Danske IP-adresser forbundet med USA's valg-hack har muligvis intet med Danmark at gøre

OPDATERET: Danske IP-adresser er på listen over malware-infrastruktur, som hackere har brugt til at påvirke det amerikanske valg. I virkeligheden er de sandsynligvis tyske, mener netværksekspert.

16:45: Artiklen omtalte originalt, at danske IP-adresser var forbundet med hacking af det amerikanske valg. Yderligere undersøgelser foretaget af Henrik Kramshøjs tyder imidlertid på, at de IP-adresser, der angives som danske, efter alt at dømme er tyske.

USA's præsident Barack Obama valgte i torsdag at udvise 35 russiske diplomater, som svar på at en række af landets efterretningstjenester har udpeget Rusland til at stå bag omfattende hackerangreb med henblik på at påvirke USA's præsidentvalg.

Samtidig har landet frigivet en liste over såkaldte Indicators of Compromise - som Homeland Security mener er tilknyttet de russiske hacker-grupper.

Læs også: Obama smider 35 russiske diplomater ud af landet efter valg-hacking

På listen - der er delt som CSV-fil - findes blandt andet en lang række IP-adresser, der angiveligt er - eller har været - en del af malware-infrastrukturen for hacker-kampagnen, der har fået titlen 'Grizzly Steppe'.

Foruden IP-adresser fra Kina, USA, Indonesien, Irak, Japan, Bulgarien mm, er der fem IP-adresser, som den amerikanske sikkerhedstjeneste angiver som placeret i Danmark.

Version2 har imidlertid kørt alle adresser gennem flere WhoIs-tjenester, der pt. placerer IP-adresserne i Tyskland. Det samme konkluderer netværksekspert og Version2-blogger Henrik Kramshøj efter at have set listen igennem.

Illustration: MI Grafik

Læs også: Tastefejl låste 60.000 mails hos Hillary Clintons kampagnechef op for hackere

»Der er ikke rigtigt noget der antyder, at de IP’er som er listet som Located in Denmark har noget som helst med Danmark at gøre,« siger han til Version2.

»Faktisk tværtimod ser de alle tyske ud. Route-objektet er oprettet tilbage i 200, og har nok været routet af Deutsche Telekom siden,« fortsætter han.

Lokationsdata baserer sig på en frivillig opdatering af WhoIs-databasen, som man godt kan ændre på. Det betyder, at man kan bruge en adresse den ene dag i Danmark, og i Norge den næste, fortæller Kramshøj. Og man kan lyve hvis man vil.

Andre dele af listen undrer også Henrik Kramshøj. Fx figurerer IP-adresserne 91.1.1.1 og 62.1.1.1 begge på listen.

»Det virker underligt at 91.1.1.1 og 62.1.1.1 ville være at finde i den slags, det er sjældent, man lige tilfældigt rammer den slags. Man skal næsten købe sig til det subnet for at få noget, der er så nemt at huske. Plus det vil være lidt for simpelt, og dermed tiltrække sig opmærksomhed i logs og så videre, tænker jeg.«

Command & control

Under kategorien 'Attack_phase' angiver sikkerhedstjenesterne i den offentliggjorte liste ud fra tyske/danske IP-adresser værdien C2, der bruges som forkortelse for Command & Control-servere.

Altså servere der har til formål at give dessiner til malware, som har inficeret et offer.

Command & Control-servere - som dem der angiveligt har befundet sig i Danmark - har været en del af den infrastruktur, der i sommeren 2015 lod hackere få adgang til Demokraternes nationale komite (DNC) - et hack der endte med, at 20.000 mails blev lækket kort før partiet formelt nominerede Hillary Clinton til præsidentembedet.

Læs også: Præsidentvalg i USA viste os cyberkrigens sande ansigt

Ifølge sikkerhedstjenestens rapport, har mindst en person hos DNC klikket på en ondsindet vedhæftet fil i en spearphishing-mail, og dermed fået installeret malware, som efterfølgende har været i stand til at eskalere rettigheder og høste emails fra adskillige konti.

Den operationelle infrastruktur - hvoraf Command & Control-servere er en del af - har desuden til formål at obfuskere, hvorfra angrebet kommer, fastslår sikkerhedstjenesterne.

»Hvor den er placeret i et land, fortæller ikke noget om, hvem der har brugt den. Men det viser at Command & Control-servere kan være alle steder også i vores nabolande,« understreger Henrik Kramshøj.

Malware-servere overalt

Den geografisk spredte infrastruktur til at udbrede malware gør det umuligt at lave effektive blokeringer baseret på, hvor trafik kommer fra, siger netværkseksperten.

»Vi kunne vælge at blokere for trafik fra ChinaNet for eksempel, men det betyder ikke at vi fjerner malware. Vi ser også malware, der kommer fra Sverige, Danmark og Tyskland. Så man kan se denne her liste som en indikation på, at de her servere findes overalt på internettet.«

Læs også: DNC ignorerede advarsel om sikkerhedshuller inden email-læk

Derfor kan listen over IP-adresser heller ikke bruges som en liste over adresser, der skal blokeres, forklarer Henrik Kramshøj

I stedet opfordrer de amerikanske sikkerhedstjenester de amerikanske myndigheder, institutioner og organisationer til at gå igennem logs for at se, om et system har været i kontakt med de mistænkte adresser.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Jensen

Fake News. Der er overhovedet ingen beviser fremlagt for at rusland skulle stå bag nogen "hacking" at det amerikanske valg. Det er komplet latterligt når man helt udokumenteret beskylder nogen for noget så vanvittigt som at russerne skulle kunne diktere valget i USA - uden at fremlægge nogen som helst beviser! Det er jo sølvpapirshatte på steroider. Ufatteligt at MSM bliver ved med at tærske langhalm på denne falske nyhed i deres iver for at skade og håne den folkevalgte, kommende, præsident Donald Trump.

