Jens Monrad: En civil cyberkrig i Ukraine kan få katastrofale konsekvenser

17.03.2022


”Private cyberangreb er ukontrollerede, og situationen kan ændre sig hurtigt. Der skal bare lækkes én information, som bliver misforstået, så kan der udbryde krig mellem stater. Dét er jeg mere nervøs for, som billedet er lige nu, end et statsligt koordineret angreb fra Rusland mod Danmark.”

Interview af Niels Koch-Rasmussen

I disse dage kæmpes der ihærdigt i Ukraine fra både nord, syd og øst. Der findes dog også en anden frontlinje. For udover slagmarkerne på de ukrainske sletter, kæmpes der også på den digitale slagmark i cyberspace, hvor destruktive hackerangreb, målrettet desinformation og digital afpresning på private virksomheder alle udgør brikker i kampene. Men hvem er det egentlig, der fører denne digitale krig, og hvad er deres motivation?

RÆSON mødtes med Jens Monrad, direktør for cybersikkerhedsfirmaet Mandiant, for at danne et grundigt overblik over cyberkrigen i Ukraine. Om decentrale aktører, digitale våben og deres potentielle konsekvenser, når der føres slag i cyberspace på vegne af staternes krige på landjorden.

 

Jeg er bekymret for, hvordan man fra russisk side tolker angrebene. Tolker Kreml det bare som angreb fra hackere, der er imod Rusland, eller vil man opfinde et narrativ om, at det er orkestreret af Vesten?
_______

 

RÆSON: Hvilke aktører er der på cybersiden i krigen i Ukraine?
MONRAD: Det er ekstremt mudret. Hvis du forestiller dig et diagram, har du øverst oppe staterne, her Rusland og Ukraine, hvor der er aktivitet og nogle dokumenterede kapabiliteter på statsniveau i cyberspace. Her ligner Ukraine ikke nødvendigvis Rusland. Under dette øverste lag er der de patriotiske personer, der organiserer sig og tager konflikten ind i cyberspace med hver sit standpunkt.

Betyder det, at der findes decentrale aktører over hele Vesten?
Ja, det tror jeg. Og dér begynder det at være en heksekedel af forskellige personer, der ikke nødvendigvis har tilknytning til landene eller nationalitetsfølelse. Nogle føler måske uretfærdighed, og så er der andre, der bare vil deltage, fordi det er sjovt og spændende. Der findes grupper, som ikke har ukrainsk ophav, og som kommer fra hele verden, hvilket giver mening, fordi Ukraine har efterlyst cyberressourcer på sociale medier. Ukraine har endda oprettet en kanal, hvor man prøver at koordinere angreb mod russiske hjemmesider – både mod myndigheder og private.

En af de aktører, man kender, er Anonymous, som også tidligere har været involveret i politiske begivenheder. Den er også decentral og derfor svær at forhandle med politisk. Hvordan ser du deres rolle i konflikten?
De har været med til at offentliggøre lækkede data fra Rusland, men det er svært at vurdere, hvor effektfuldt det har været, for der foregår så megen informationsdeling gennem én kanal, som mange bruger til at dele informationer om, hvad de har hacket. Der er en strøm af informationer, så man får lyst til at sige: ”Se, hvor meget de hacker!” og så finder man ud af, at de lækkede data, der er blevet offentliggjort, var tilgængelige for enhver med internetadgang. Dataene er bare blevet samlet, og så kaldes det et datalæk. Dissidenter i Belarus har fx i lang tid foretaget angreb mod mål i cyberspace som en del af modstandskampen mod regimet. De har foretaget overbelastningsangreb og kompromitteret det belarusisske togsystem for at forhindre militærtransport og for at tiltrække offentlig opmærksomhed.

Så fordi det er svært at udtrykke modstand i Rusland og Belarus, er cyberangreb en måde at gøre det på under radaren?
Ja. Men det er meget svært at vurdere, hvor succesfuld cybermodstandskamp er. Én ting, der kan siges om cyberangrebene, er, at de patriotiske linjer er trukket meget skarpt op. Det er ekstremt interessant. En anden interessant tendens er, at der er sket et skifte blandt de cyberkriminelle. Tidligere har cyberkriminalitet været domineret af succesfulde grupper, som har tjent milliarder ved at presse virksomheder til at betale løsesummer. Nogle erklærede sig pro-russiske. Det overraskede ikke efterretningstjenesterne og forskere, for vi kan ret præcist identificere deres ophav. Men fordi grupperne tit består af partnerskab og afhængighed på tværs af lande fra det tidl. Sovjetunionen, skaber det urolighed og muligvis også fjendskab. Vi har i hvert fald set, at det har haft konsekvenser for en af de større ransomware(digital afpresning, red.)-grupper der har tjent mange penge på deres aktiviteter, også mod danske virksomheder.

