Russisk hackergruppe i mail til DR: Vi står bag cyberangreb mod Danmark

Gruppen går efter Danmark, fordi de støtter ”ukrainske neo-nazister”, skriver anonym afsender.

En russisk hackergruppe har kontaktet DR og taget ansvar for den seneste tids DDoS-angreb på en række danske mål.

“God eftermiddag!”.

Onsdag kl. 14.28 dumper en usædvanlig mail ind i min indbakke.

Mailen er sendt af af den russiske hackergruppe 'NoName057(16)' som jeg siden tirsdag har holdt øje med. I mailen gør den anonyme afsender venligt opmærksom på, at to artikler på dr.dk indeholder en fejl.

Artiklerne peger nemlig på, at den russiske hackergruppe Killnet formodes at stå bag en række angreb på danske websites i finanssektoren. Angreb, som DR har skrevet flere artikler om, og som også betød, at Finansministeriets website var utilgængeligt onsdag.

- Faktisk forholder det sig ikke sådan. Angrebet blev udført af gruppen NoName057(16), og vi er på ingen måde forbundet med Killnet, skriver afsenderen til DR Nyheder.

Afsenderen linker i sin mail til en række opslag på beskedtjenesten Telegram.

Her tager NoName057(16) ansvaret for angrebene mod Danske Bank, Jyske Bank, Sydbank, Sparekassen Sjælland-Fyn, Bankinvest, Arbejdernes Landsbank samt Handelsbanken.

Screendump fra NoName057(16)s Telegram-kanal

Tonen i beskeden på Telegram er skadefro. Det morer blandt andet gruppen, at Arbejdernes Landsbank på Facebook 'tårevædet undskylder', at bankens hjemmeside er nede.

Rækken af opslag slutter triumferende med angrebet mod Finansministeriet:

- Game over✋ Det danske finansministerium modtog en del af angrebet fra os - siden virker ikke længere, skriver hackergruppen NoName057(16) på Telegram.

Vil skabe opmærksomhed på sig selv

Jan Kaastrup, der er sikkerhedsekspert hos CSIS, har sammen med DR Nyheder undersøgt sagen.

Og selvom også han først pegede på Killnet som bagmændene, er også han nu overbevist om, at NoName057(16) står bag.

Gruppens mailadresse stemmer overens med den, der oplyses på gruppens Telegram-kanal. Her har gruppen har også skrevet, når angreb var undervejs.

- På deres telegramkanal er der tidsstempler for, hvornår angrebet er blevet lanceret, og de svarer overens med, at det også er der, det sker, siger Jan Kaastrup.

Ifølge sikkerhedseksperten, der følger russiske hackergrupper tæt, er formålet med den direkte henvendelse til DR netop skabe opmærksomhed på gruppens navn:

- Motivet bag de her angreb er ikke at lave et kæmpe, katastrofalt angreb, men at komme i medierne og gøre opmærksomme på sig selv.

Vil hævne dansk støtte til Ukraine

Men hvorfor går gruppen efter Danmark, og hvorfor lige nu? Har andre bedt den om at angribe målene, eller samarbejder den med andre?

Torsdag kl. 9.15 tikker endnu en email ind.

Her erklærer gruppen, at det er Danmarks støtte til Ukraine, der er årsagen:

- Danmark støtter ukrainske nynazister og Bandera-juntaen, der tog magten i Ukraine, svarer gruppen.

De henviser til Stepan Bandera, som er en afdød ukrainsk højreradikal politiker, som ofte bruges af russiske medier til at underbygge påstanden om, at Ukraine styres af fascister.

Gruppen fortsætter i mailen:

- Det er nok for os til at sætte et angreb på jeres lands kritiske infrastruktur i gang. Banksektoren blev udvalgt, fordi den er en af de vigtigste komponenter i denne kritiske infrastruktur.

Hvem betaler jer?

- Hvorfor tror du vi modtager betaling? Ikke alt her i verden bliver købt og solgt. Der findes sådan nogle ting noget som ideologi og frivillighed.

Det handler om forfængelighed

Det lidet mundrette navn NoName057(16) er tilsyneladende en hackergruppe, der opstod sidste år. Ifølge sikkerhedsfirmaet Avast har gruppen stået bag angreb på regeringer, nyhedsmedier, militær og finansielle institutioner i Ukraine og de lande, der støtter dem.

Selvom gruppen øjensynligt har travlt med at blive krediteret, mener Jan Kaastrup, at gruppen har forbindelser til Killnet, som han også først troede stod bag:

- Vi ser her gruppe som en del af Killnet-familien, og der er nok også nogle af de samme mennesker. Det er en af de pro-russiske hackergrupper, der er opstået det seneste stykke tid.

Her morer hackergruppen sig over, at et af Danske Banks domæner kortvarigt var utilgængeligt.

Når det er så vigtigt for gruppen at sige, at de, og ikke Killnet, stod bag angrebet, handler det først og fremmest om forfængelighed, mener Jan Kaastrup.

- Men måske handler det også om at rekruttere nye medlemmer til at hjælpe dem med at lave de her angreb, siger han.

Angreb lagde bankers hjemmesider ned

Angrebene, der startede mandag og fortsatte til onsdag, betød, at hjemmesider og webtjenester hos en række danske banker var helt eller delvist utilgængelige.

Fredag morgen efter artiklens udgivelse er der nyt svar fra hackergruppen. Her tager de ansvar for et angreb på Nationalbanken. Gruppen skriver, at de imidlertid ikke har skrevet om angrebet på sin Telegram-kanal, fordi angrebet ikke lagde Nationalbankens site ned i hele verden.