Det er andet end en russisk ip-adresse, der får sikkerhedsfolk til at pege fingeren mod Rusland i forhold til det hackerangreb, som det amerikanske parti Demokraterne har været udsat for.
Forleden kom det frem, at netværket hos Democratic National Committee (DNC) var blevet kompromitteret.
I første omgang fortalte Washington Post, at det var statsstøttede russiske hackere, der stod bag.
Men efterfølgende hævdede en eller flere hackere, der kaldte sig Guccifer 2.0, at stå bag angrebet. I et blogindlæg fortalte Guccifer 2.0 blandt andet, hvor let det havde været at bryde ind på netværket.
Som altid med cyberangreb kan det være svært at vide præcist, hvem der faktisk står bag.
Amerikanske Computerworld har en artikel om, hvorfor sikkerhedsfolk mener, det faktisk er russerne og ikke en enlig hacker, som står bag angrebet.
Malwaren
Kompromitteringen at netværket kan være sket så langt tilbage som til sidste sommer. Angrebet har involveret malware, som tidligere har været brugt af to hackergrupper kendt som Cozy Bear og Fancy Bear.
De holder til i Rusland og bliver betragtet som nogle af verdens bedste hackergrupper, fortæller Michael Buratowski fra Fidelis Cybersecurity til Computerworld.com.
Han forklarer endvidere, at den pågældende malware er sjælden og avanceret. Og at den ikke bare kan anvendes af en script-kiddie.
Et mønster
En anden grund til at mistanken falder på russiske hackere er målet. Gemene cyberkriminelle går typisk efter finansielle oplysninger som kortnumre, forklarer en anden sikkerhedsekspert, Ben Johnson fra Carbon Black.
Men i tilfældet med DNC var målet information relateret til politiske kampagner og udenrigspolitiske planer.
Og det passer med modus operandi for Cozy Bear og Fancy Bear, der tidligere har kastet sig over blandt andet Det Hvide Hus og det amerikanske udenrigsministerium.
»Det ser ud, som om angriberne vidste, hvad de gik efter,« siger Johnson til amerikanske Computerworld.
Cover-up
Det er svært at koble en hackergruppe til en regering. Sikkerhedsfirmaer har lavet koblingen til Rusland ved at undersøge angrebsmønstre over en længere periode, forklarer endnu en sikkerhedsekspert, Mark Arena fra Intel 471 til Computerworld.
Det amerikanske medie fortæller, at Fancy Bear eksempelvis konsekvent har benyttet det russiske sprog i forbindelse med udviklingen af malwaren. Gruppens mål har inkluderet Nato og østeuropæiske regeringer. Angrebene har haft fokus på at stjæle politiske og militære data.
Derudover er der Guccifer 2.0's blogindlæg. Altså hackeren eller hackerne, som hævder at stå bag angrebet. Johnson fra Carbon Black mener, at timingen af indlægget er for belejlig.
I Guccifer 2.0’s blogindlæg bliver sikkerhedsfirmaet CrowdStrike hånet og kaldt konspiratorisk.
Det var firmaet, som oprindeligt pegede på Rusland i forhold til DNC-angrebet.
Flere har peget på, at Guccifer 2.0's indlæg i virkeligheden kan være et russisk forsøg på at aflede opmærksomheden fra landet.
»Det virker som et rettidigt cover-up,« siger Johnson til amerikanske Computerworld og fortsætter:
»Det virker lidt for iscenesat.«
Det er Buratowski fra Fidelis Cybersecurity enig i. Han bemærker, at Guccifer 2.0 kan være en eller flere personer, som er en del af en større gruppe.
»Der er altid den mulighed, at [Guccifer 2.0] bare er et røgslør for at aflede opmærksomheden fra de rigtige aktører,« siger Buratowski.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