Det vil have stor betydning for cyberkriminaliteten, fordi mange cyberkriminelle nu er identificeret og kan retsforfølges. Men det vidner også om, at den IT-kriminelle verden er i opbrud, og at dette opbrud udspringer i Rusland og de tidligere sovjetrepublikker. Opsnappede korrespondancer mellem ledende figurer i det cyberkriminelle miljø viser, at de forbander krigen i Ukraine, fordi den ødelægger deres muligheder for at tjene penge.

Hvis cyberkriminelle begynder at miste forretninger, fordi deres forretningspartnere ikke er politisk enige, vil det smitte af på hele cyberkriminalitetsniveauet i Vesten.

Er ransomware blevet brugt aktivt i krigen, eller er det undtagelsen snarere end reglen?
Jeg vil ikke sige, at det er brugt aktivt, men nogle af de grupper, som har tjent ekstremt mange penge på ransomware, har udtrykt politiske sympatier. Tag fx gruppen Conti, der tidligt udtrykte sympati med Rusland – men som altså havde glemt den ukrainske samarbejdspartner og generelt samarbejdspartnere fra det tidl. Sovjetunionen, der måske har svært ved at blive ved med at samarbejde, når Rusland bomber i Ukraine. Det betød i hvert fald for Conti, at en masse information omkring dem såsom arbejdsgange, personer m.m. blev lækket på internettet. Andre grupper har erklæret, at de slet ikke forholder sig til politik, men bare vil tjene penge. Så konflikten har været noget, som cyberkriminelle har måttet forholde sig til offentligt, og det kommer måske til at skabe et opbrud i den måde, man har ”tjent” penge på som cyberkriminel.

Og hvad betyder disse politiske angreb mellem cyberkriminelle for krigen i Ukraine?
Jeg er bekymret for, hvordan man fra russisk side tolker angrebene. Tolker Kreml det bare som angreb fra hackere, der er imod Rusland, eller vil man opfinde et narrativ om, at det er orkestreret af Vesten? Der har tidligere fundet angreb sted mod det russiske rumagentur, hvilket Rusland kaldte en krigserklæring, selvom vi formoder, at angrebene ikke var statssponsoreret, men udført af frivillige hackere.

Så der er en højere risiko forbundet med cyberkrig ført af private aktører end med statslig cyberkrig? Fordi private angreb ikke er proportionelle og lettere fører til eskalering?
Ja, det er jeg bange for. Man kan forestille sig en dansk hacker, der tager del i Ukraines cyberkrig mod Rusland, men ikke har kompetencerne til at beskytte sine informationer. Rusland vil da kunne se, at det er en dansk IP-adresse, der har forvoldt skade, og vil måske konkludere, at der er tale om et statssponsoreret angreb. Det synes ret sandsynligt, når den russiske kommunikation omkring krigen tages i betragtning. Det er et oplagt narrativ, der kan bruges som påskud for yderligere eskalering.

Kan man ikke omvendt sige, at det er en mulighed for at påvirke krigen til Vestens fordel, hvis den føres af decentrale aktører, Rusland ikke på samme måde kan retaliere imod?
Det kan man godt sige, men grunden til min bekymring er, at vi ikke ved, hvad Ruslands modsvar vil blive. Her taler jeg ikke om bomber og missiler, men Ruslands øjne bliver jo rettet mod Danmark, og det er Danmark, der har noget at miste. Vi er væsentligt mere afhængige af digital infrastruktur end Rusland.

Skal vi frygte et russisk cyberangreb?
Som situationen er nu, der er min vurdering ikke, at trusselsbilledet for danske virksomheder har ændret sig meget. Der, hvor det har ændret sig en smule, er for de virksomheder, som er knyttet til Ukraine eller krigen. Det kan være nødhjælp eller logistik og transport. Det er klart, at risikoen for angreb mod myndigheder er forhøjet, med den risiko vil altid være høj. For størstedelen af danske virksomheder har trusselsbilledet dog ikke ændret sig.

Mange militæranalytikere påstår, at vi endnu ikke set det værste af krigen. Gælder det samme for cyberangreb?
Det er svært at sige. Vi har kigget på det i meget lang tid, også før invasionen, men da der var forlydender om optrapning, var det naturligt at tænke, at så kom der også angreb i cyberspace mod Ukraine. Dem har vi endnu ikke set i så stor skala, som forventet. Det kan være, at vi ikke har opdaget dem, men om der kommer en eskalering i cyberangreb, er svært at sige. Måske vil en sådan eskalering komme fra private, patriotiske hackere snarere end fra Kreml, for Kreml fokuserer formodentlig på få centrale mål i Ukraine.

