Eksperter: Ekstremt svært at vide, om Kina eller anden nation står bag cyberangreb

Det er særdeles vanskeligt at sige med sikkerhed, hvorvidt et givent land faktisk står bag cyberangreb rettet mod eksempelvis Danmark.

Kina bliver i disse dage nævnt som sandsynligt ophavsland til en række cyberangreb rettet mod danske virksomheder og myndigheder. Ifølge flere eksperter, som Version2 har været i kontakt med, er det dog aldeles vanskeligt at sige med sikkerhed, hvorvidt et givent land - Kina eller andre - står bag sådanne angreb.

Ifølge DR peger pilen på Kina som ophavsland til cyberspionage mod danske mål. Og i den forbindelse bliver en rapport fra sikkerhedsfirmaet Mandiant fra sidste år nævnt. Ifølge rapporten kan 141 angreb mod vestlige virksomheder spores tilbage til en enhed i det kinesiske militær.

Rapporten har fået en del omtale i alverdens medier, også her på Version2. Den er dog også blevet kritiseret. Adm. direktør i it-sikkerhedsfirmaet Taia Global inc Jeffrey Carr har således ad flere omgange kritiseret rapporten, særligt for ikke at tage højde for, at andre aktører end Kina også kan stå bag de såkaldte APT-angreb (Advanced Persistent Threat).

Læs også: Rapport: Statsansatte hackere stjæler 1 TB data hver dag

Og ifølge den uafhængige britiske it-sikkerhedsekspert Graham Cluely er det stort set umuligt at sige med sikkerhed, hvorvidt et angreb faktisk kommer fra et specifikt land. Og skulle den del lykkes, er det endnu vanskeligere at bevise, at selve landet faktisk står bag og ikke en uafhængig hackergruppe med base i Kina eller andetsteds.

»Det er ekstremt vanskeligt at være 100 pct. sikker på, hvilket land hackere muligvis opholder sig i. For slet ikke at tale om, hvorvidt hackerne er statssponserede,« skriver Cluely i en mail til Version2 og fortsætter:

»Jeg vil være ekstremt mistænksom over for nogen som helst, der peger fingeren mod et specifikt land, med mindre de er i stand til at hoste op med en forklaring på, HVORDAN de er nået frem til, at landet står bag.«

Graham Cluely påpeger, at det er nemt for hackere at overtage kontrollen med computere i et andet land og så bruge maskinerne til at gennemføre angreb.

»Med mindre du har fysisk adgang til en computer, hvordan ved du så, hvorvidt den bliver betjent af nogen, der sidder foran den, eller af en hacker i et andet land?«

Læs også: Hackere spionerede i Novozymes’ computere

Sikkerhedseksperten fortæller, at det undertiden er spor i computerkode, der henleder opmærksomheden mod eventuelle bagmænd. Men det er ifølge Graham Cluely let for en hacker i eksempelvis Frankrig at lægge beskeder ind i koden, der står på eksempelvis tysk. Altså et forsøg på at aflede opmærksomheden fra de sande bagmænd.

»Alt dette skal tages med i overvejelserne, før du når til en ting, der er endnu sværere at bevise: Var der en regering bag?«

Dermed ikke sagt, at Kina, Rusland, USA eller britiske myndigheder ikke skulle stå bag malware, der har til formål at spionere mod andre lande, understreger Cluely.

»Det ville være naivt at tro, at de ikke har gjort det. Men på den anden side er det meget svært at bevise, at de har,« skriver han.

Den danske it-sikkerhedsekspert og direktør i Solido Networks Henrik Kramshøj er enig i, at det er vanskeligt at sige med sikkerhed, hvorvidt et givent land står bag et hackerangreb mod et andet land.

»Det er ret svært. Man kan have nogle tegn, der peger i forskellige retninger, men det kan også være et røgslør,« siger Henrik Kramshøj.

Hvis han selv skulle hacke en virksomhed i Danmark, ville han først hacke en computer i eksempelvis Sydamerika og så gå via den.

Læs også: FBI fanger Tor-brugere med drive-by-download

»Så man ikke kan se direkte, hvor angrebet kommer fra. Så peger det på Sydamerika. Og gør man det et par gange, forsvinder sporet altså.«

Kunne man forestille sig en situation, hvor nogen eksempelvis har hacket en maskine i Kina, så det ser ud, som om angrebet kommer derfra?

»Ja, det kunne man sagtens. Det ville også være en måde at gøre det på. Efterlade nogle tydelige spor, der peger den vej.«

Dermed ikke sagt, at det er umuligt at finde frem til de rette bagmænd. Henrik Kramshøj nævner i den forbindelse muligheden for at designe en server, det faktisk er meningen, hackerne skal bryde ind i. Og når det sker, bliver hackernes maskiner inficeret med sporingssoftware.

