noget som helst kinetisk element – altså kun i cyberspace. Det har dels et internt politisk formål, ved at man kan sige til sin befolkning, at landet er i krig, uden at der bliver affyret skud. Men det siger også meget om, hvordan de anskuer det her felt.«

De samme tendenser ses ifølge forskeren i USA's tænkning – og tendensen kræver modsvar. EU har etableret et kontor, der har til formål at afsløre falske nyheder. I Tyskland kræver den såkaldte Netzwerkdurchsetzungsgesetz – kendt som 'Facebook-loven' blandt tyskere – at Facebook sletter hadefulde opslag inden for 24 timer. Og i Tjekkiet har man etableret en myndighed, der scanner sociale medier for potentiel misinformation.

Og det er ikke et øjeblik for tidligt, lyder det fra Kate Starbird, lektor ved University of Washington. I en blog beskriver hun, hvordan hendes forskerhold så de første tendenser til informationskrig for tre år siden, men slog dem hen som marginale.

»Hvilken forfærdelig fejl det var. Det forekommer mig, at vi ikke var de eneste, der begik den. Det er på høje tid, at vi adresserer dette (som forskere og designere af de systemer, der formidler dette indhold). Jeg håber, det ikke er for sent.«