Ikke bare en ip: Derfor mistænker sikkerhedsfolk Rusland for hack mod Demokraterne

Illustration: Virrage Images/Bigstock
Flere spor peger mod Rusland i forbindelse med hackerangreb mod de amerikanske parti Demokraterne.

Det er andet end en russisk ip-adresse, der får sikkerhedsfolk til at pege fingeren mod Rusland i forhold til det hackerangreb, som det amerikanske parti Demokraterne har været udsat for.

Forleden kom det frem, at netværket hos Democratic National Committee (DNC) var blevet kompromitteret.

I første omgang fortalte Washington Post, at det var statsstøttede russiske hackere, der stod bag.

Men efterfølgende hævdede en eller flere hackere, der kaldte sig Guccifer 2.0, at stå bag angrebet. I et blogindlæg fortalte Guccifer 2.0 blandt andet, hvor let det havde været at bryde ind på netværket.

Læs også: Guccifer 2.0: Det er mig og ikke russerne, der har hacket Demokraterne

Som altid med cyberangreb kan det være svært at vide præcist, hvem der faktisk står bag.

Amerikanske Computerworld har en artikel om, hvorfor sikkerhedsfolk mener, det faktisk er russerne og ikke en enlig hacker, som står bag angrebet.

Malwaren

Kompromitteringen at netværket kan være sket så langt tilbage som til sidste sommer. Angrebet har involveret malware, som tidligere har været brugt af to hackergrupper kendt som Cozy Bear og Fancy Bear.

De holder til i Rusland og bliver betragtet som nogle af verdens bedste hackergrupper, fortæller Michael Buratowski fra Fidelis Cybersecurity til Computerworld.com.

Han forklarer endvidere, at den pågældende malware er sjælden og avanceret. Og at den ikke bare kan anvendes af en script-kiddie.

Et mønster

En anden grund til at mistanken falder på russiske hackere er målet. Gemene cyberkriminelle går typisk efter finansielle oplysninger som kortnumre, forklarer en anden sikkerhedsekspert, Ben Johnson fra Carbon Black.

Men i tilfældet med DNC var målet information relateret til politiske kampagner og udenrigspolitiske planer.

Og det passer med modus operandi for Cozy Bear og Fancy Bear, der tidligere har kastet sig over blandt andet Det Hvide Hus og det amerikanske udenrigsministerium.

»Det ser ud, som om angriberne vidste, hvad de gik efter,« siger Johnson til amerikanske Computerworld.

Cover-up

Det er svært at koble en hackergruppe til en regering. Sikkerhedsfirmaer har lavet koblingen til Rusland ved at undersøge angrebsmønstre over en længere periode, forklarer endnu en sikkerhedsekspert, Mark Arena fra Intel 471 til Computerworld.

Det amerikanske medie fortæller, at Fancy Bear eksempelvis konsekvent har benyttet det russiske sprog i forbindelse med udviklingen af malwaren. Gruppens mål har inkluderet Nato og østeuropæiske regeringer. Angrebene har haft fokus på at stjæle politiske og militære data.

Derudover er der Guccifer 2.0's blogindlæg. Altså hackeren eller hackerne, som hævder at stå bag angrebet. Johnson fra Carbon Black mener, at timingen af indlægget er for belejlig.

I Guccifer 2.0’s blogindlæg bliver sikkerhedsfirmaet CrowdStrike hånet og kaldt konspiratorisk.

Det var firmaet, som oprindeligt pegede på Rusland i forhold til DNC-angrebet.

Flere har peget på, at Guccifer 2.0's indlæg i virkeligheden kan være et russisk forsøg på at aflede opmærksomheden fra landet.

»Det virker som et rettidigt cover-up,« siger Johnson til amerikanske Computerworld og fortsætter:

»Det virker lidt for iscenesat.«

Det er Buratowski fra Fidelis Cybersecurity enig i. Han bemærker, at Guccifer 2.0 kan være en eller flere personer, som er en del af en større gruppe.

»Der er altid den mulighed, at [Guccifer 2.0] bare er et røgslør for at aflede opmærksomheden fra de rigtige aktører,« siger Buratowski.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Man kan vel ikke peje finger af andre, når man mener, man selv har ret til at samle omlysninger og information om alle mennekser i verden, Uden hensyntagen til regler og aftaler.
Det her er også bare indsamling, oplysninger og information, helt på linje og på samme måde som de selv bruger. Og lige så loveligt eller uloveligt.

  • 9
  • 1
Tom Paamand

Mine sidste afleveringer er sket i tæt samarbejde med russere, og der er masser af kyrillisk i koden. Har Center for Cybersikkerhed mon udviklet en passende lint til afradikalisering?

  • 0
  • 1
Finn Thøgersen

Nu er der jo ingen "sikkerhedskonsulenter" der offentligt vil indrømme at klienten var mere sårbar end en ballon på en pindsvine kongress og blev hacket af en 8 årig med et Arduino kit og et taletidskort fra Ougadougou.