 

Man kan forestille sig en dansk hacker, der tager del i Ukraines cyberkrig mod Rusland, men ikke har kompetencerne til at beskytte sine informationer. Rusland vil da kunne se, at det er en dansk IP-adresse, der har forvoldt skade, og vil måske konkludere, at der er tale om et statssponsoreret angreb
_______

 

Det lyder, som om du frygter decentrale aktører mere, end du frygter den russiske stat.
Ja, for deres angreb er ukontrollerede, og situationen kan ændre sig hurtigt. Der skal bare lækkes én information, som bliver misforstået, så kan der udbryde konflikt mellem stater. Dét er jeg mere nervøs for, som billedet er lige nu, end et statsligt koordineret angreb fra Rusland mod Danmark.

Når man kigger på den russiske militærstrategi, der bryder med konventionerne, hvordan kan man så stole på, at Rusland vil overholde reglerne for cyberangreb?
Det tror jeg ikke, man kan. Det er meget svært at vurdere, hvilke spilleregler man vil følge fra russisk side. Men der er generelt meget få spilleregler i cyberspace. Selvom lande ønsker at overholde normer for cyberkrig, er det svært at inddæmme cyberangreb og kun ramme det ønskede mål. Der er meget høj sandsynlighed for, at de rammer kollateralt i hele verden. Det har vi en lang historik omkring. Det mest berømte eksempel er cyberangrebet mod uranberigelsesanlæg i Natanz i Iran, som spredte sig til mange andre lande over internettet. Et andet godt eksempel er, hvad vi så ramme Mærsk og andre globale virksomheder i 2015. Det var et angreb, hvor det er min vurdering, at man ville ramme Ukraine og deres infrastruktur, men angrebet ”flød over” til andre lande og blev en enorm bekostelig affære, der vurderes af havde kostet over 67 millarder kroner (iflg. Det Hvide Hus).

Bliver krigen i Ukraine verdens første egentlige cyberkrig?
Det er i hvert fald første eksempel på os-og-dem-mentaliteten. Den er ikke set før på en måde, hvor man er på enten Vestens eller Ruslands side. På den måde kan man godt sige, at det er den første storkonflikt med cyber. Dette bliver også interessant at se på den kommercielle side. Om der kommer en ”os mod dem”-mentalitet i softwareverdenen, hvor vi må formode at især Rusland er afhængig af både import og eksport af software og hardware.

Bekymrer det dig?
Ja, det synes jeg, er bekymrende. For vi ved jo ikke, hvad konsekvenserne af krigen bliver. Den kan få konsekvenser for internettet og måden, det bliver drevet på. Det kan være, at verdens ledere beslutter, at internettet skal være mere isoleret for at begrænse udbredelsen af cyberangreb. Min store frygt er en form for balkaniseret internet, hvor hvert land har sit eget, fordi man ikke kan stole på andre lande. Det kan blive én af de utilsigtede konsekvenser af den frivilligt drevne, decentrale cyberkrig. Blot fordi private aktører ikke har kompetencer til at vurdere effekten og konsekvenserne af angreb.

Hvad er den danske position ift. cyberkrig?
Jeg har ikke set noget officielt svar fra dansk side på, hvordan man forholder sig til, at danskere melder sig under den ukrainske cyberhærs faner. Det er en interessant juridisk problemstilling: Jeg må ikke hacke en dansker, men må jeg godt hacke et andet land som fx Rusland? Gælder loven så ikke her, fordi Danmark støtter Ukraine? Det har man ikke villet forholde sig til.

Mette Frederiksen har sagt, at hvis danskere drager i krig i Ukraine, står den danske stat ikke i vejen, men jeg tror ikke, man ville tillade danskere at medbringe Dannebrog på slagmarken. Men hvis man som hacker ikke er dygtig nok, dukker der en dansk IP-adresse op på fjendens skærm. Jeg talte for nylig i DR, hvor jeg snakkede med en, der havde forsøgt at finde ud af, om han lovligt kunne foretage cyberangreb mod Rusland. Han spurgte Center for Cybersikkerhed, som henviste ham til Justitsministeriet, som henviste til Center for Cybersikkerhed.  Det lader altså til, at ingen vil tage stilling.

 

Mette Frederiksen har sagt, at hvis danskere drager i krig i Ukraine, står den danske stat ikke i vejen, men jeg tror ikke, man ville tillade danskere at medbringe Dannebrog på slagmarken. Men hvis man som hacker ikke er dygtig nok, dukker der en dansk IP-adresse op på fjendens skærm
_______

 


Jens Monrad (f. 1979) har arbejdet med cybersikkerhed i over 20 år og har som chefanalytiker, rådgivet nogle af verdens største virksomheder, herunder finans-, regerings-, forsvars- og efterretningsorganisationer. Jens sidder i dag hos Mandiant, med det strategiske ansvar for trusselsefterretning i Cyberspace og er medlem af en række af interessegrupper med fokus på organiseret cyberkriminalitet og stats-sponsoreret cyber-spionage. ILLUSTRATION: En ukrainsk soldat bærer en såkaldt Guy Fawkes-maske tæt assoscieret med hackerkollektivet Anonymous i Kyiev, 27. februar, 2022 [Foto: Aris Messinis/AFP/Ritzau Scanpix].