Tysk IP-adresse binder hackersag sammen

En IP-adresse på en tysk server kan forbindes til begge tiltalte i CSC-hackersagen. Den er desuden også en central brik i hackerangrebet mod svenske Logica, som Gottfrid Svartholm Warg tidligere er dømt for.

På sjettedagen i sagen om hacking af CSC’s mainframe har anklagemyndighederne afhørt sit første vidne, som giver et detaljeret indblik i de beviser, der har ledt til sigtelsen af svenske Gottfrid Svartholm Warg og danske JT.

De to mænd er tiltalt for at have hacket CSC’s systemer og ulovligt kopieret personfølsomme data til servere i Tyskland, Cambodja og Iran. Og særligt den førstnævnte servers IP-adresse har fået opmærksomhed fra anklageren i dagens retsmøde.

Læs også: Tidslinje over CSC-hackersagen som set hos Version2

Den tyske server er en udlejningsserver, som dog ikke var udlejet i den periode, den blev anvendt i hackerangrebet. Her blev den brugt som en slags mellemstation mellem gerningsmænd og CSC’s systemer. Siden da er alt indholdet blevet fjernet og der eksisterer ingen backup. Men IP-adressen er blevet fundet i den chat-log, som dokumenterer en samtale mellem 21-årige JT og en ukendt person under aliasset My Evil Twin.

I en større bid af chatten postet af netop My Evil Twin fremgår den tyske IP-adresse sammen med navnet på et script. Scriptet – environ.sh – er blevet aktiveret på CSC-serveren fra den tyske ip-adresse, viser CSC’s acces-log, ifølge rapporter fra politiet it-efterforskere.

Tysk server blev brugt i svensk hackersag

It-efterforsker Flemming Grønnemose, der har vidnet i dag, ved ikke hvad scriptet gør. Han vurderer dog, at de over 200 CSC-serverbesøg, som der bliver foretaget fra den tyske adresse, er et led i et rekognoscerings-togt. Altså et forsøg på at sondere terrænet før angrebet sættes ind. JT’s forsvarer, Michael Juul Eriksen, har i dag i retten bestredet sammenhængen mellem de såkaldte rekognosceringsbesøg og det egentlige hackerangreb.

Den tyske adresse er ikke unik for Danmarkshistoriens største hackersag. Også i en lignende sag fra Sverige, hvor Warg blev dømt for at hacke svenske Logica, optræder adressen. Også her blev serveren brugt på den måde, at gerningsmanden overførte filer fra en mainframe til serveren for derefter potentielt at downloade dem.

Anklager Anders Riisager har i dagens afhøring forsøgt at dokumentere flere forbindelser mellem de to hackersager. Vicestatsadvokat Anders Riisager har blandt andet fremhævet en log fil, som er fundet på Wargs computer. Filen viser ifølge Flemming Grønnemose, at mens Wargs computer kopierede data fra svenske Logica, udførte computeren samtidig en lang række automatiske log ind-forsøg på CSC’s webserver. Ifølge efterforskningen kørte de to ting samtidig i hvert sit vindue.

Tre af de brugernavne, som blev afprøvet uden held på CSC’s webserver, er også fundet i chatloggen – denne gang skrevet af den danske tiltalte JT. JT har tidligere forklaret, at han var interesseret i at vide, om en mainframe kunne hackes, men nægter, at det skulle være Warg, han havde chattet med.

Bagdøre kunne bruges af alle

Ifølge Flemming Grønnemose var det en ’zero day’-sårbarhed i IBM’s mainframe, der tillod CSC-hackeren at give sig selv ubetinget adgang til de mange personfølsomme data. Ifølge en logfil har gerningsmanden over de fire måneder hackerangrebet stod på efterspurgt 29.697 unikke dataset fra CSC’s mainframe. Ni ud af ti af de kompromitterede dataset kommer fra politiet, viser tallene.

Filerne er blevet downloadet til serveren i Tyskland, samt til en Iransk og en Cambodjansk server. Den asiatiske IP-adresse tilhører ifølge efterforskningsmaterialet en kommunal server. Og brugernavnet, den blev brugt med, var borgmesterens eget.

Angrebet, der har kompromitteret millioner af pasnumre, personnumre og registreringer i Schengen-registret, stoppede ifølge anklageren, da Warg blev anholdt i august 2012. Og det er ikke blot på grund af, at computeren i samme ombæring blev konfiskeret, siger it-efterforsker Flemming Grønnemose fra vidnestolen. Bagdørene, som gerningsmanden installerede i CSC, kan reelt tilgås fra alle computere, hvis bare man kender dem, lyder det.

Ustabil computer gør fjernstyring usandsynlig

Flemming Grønnemose gjorde det klart, at han betragtede det som usandsynligt, at Wargs computer blev fjernstyret til at hacke CSC, hvilket ellers har været en central pointe i svenskerens forsvar.

Det byggede han på to test, som efterforskningsholdet selv har foretaget, hvor der ikke er blevet registret nogen usædvanlig netværksaktivitet fra computeren. Grønnemose fremhæver desuden, at eventuel fjernstyring ville blive afbrudt hele tiden af hele 105 genstart, som computeren har foretaget i gerningsperioden. Endelig mener efterforskeren, at computerens krypterede container, som indeholdt filer fra CSC, ikke kan tilgås, uden at en bruger ved computeren giver adgang.

Anklagerens vidne måtte dog medgive, at fjernstyring er teoretisk muligt.

De to tiltalte mænd nægter sig begge skyldige. De risikerer op til seks års fængsel, hvis de bliver dømt.

Sagen fortsætter i morgen med anklagemyndighedens vidner. Version2 er til stede i Retten på Frederiksberg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Knud Jensen

Grønnemose fremhæver desuden, at eventuel fjernstyring ville blive afbrudt hele tiden af hele 105 genstart, som computeren har foretaget i gerningsperioden.

.

105 genstart af en maskine over 14-15 måneder lyder ærligt talt ikke af meget, og da slet ikke nok til at fremsætte det som værende "hele tiden".

Og da der er tale om fjernstyring, så skulle man jo netop mene at den service ville starte sammen med Windows efter hver genstart.

Robert Larsen

Endelig mener efterforskeren, at computerens krypterede container, som indeholdt filer fra CSC, ikke kan tilgås, uden at en bruger ved computeren giver adgang.

Hvorfor i alverden skulle man ikke kunne åbne en krypteret container fra kommandolinjen?
En GUI udfører maskinkode nøjagtig lige så godt som en kommandolinje, så den må jeg lige have forklaret.

Andreas Korsgaard

Det byggede han på to test, som efterforskningsholdet selv har foretaget, hvor der ikke er blevet registret nogen usædvanlig netværksaktivitet fra computeren

så vidt jeg husker, tog de harddisken fra computeren, men ikke computeren selv. Forventer de at remote brugerne selv finder ud af at harddisken er flyttet over på en ny forbindelse?

Log ind eller Opret konto for at kommentere