Istedet er det "klienten har et avanceret setup" (uoverskuelig og usammenhængende bunke af aldrende, ustabilt og unpatched heterogen hard- og software, inkl ting fra før Y2k), "praktiserer et strict security regime" (medarbejdere skal swipe et ID kort ved indgangen), "Ingen kunne have forudset det" (dvs den exacte sekvens OG timing af forløbet), "Kun en statsstøttet gruppe ville have resourcerne til det" (HVIS de skulle hacke hvert enkelt af den mange hundrede systemer for sig...), "ingen data er tabt eller stjålet" (efter hvad vi kan se i vores logs, men logvolumen løb vist fuld for et års tid siden...) og alt hvad de ellers kan finde på for at få klienten til at se mindre inkompetent / skødeløs / skyldig ud.

  • 6
  • 1
Daniel Korsgaard

Nu er det jo ikke dem der driver systemerne, som ender med at analysere og konkludere mål og metode.
Det er malware specialister fra andre firmaer, som laver de analyser. I dette tilfælde Fidelis Cybersecurity og Intel 471.

Jeg vil ikke umiddelbart tænke at de har en åbenlys grund til sprede misinformation.

Hvis der er nogen der har hang til misinformation, så vil mit bud snarer gå på russerne.

  • 1
  • 3
Bent Jensen
"Jeg vil ikke umiddelbart tænke at de har en åbenlys grund til sprede misinformatio"

"Hvis der er nogen der har hang til misinformation, så vil mit bud snarer gå på russerne."

Hvis de er betalt af "nogen" som de 3 stjernet eller den ansvalige for severen. Som er mere intereseret i at sprede misinformation end forklare at deres server sikkerhed var langt ude i skoven. De får sikkert ikke penge af russerne, selv om de ikke have pejet på dem.

Nu er det private firmaer soom står for anklagerne, hvis det var noget hold i dette, så burde det vel være meldt ud for officelt holdt. Det her svare lidt til da CSC selv finder beviser og anklager i hackersagen.

Sidste gang vi hørte om at Demokraternes Parti var kompromitteret, der stod der en Amerikansk Præsident bag, og der blev det også forsøgt skjult og gemt.
I sidste ende kan det være NAS selv som er blevet opdaget, også betaler er par firmaer for at "se på sagen"
I den sidste ende er det hvem du tror er mest troværdigt, og som har mindst blod på hænderne og som tænker på børnene. De 3 stjernet i USA lyver konstant og konsekvent også overfor de kontroudvalg som skulle holde styr på dem. Og det uden at blinke.

https://da.wikipedia.org/wiki/Watergate-skandalen

PS: De private firmaer, kan i den sidste ende være købt og betalt af de 3 stjernet, til at sprede FUT,. Der er oprettet flyselvskaber, og andet i den "gode sags tjeneste". Så at bruge lidt penge på at oprette nogen firmaer betyder lidt.
Eller bare en opringning til chefen, som står og venter på at en ny ordre til det offenlige.

  • 2
  • 1
Finn Thøgersen

Jeg vil ikke umiddelbart tænke at de har en åbenlys grund til sprede misinformation.

Nu er de jo købt og betalt af systemejeren (direkte eller vis driften), og opgaven omfatter givetvis 2 separate dele:
- en "eyes only" rapport direkte til ledelsen om hvad der faktisk kan konstateres, hvad der gik galt, hvem der svigtede, hvad der vides/kan gættes om angriberne, anbefalinger etc - Den ser aldrig dagens lys!
- Et oplæg til udvordes brug med alle spekulationerne, potentielle motiver etc - den del drejer sig kun om damage control for klienten
Afhængig af klientens behov kan vægten skiftes mellem de to, ligesom søforklaringerne kan tilpasses

En konsulent der hænger klienten ud offentligt - uanset hvor fortjent det måtte være - bliver simpelthen ikke hyret igen nogensteder, uanset hvor gode de måtte være rent teknisk.

Det er nøjagtig samme sang som når konsulenter af Lundgård Management typen hyres til at kigge på et kommunalt problem - første step er altid diskret at afklare hvilken konklusion der ønskes.
De vil uanset hvad de finder aldrig nogensinde vende melde ud at kommunaldirektøren (eller andre ledende medarbejdere) er inkompetente og aldrig burde have haft den stilling - medmindre naturligvis de er hyret til lige netop den konklusion.

  • 1
  • 0
Nicolai Larsen

Man kan vel ikke peje finger af andre, når man mener, man selv har ret til at samle omlysninger og information om alle mennekser i verden, Uden hensyntagen til regler og aftaler.

Hvor har du levet henne de sidste mange årtier? Den slags gør alle, herunder danske politikere, almindelige danskere der snyder lidt her og der osv, så hvorfor skulle det ikke også være tilfældet i globale strategiske situationer?

  • 0
  • 0
Niels Didriksen

Eftersom Washingtons militante arm NATO har besluttet sig for, at Cyber Angreb nu kan aktivere artikel 5, inklusivt militært svar, synes jeg man skal være MEGET påpasselig med at tro på hvem hvilketsomhelst natoland anklager for hacking/cyberangreb.

  • 0
  • 0
Log ind eller Opret konto for at kommentere