Med et målrettet og ekstremt avanceret hackerangreb lykkedes det i foråret 2012 en fremmed stat at udføre spionage mod flere danske myndigheder.
Angrebet var rettet mod Statens IT, Erhvervs- og Vækstministeriet samt Søfartsstyrelsen og var ifølge hidtil hemmeligstemplede rapporter udført af statsstøttede hackere.
I en evaluering fastslår Forsvarets Efterretningstjeneste, at "angrebet var statssponsoreret og meget professionelt udført".
- Jeg har arbejdet med it-drift i 20 år, og jeg har aldrig oplevet noget lignende før, siger Søren Vulff, underdirektør i Statens IT, der driver it-systemer for en lang række offentlige myndigheder.
Chefen for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, Thomas Lund-Sørensen, betegner episoden som "et særlig alvorligt angreb".
Tip fra USA
DR Nyheder har fået aktindsigt i rapporter om det ugelange hackerangreb og kan for første gang løfte sløret for, præcis hvad der skete, da hackerne på avanceret vis trængte ind i nogle af statens mest følsomme it-systemer hos Erhvervsministeriet.
Det er it-systemer, der blandt andet indeholder hemmelige oplysninger om danske rederier og den danske handelsflåde.
Af rapporterne fremgår det, at de danske myndigheder kun opdager angrebet takket være et tip fra en amerikansk it-sikkerhedsekspert, der har fundet en række filer fra Søfartsstyrelsen på en server i USA, som er kendt for at være kontrolleret af hackere.
Amerikanerne kontakter Forsvarets Efterretningstjenestes it-enhed, Govcert (forløberen for Center for Cybersikkerhed), der 21. april 2012 alarmerer Søfartsstyrelsen om angrebet.
Ikke kun drengestreger
De fundne filer stammer fra en pc, der tilhører en medarbejder i Søfartsstyrelsen, og fundet sætter de følgende dage gang i en historisk og omfattende dansk cyberkrigsindsats med 30 eksperter fra både Forsvarets Efterretningstjeneste, Statens IT, Politiets Efterretningstjeneste og private sikkerhedseksperter.
- Enhver uautoriseret indtrængen i et it-system er selvfølgelig alvorlig. Det her var måske særlig alvorligt, fordi vi må gå ud fra, at det var med henblik på at indhente informationer af strategisk betydning for Erhvervs- vækstministeriets netværk og nogle af de styrelser, som deler det netværk, siger Thomas Lund-Sørensen fra Center for Cybersikkerhed.
Ifølge rapporterne har hackerne formentlig haft held til at inficere pc'en ved at sende den pågældende medarbejder i Søfartsstyrelsen en mail med en virus skjult i et vedhæftet pdf-dokument.
Intens overvågning
Så snart medarbejderen åbnede filen, har virussen inficeret computeren og åbnet en bagdør, så hackerne kunne trænge ind i computeren og derfra videre til resten af netværket.
Efter flere dages intens overvågning af systemerne lykkedes det omsider at identificere hackerne og deres målrettede færden rundt inde i it-systemerne hos Statens IT.
Da blev det åbenlyst, at de danske myndigheder var udsat for et hidtil uset avanceret angreb:
- Det står klart, at det ikke kun er drengestreger, men at hackerne er interesseret i informationer, de kan hente fra Erhvervsministeriet/Søfartsstyrelsen, skriver Statens IT i den senere evalueringsrapport, hvoraf det også fremgår, at sagen undervejs meldes til politiet.
Målrettede og professionelle
Hackerne når blandt andet at få fingre i en række konkrete dokumenter samt hele filstrukturen på den inficerede pc. Derudover har de haft held til at kopiere hele netværksdokumentationen fra Erhvervsministeriets it-system, hvilket giver dem et unikt indblik i, hvordan netværket er designet.
Eksperterne får i al hast udviklet et specialdesignet program, der kan spore den virus, hackerne har brugt til at komme ind i systemerne. For at kunne blokere for hackernes adgang er man imidlertid nødt til helt at lukke ned for it-systemerne, hvilket sker fredag den 27. april 2012.
Nedlukningen betyder, at tusindvis af brugere i flere ministerier og styrelser ikke har adgang til it-systemerne i flere dage. Først mandag begynder man at åbne systemerne op igen - nu med specialudviklede antivirus-programmer, der forhindrer nye angreb med den pågældende virus.
Sponsoreret af stat
I den efterfølgende evaluering understreges det, at angrebet var udført med en sjældent set professionalisme, og at det var sponsoreret af en stat.
- Det er Govcerts vurdering, at angrebet var statssponsoreret, og at det var meget professionelt udført. Dette blev understreget af, at hackerne var målrettede, og at de kun arbejdede, når medarbejderne hos Erhvervsministeriet arbejdede - primær aktivitet mellem kl. 08 - 17 og ingen aktivitet om aftenen eller i weekenden. Dermed kunne de bedre skjule sig i den store belastning på netværket i dagtimerne, fremgår det af rapporten.
Der sættes dog ikke navn på, hvilken stat beviserne peger på:
- Vi er meget forsigtige med at pege på præcis, hvem det er, vi tror, der står bag. Vi har selvfølgelig vores vurderinger, og de vurderinger deler vi med relevante myndigheder og med regeringen, vores primære kunde, siger Thomas Lund-Sørensen, Center for Cybersikkerhed.
Mistanken mod Kina
Ifølge DR Nyheders oplysninger retter mistanken sig mod hackere tilknyttet den kinesiske stat.
Den kinesiske ambassade i København afviser dog, at myndighederne kender til sagen.
"Kina er selv offer for cyberangreb" og "det er meget svært at bevise, hvem der står bag disse angreb", skriver Fu Wenyan, chef for ambassadens den politiske afdeling, i en mail.
Klassisk digital industrispionage
I alt nåede hackerne under det ugelange angreb i foråret 2012 at inficere 13 pc'er og en række servere. De angrebne it-systemer var påvirket i flere uger, og først i oktober 2012 var der ryddet helt op efter hackernes hærgen hos Statens IT.
Efterfølgende analyser konkluderer, at hackerne formentlig ikke fik fat i mere følsomme data hos styrelserne
- Helt præcist hvad det var for informationer, man gik efter i Erhvervs- og vækstministeriet, det ved vi ikke, fordi angrebet blevet stoppet - efter alt at dømme - før man begyndte at hente informationer ud af vigtig betydning. Men det er et eksempel på, hvad vi ville betragte som industrispionage, siger Thomas Lund-Sørensen fra Center for Cybersikkerhed.
Har din virksomhed eller den virksomhed, du arbejder i, været udsat for cyberspionage, vil vi meget gerne høre fra dig. Skriv til nfas@dr.dk