Klokken 18.13 lørdag den 31. januar indløb en email til TjekDets redaktion.

Afsenderen var en russisk hackergruppe, og i mailen stod, at tjekdet.dk var under DDoS-angreb. På det tidspunkt havde TjekDets hjemmeside i mindst en time været overbelastet og var gået helt i sort.

Dermed oplevede TjekDet på egen hjemmeside den russiske hybridkrig, som vi har dækket i en række artikler. For DDoS-angreb fra Rusland er blevet hverdagskost for danske virksomheder. Og cyberkriminelle lykkes ind imellem med at lægge både ministeriers, kommuners og sundhedsmyndigheder hjemmesider ned.

Britiske myndigheder advarer mod russiske DDoS-angreb, som er taget til kraftigt til de seneste år. Det samme gør Forsvarets Efterretningstjeneste i Danmark, hvor et flertal i Folketinget har sat millioner af til at beskytte mod cybertruslen. I Tyskland har et angreb tidligere på ugen givet udfald på hjemmesiden, hvor man køber billetter til tyske tog.

Men hvordan fungerer DDoS-angrebene egentlig? Og hvorfor lykkes russiske hackere gang på gang med at nedlægge mål ikke bare i Danmark, men myndigheder og virksomheder i hele Europa?

Svarene får vi fra eksperter i cybersikkerhed, og de kommer både omkring krig i Ukraine og zombie-køleskabe.

Danske virksomheder og myndigheder udsat for omfattende hackerangreb

Under angreb

Tiden spoler vi tilbage til 31. januar, hvor TjekDets egen bestyrelsesformand sidst på eftermiddagen ikke kan komme ind på tjekdet.dk. Hun skriver en sms til TjekDets chefredaktør, der heller ikke kan få adgang.

Samtidig løber mailen ind fra den russiske hackergruppe Inteid. De har haft gang i angrebet i en times tid, skriver de, og de forlanger at blive omtalt i en artikel og at blive anmeldt til politiet. 

Den russiske hackergruppe vil altså have opmærksomhed - ellers vil angrebene fortsætte, truer de.

Det digitale bureau Peytz, der står for TjekDets hjemmeside kan indledningsvis ikke se, at der skulle være et cyberangreb i gang. Men kort efter bliver det tydeligt, at der er en ekstraordinært stor belastning mod TjekDets hjemmeside.

“Der var tale om et klassisk DDoS-angreb. Trafikken kom ikke fra ét bestemt sted, men fra mange tusinde inficerede enheder rundt om i verden. Enhederne blev brugt til samtidig at sende store mængder trafik mod tjekdet.dk med det formål at overbelaste systemerne,” siger Anders Hal, der er teknisk chef hos Peytz.

Ovenstående var det billede læserne mødte, da de forsøgte at tilgå tjekdet.dk den 31. januar i år. Hjemmesiden blev ramt af et DDoS-angreb, der fik hjemmesiden til at gå offline. Den russiske hackergruppe tog undervejs ansvar for angrebet i en mail sendt til TjekDets redaktion. Foto: TjekDet

Først på aftenen hiver Peytz ekstra mandskab ind for at tage kampen op mod angrebet, så både deres eget operations-team og deres leverandørs vagtberedskab må i sving lørdag aften for at sørge for, at den skadelige trafik bliver holdt ude.

Et par timer forløber, hvor hjemmesiden er ustabil og skiftevis oppe og nede. 

“Der er et massivt netværk bag DDoS-angrebet,” lyder det i en opdatering fra Peytz til TjekDets chefredaktør. “Det er svært at blokere dem, men alle gør alt, hvad de kan.” 

Ved 22-tiden kan Peytz meddele, at angrebet er afværget. Det lykkedes dem at blokere cyberhæren af inficerede enheder.

Her er Operation Overload: Sådan bliver medier forsøgt udnyttet i russisk propagandakrig

Zombiehær med netadgang

De inficerede enheder spiller en nøglerolle i et DDoS-angreb. Der er tale om en cyberhær af forskellige maskiner, der har det tilfælles, at de kan gå på nettet.

På den måde stammer trafikken, der lagde tjekdet.dk ned, formentlig ikke kun fra computere, men også fra printere, køleskabe eller vaskemaskiner, der står i folks hjem. Fra armbåndsure om håndleddet på personer på et andet kontinent. Eller sågar fra brødristere, der kan styres med en app. 

Cyberkriminelle har sendt malware - en slags virus - ud og overtaget kontrollen med potentielt hundredtusindvis af enheder i alle verdensdele, som de kan dirigere mod én enkelt hjemmeside på én gang. I en cybersikkerheds-lingo bliver det kaldt et botnet eller en bothær.

“Der er mange internetforbundne enheder, som er dårligt sikrede og derfor nemme for cyberkriminelle at få kontrol over. Når du går i en elektronikbutik, prøver de at sælge dig en elkedel, der kan kobles på internettet. Min vaskemaskine er skuffet over, at jeg ikke tillader den at koble sig på internettet. Det er alle sammen enheder, der kan hackes og bruges til DDoS-angreb,” siger Jan Lemnitzer, der er ekspert i cyberkrig og underviser i cybersikkerhed på Copenhagen Business School.

Cyberkriminelle samler altså en hær af virusbefængte enheder, der kan gå på nettet. Herefter sætter de hæren til salg på det mørke net, hvor russiske hackergrupper kan betale sig til at få de hundredtusindvis af zombie-enheder til koordineret at angribe den samme hjemmeside på samme tid.