Peter Jensen

Forfatteren bør gøre sig den ulejlighed at sætte sig ind i fakta . USA har 16 efterretningstjenester og kun et par stykker af de 16 er forfattere - og der er SLET INGEN beviser gengivet for deres udokumenterede påstande.

FAKTISK står der i rapportens disclaimer at man IKKE tager ansvar for rapportens troværdighed:

This report is provided “as is” for informational purposes only. The Department of Homeland Security (DHS) does not provide any warranties of any kind regarding any information contained within.

Henrik Kramshøj Blogger

185.129.62.62 og
185.129.62.63

Jeps, som allerede sagt - det er Tor Exit servere. Jeg driver nogle Tor servere, fordi det giver en masse positive ting - frihed til lande som tyrkiet m.fl.

Der er dog også misbrug gennem mine servere, det følger desværre med. Jeg har ialt omkring 300 emails relateret til abuse klager over mine servere fra 2016. Det er alt fra scans og DMCA takedown notices, og der har også været et par henvendelser fra dansk politi angående forsøg på misbrug - køb af varer via web, ikke leveret.

Jeg mener at fordelen ved Tor netværket er langt større end det misbrug der har fulgt med. Det er dog selvfølgelig noget jeg overvåger løbende. Jeg har gjort hvad jeg kan for at det er nemt at se at det ER Tor servere, og giver politi så hurtig respons som muligt - så de ikke spilder tid på at skulle alle de formelle veje igennem systemerne, uden resultatet. Politiet ringer gerne uformelt og spørger uden at jeg har nogen som helst verifikation, og de får straks "Tor servere, intet at komme efter".

Nå, men da snakken er om IP, og der er faldet et tal ud, så er 91.1.1.1 efter min bedste overbevisning tilhørende i Tyskland, og har formentlig været det siden det blev tildelt i 2006. Det er blandt andet begrundet med route-object som ligeledes ikke er ændret i mange år.

Henrik Biering Blogger

Nå, men da snakken er om IP, og der er faldet et tal ud, så er 91.1.1.1 efter min bedste overbevisning tilhørende i Tyskland, og har formentlig været det siden det blev tildelt i 2006.

Nu på denne aften, hvor vores tanker går til danskerne i Slesvig, kunne man jo håbe på at det skyldes at USA anerkender Danmark til Ejderen

Mere realistisk er det nok at de kære sikkerhedsfolk i USA har noteret sig at IP-adressen er associeret med et .DE domæne, hvor DE selvfølgelig står for "Denmark". Det giver jo med USA-briller ikke mening med .DE for "Germany".

Kenn Nielsen

Nu på denne aften, hvor vores tanker går til danskerne i Slesvig, kunne man jo håbe på at det skyldes at USA anerkender Danmark til Ejderen

Hæ !
I min grønne ungdom , der jokede vi med "Danmark til Zambezi".

I dag , mener jeg ikke det er bøvlet værd...

Vi bliver jo alle klogere, og jeg undrer mig lidt over hvordan dette bliver et af de tegn på Russiske bagmænd..

K

Lasse Mølgaard

Nå, men da snakken er om IP, og der er faldet et tal ud, så er 91.1.1.1 efter min bedste overbevisning tilhørende i Tyskland

Umiddelbart tænker jeg på at den famøse adresse er spoofet og det samme med 62.1.1.1.

Jeg gætter på, at det er en UDP pakke, der er blevet sendt afsted fra denne adresse.

Det glimrende ved UDP er at man får ikke kvittering på, at pakken er modtaget i den anden ende, hvilket gør det nærliggende at indsætte hvad-som-helst som afsender adresse.

Jeg ved dog ikke om man kan sende en spoofet ip adresse, der har en rfc1918 adresse, som afsender?

Jan Ferré

Hej Lasse

For IP-protokollen, så er der ikke nogle adresser, der er bedre end andre - så ja, du kan godt sende en pakke, der har en RFC1918-adresse som afsender.

Omvendt så er det en internet-konvention (netop beskrevet i RFC1918), at nogle adresseområder ikke skal ud på internet - fordi de netop skal bruges til interne ting. Og hvis din net-leverandør er bare en lille smule omhyggelig med sine filtre, vil pakkerne ikke blive tilladt på leverandørens net. Faktisk er det god latin at bruge anti-spoofing filtre, så kun adresser, der lovligt kan være på et subnet kan få lov at sende pakker ud fra det. Men det er selvfølgelig administrativt besværligt at tilpasse sådanne filtre.

Og hvis din spoofede IP-pakke skal krydse andre net-leverandører på vej til sin destination, øges risikoen naturligvis for at den bliver sorteret fra i et filter undervejs. Som et sidste forsvar bør den firewall, der beskytter destinationen naturligvis have et filter, der netop sørger for at sortere åbenlyst uacceptable pakker fra. Om det så er indsat - det er noget ganske andet :)

Jan Ferré

Lasse Mølgaard

Omvendt så er det en internet-konvention (netop beskrevet i RFC1918), at nogle adresseområder ikke skal ud på internet - fordi de netop skal bruges til interne ting.

Så meget regnede jeg også med. :-)

Det er derfor jeg mistænker 62.1.1.1 for at være en spoofet adresse. Der er et-eller-andet scriptkiddie vibe over den adresse.

Sådan en retning af at man har "mad skillz", når man kan maskere afsender adressen.

Ikke just noget der imponere mig. :-)

Log ind eller Opret konto for at kommentere