Europæiske millionbyer uden strøm, vand, varme og internetadgang.
Sådan lyder skrækscenariet ved en ny bølge af ekstremt avancerede og målrettede cyberangreb, der i øjeblikket rammer især energiselskaber i en række vestlige lande.
Både efterretningstjenester og sikkerhedseksperter slår alarm over hackerangrebene, der har flere tegn på at være styret fra Rusland og have som mål at sabotere energisektoren og dermed den mest kritiske infrastruktur.
29 ofre i Danmark
Også den danske energisektor er blevet ramt af den avancerede malware med navnet havex, der benyttes ved angrebene.
Det konkluderer tre af verdens førende it-sikkerhedsfirmaer, Kaspersky Lab, Symantec og Crowdstrike, der har analyseret deres data for DR Nyheder.
Eksperter fra Kaspersky Lab konkluderer således, at deres database over ofre inkluderer 29 ip-adresser fra Danmark.
- Vi har ikke det fulde overblik over angrebet, men det er stort. Større end noget, vi har set tidligere, understreger it-sikkerhedsekspert hos Kaspersky Lab Vicente Diaz.
Han konkluderer, at der blandt de 29 danske ofre er selskaber "i den danske energisektor”, men vil af hensyn til kundefortrolighed ikke nævne navne:
- Blandt ofrene finder vi både enkeltstående pc'er såvel som større organisationer – herunder forskningsinstitutioner, siger han.
Pilen peger på Rusland
Højtstående efterretningskilder fortæller til DR Nyheder, at meget peger på, at folkene bag angrebet er fra Rusland.
Blandt andet benyttes russiske ord i koderne bag virusset, og angrebene sker i tidsrum, der svarer til normal arbejdstid i Moskva.
- Indicierne peger på, at det formentlig er en russisk gruppe med meget store ressourcer i ryggen. Højst sandsynligt statssponsoreret, vurderer Luke Herbert, ph.d. og forsker i it-sikkerhed ved DTU.
Mindst to ofre i energisektoren
Udover Kaspersky Lab bekræfter også it-sikkerhedsfirmaerne Symantec og Crowdstrike over for DR Nyheder, at angrebet har ramt Danmark – begge konkluderer, at der er mindst to ofre i energisektoren.
Angriberne benytter blandt andet en særlig, specialudviklet og ondsindet virus – kaldet malware – ved navn havex, der ud over at kunne indsamle data også kan benyttes som led i at tage kontrollen over it-systemer.
Underdirektør i det amerikanske sikkerhedsfirma Crowdstrike, Adam Meyers, beskriver i en mail til DR Nyheder angriberne som ”ekstremt dygtige modstandere”.
Norge ramt af malware
Det igangværende angreb ramte i sommer 50 norske virksomheder i olieindustrien, der alle fik havex-malwaren inden for i it-systemerne.
- Vi anser det vor vældigt alvorligt. Det er det største angreb, vi har set, og det rammer et område i Norge, som er ekstremt vigtigt, nemlig olie, gas og energi, siger Hans Christian Pretorius Operativ chef hos Nasjonal Sikkerhetsmyndighet i Oslo.
Også hos det europæiske politisamarbejde Europol i Haag er man bekymret over sagen:
- Bagmændene er rigtig dygtige, de har været i stand til at komme ind bag sikkerhedsforanstaltningerne hos en række energiselskaber, og dermed har de også været tæt på at kunne påvirke selskabernes drift og i yderste konsekvens bogstaveligt talt slukke for strømmen. Derfor skal vi tage det her meget alvorligt, siger Troels Ørting, leder af Europols afdeling for efterforskning af cyberkriminalitet.
Kan slukke for samfundet
- Jeg er overbevist om, at vi vil se flere af den type angreb fremover, hvor angribere forsøger at kortlægge it-systemerne bag den kritiske infrastruktur, så man vil kunne slukke for samfundet i tilfælde af en væbnet konflikt. Begyndelsen til enhver væbnet konflikt er, at man målrettet undersøger det pågældende lands infrastruktur, og så vil man formentlig tage elværker, kraftværker, hospitaler, kontroltårne, kommunikation og presse ud af funktion. Så sænker mørket sig. Og så kommer soldaterne, siger Troels Ørting.
DR Nyheder har været i kontakt med en lang række danske energiselskaber, men ingen steder kan man bekræfte at være blevet ramt.
Flere steder – hos blandt andre Energinet.dk og Dong Energy - har man siden DR Nyheders forespørgsel foretaget grundige scanninger af systemerne, men indtil videre er der ikke fundet havex eller andre typer af malware, som angriberne benytter sig af.
DR Nyheder har i flere dage forgæves forsøgt at få en kommentar til sagen fra den russiske ambassade i København.