En anden mulighed kunne være bevidst at lække data, der er let genkendelige. Eksempelvis en pdf med et særligt link, der kan bruges til at spore den, der måtte klikke på linket, forklarer Henrik Kramshøj.

Opdateret med kinesisk ambassades henvendelse til DR

Efter historierne om, at Kina skulle stå bag cyberspionage rettet mod Danmark, har den kinesiske ambassades chef for den politiske afdeling, Fu Wenyan, i en mail til DR Nyheder blandt andet skrevet:

»Da det er vanskeligt at skaffe beviser, mener vi ikke, at det er ansvarligt at drage konklusioner om, at angrebene kommer fra et bestemt land, eller at komme med beskyldninger mod nogle lande.«

»Vi er mere parate til at engagere os i dialog med andre lande for at opbygge forståelse og tillid og skabe en fælles indsats for at løse cyberudfordringerne. Men hvis Kina fejlagtigt bliver anklaget, vil vi bestemt aldrig acceptere det.«

Læs hele mailens ordlyd hos DR Nyheder

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Kruse

I min optik er Mandiant rapporten et fornemt stykke kommercielt fodarbejde. Den tegner desværre et ensidigt billede af et yderst komplekst trusselsområde.

Jeg har ved flere lejligheder holdt keynotes omkring netop APT'er, herunder bl.a. på CARO sidste år. Kunsten at spore en angribende part er ikke altid så simpelt som skitseret i APT1 værket. Men alt til trods er strategien fra Kinesisk side i hvert fald ændret radikalt siden den rapporten udkom. De er i dag en større del af et kamufleret landskab end for få år siden hvor de støjede betydeligt mere og i al simpelthen ikke gjorde meget for at sløre deres aktiviteter.

Med det sagt, så har den største trussel mod Skandinavien vist sig at komme fra et helt andet land, end de lande som er fremhævet her og andetsteds, nemlig Indien og deres DragonEye/Tourist (Hanove) kampagne (senere kendt som "Hangover"). Den ramte telesektoren uden de så den komme ...

  • 3
  • 0
Robert Larsen

Med det sagt, så har den største trussel mod Skandinavien vist sig at komme fra et helt andet land, end de lande som er fremhævet her og andetsteds, nemlig Indien og deres DragonEye/Tourist (Hanove) kampagne (senere kendt som "Hangover"). Den ramte telesektoren uden de så den komme ...


Glem ikke truslen fra vores såkaldt allierede, USA, som i flere tilfælde er blevet fanget med fingrerne i kagedåsen, og altså ikke kun spionerer med henblik på eliminering af trusler og terrorister, men også går efter at spionere på politikere og på at stjæle data fra virksomheder.

  • 7
  • 0
Ditlev Petersen

at "vore allierede" (partners in crime) helst så, at mistanken rettedes mod Kina, når de selv havde været inde for at snuse. Det kræver jo ikke ret meget at gøre dette. F.eks. at bruge i zombie i Bejing som relæ og skrive "langtungting" i koden til en trojaner.

  • 2
  • 0
Thomas Hedberg

I min optik er Mandiant rapporten et fornemt stykke kommercielt fodarbejde. Den tegner desværre et ensidigt billede af et yderst komplekst trusselsområde.

Jævnfør forside og indhold lader det heller ikke til at være rapportens formål. Formålet lader til at være en rapport om eller måske rettere en profil af en APT gruppe som de internt kender som APT1 - Dvs. at den kun er en brik i et samlet trusselsbillede.

  • 2
  • 0
Henrik Kramshøj Blogger

Læs gerne analysen her:
http://www.malware.lu/articles/2013/04/08/apt1-technical-backstage.html
der linker til deres rapport om APT1
http://www.malware.lu/assets/files/articles/RAP002_APT1_Technical_backst...

En god historie om hacking back - hvor de overtog botnet kontrolservere. Det giver en vis sikkerhed for hvem der står bag når man har 0wnet deres server ;-) De har også nogle fantastiske analyser af andet malware.

er også på twitter @malwarelu

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Kina bliver i disse dage nævnt som sandsynligt ophavsland til en række cyberangreb rettet mod danske virksomheder og myndigheder. Ifølge flere eksperter, som Version2 har været i kontakt med, er det dog aldeles vanskeligt at sige med sikkerhed, hvorvidt et givent land - Kina eller andre - står bag sådanne
angreb. Ifølge DR peger pilen på Kina som ophavsland til cyberspionage mod danske mål. Og i den forbindelse bliver en rapport fra sikkerhedsfirmaet Mandiant fra sidste år nævnt. Ifølge rapporten kan 141 angreb mod vestlige virksomheder spores tilbage til en enhed i det kinesiske militær. Rapporten har fået en del omtale i alverdens medier, også her på Version2. Den er dog også blevet k...