Sådan fungerer DDoS-angreb: Den russiske hacker lægger en bestilling ind hos en anden cyberkriminel. Han sender hele sin hær af inficerede enheder mod én hjemmeside på samme tid i forsøg på at overbelaste den og få den til at gå ned. Grafik: Nathalie Damgaard Frisch.

Billig ildkraft

DDoS-angrebene var egentlig gået lidt af mode, siger Jan Lemnitzer. 

Tidligere blev de især brugt af cyberkriminelle til at lægge virksomheders hjemmesider ned og tage dem som gidsler. Mod en stor løsesum kunne virksomheden købe deres hjemmeside tilbage.

Men med krigen i Ukraine har DDoS-angrebene fået en opblomstring, hvor ukrainerne og russerne konstant angriber kritiske hjemmesider på den anden side af grænsen.

Russiske hackeres DDoS-angreb på lande, der støtter Ukraine, er også taget til siden krigens udbrud i 2022. Efterretninger viser, at nogle af hackergrupperne angriber på foranledning af den russiske stat.

Årsagen er, at det er en billig og enkel måde at cyberangribe modstanderen på. 

“Den russiske stat har virkelig dygtige cyberkriminelle til at lave sofistikeret spionage. Her er der derimod tale om hackergrupper, der ikke har mange færdigheder. Til gengæld har de en enorm ildkraft, for en lille investering på måske 1.000 dollars kan give dem en regulær hær af maskiner, som de retter mod et udvalgt mål,” siger Jan Lemnitzer. 

Da hæren 31. januar blev rettet mod TjekDet, satte Peytz' automatiske forsvarsystemer ind.

Systemerne overvåger løbende trafikken på hjemmesiden, og holder øje med, at alt forløber normalt. Får systemerne øje på mistænkelige ip-adresser - det kunne være en stor mængde sydamerikanske tørretumblere - bliver de automatisk blokeret.

Under angrebet måtte Peytz justere på forsvaret og gøre filteret mere fintmasket, så mere trafik blev holdt ude. Men i perioder var trafikken for voldsom, siger Anders Hal.

“Når et angreb når en vis volumen og intensitet, kan der opstå perioder, hvor belastningen overstiger de normale kapacitetsgrænser, før filtreringen får fuld effekt. Det var årsagen til, at siden i perioder ikke var tilgængelig,” siger han.

Sådan ser det typisk ud på Telegram, når russiske hackergrupper meddeler at have angrebet hjemmesider i Danmark. Hjemmesiden check-host.net indeholder information om, hvorvidt en given hjemmeside har været tilgængelige for ip-adresser verden over på et givent tidspunkt, og hackerne bruger hjemmesiden som dokumentation for at have lagt danske mål ned.

Filter som forsvar

Overordnet set er der to ting at stille op mod et DDoS-angreb, siger Jacbo Herbst, der er teknisk chef hos sikkerhedsfirmaet Dubex.

Den ene bliver kaldt geoblokering, og den metode benyttede Rigspolitiet sig af, da hjemmesiden politi.dk blev angrebet i januar. I 11 timer i træk blokerede politiet for trafik fra andre lande. 

Så politi.dk var nede, hvis man besøgte siden fra en computer i for eksempel Rusland. Men danske brugere kunne komme ind på siden, som de plejer, og angrebet blev på den måde afværget.

Men mest fidus har han til at beskytte sig med en såkaldt cloudservice. Så vil der være et mellemled mellem trafikken og hjemmesiden, og når de cyberkriminelle angriber, er det egentlig det mellemled, de angriber, og ikke hjemmesiden.

På et pressemøde i december sidste år advarede forsvarsminister Troels Lund Poulsen om cyberangreb mod Danmark. Siden har et flertal i Folketinget lavet om en ny strategi for cybersikkerhed og afsat 211 millioner kroner frem mod år 2029 for at stå bedre rustet mod cyberangreb fra blandt andet russiske aktører. Foto: James Brooks / AFP

“Typisk har cloudservicen noget mønstergenkendelse, som kan spotte, at et angreb er undervejs. Så spærrer de for den pågældende trafik og tillader kun reel trafik,” siger Jacob Herbst.

“Derudover får man massiv båndbredde, og de har ressourcer til at følge med i nye angrebsmetoder. Samtidig kan de analysere trafikken, vurdere, hvor den kommer fra, og dermed filtrere den mistænkelige trafik fra, før det rammer hjemmesiden,” siger Jacob Herbst.

Selvom cybersikkerheden er blevet bedre, vil cyberkriminelle fortsat kunne lægge sider ned med overbelastningsangreb. Der er tale om et våbenkapløb i ubalance, hvor de cyberkriminelle hele tiden finder nye metoder. Virksomheder, der arbejder med cybersikkerhed, er oftest et skridt bagefter, siger Jacob Herbst. 

“Vi er nødt til at acceptere, at nogen derude spiller efter andre regler og har interesse i at genere os. Det her er jo dybest set en del af den russiske hybridkrig, som har til formål at ændre vores holdning om støtte til Ukraine,” siger han.

Hvis du kan lide TjekDets artikler og vil være sikker på ikke at gå glip af den nyeste, så følg os på Facebook ved at klikke her. Du kan også tilmelde dig TjekDets gratis nyhedsbreve, hvor vi tipper dig om vores seneste faktatjek, advarer om digital svindel og deler seneste nyt om mis- og desinformation – direkte i din mailindbakke. Tilmeld dig nyhedsbrevene her.