De russiske stats-hackere: Fancy Bear og APT 28

Russiske efterretningstjenester har ikke kun haft en finger med i det amerikanske valg. Også det tyske parlament og det ukrainske militær er blevet ramt.

Russiske hackere har fået ukrainske soldaters smartphones til at afsløre ejermandens placering. (Foto: Silas Stein © Scanpix)

I går gav Præsident Obama ordre til at sende 35 russiske diplomater ud af USA. Det skete som straf for, at russiske efterretningstjenester angiveligt har brugt hacking til at blande sig i udfaldet af den amerikanske valgkamp.

I løbet af året er der piblet flere og flere detaljer frem om hackerangreb på IT-systemer som angiveligt skulle være begået af russiske efterretningstjenester. Det drejer sig både om angreb på den tyske Forbundsdag og angrebene på to af det demokratiske partis organisationer i USA.

Beviserne peger angiveligt på at alle angrebene er begået af samme aktør, som i IT-sikkerhedskredse går under kodenavnene APT 28 og Fancy Bear.

Cyberkrig i Ukraine

Kort før jul offentliggjorde det amerikanske IT-sikkerhedfirma Crowdstrike så et blogindlæg, der peger på at APT 28, som Crowdstrike formoder er en del af en russisk efterretningstjeneste, også har været aktiv med hackerangreb og cyberkrigsførelse i Ukraine-konflikten.

Militære hackerangreb bliver diskuteret mere og mere internationalt, ligesom Folketinget og det danske forsvar også undersøger, hvornår og hvordan Danmark kan bruge hacking offensivt.

Derfor er blogindlægget fra Crowdstrike værd at se nærmere på, da det giver et detaljeret indblik i, hvordan en efterretningstjeneste kan udnytte svagheder i IT-sikkerhed og dermed skaffe sit land en fordel - for eksempel ved at indhente præcise GPS-data på fjendens soldater.

Forræderisk sigte-app

Historien om, hvordan russiske hackere kunne aflure, hvor ukrainske styrker præcist befandt sig, begynder med den ukrainske officer Yaroslav Sherstuk. Han udviklede en android-app til de ukrainske artilleri-styrker i Ukraine-konflikten.

Appen gjorde processen med at indstille haubitser-kanonerne hurtigere, så de ukrainske soldater kunne affyre flere skud i minuttet. I interviews med forskellige medier fortalte opfinderen af appen, Yaroslav Shertstuk, stolt, at hans app havde over 9000 brugere.

Men appen blev også problematisk for de ukrainske styrker. I årene 2014-2016 florerede en anden udgave af appen med et par linjer ondsindet kode indsat - også kaldet malware. Malwaren påvirkede ikke appens funktion og var dermed usynlig for den almindelige bruger.

Den fremmede kode sendte dog telefonens GPS-lokationsdata direkte til den russiske militære efterretningstjeneste. Ikke overraskende led det ukrainske artilleri store tab i forhold til resten af den ukrainske hær.

App afslørede russisk forbindelse

Og da Crowdstrikes eksperter kigger nærmere på malwaren, som blev anvendt mod det ukrainske artilleri, finder de noget opsigtsvækkende. I computerkoden finder firmaet de samme unikke kodestumper og metoder, som også blev brugt til at hacke den tyske Forbundsdag og Demokraterne i USA.

Og de særlige metoder peger ifølge Crowdstrike tilbage på én ophavsmand: APT28 eller Fancy Bear.

APT står for Advanced Persistent Threat, og gives til en sofistikeret IT-sikkerhedstrussel, som kan lave langsigtede angreb og være aktiv over længere perioder. APT-betegnelsen knytter sig derfor oftest til hackere ansat i efterretningstjenester, der har betydelige ressourcer i ryggen.

IT-sikkerhedseksperter kan skille de forskellige aktører fra hinanden ud fra deres valg af mål og brug af metoder. Og den APT, som har fået nummer 28, vurderer de amerikanske IT-sikkerhedseksperter altså som værende den russiske militære efterretningstjeneste GRUs hacker-enhed.

Crowdstrike finder altså frem til, at den samme IT-sikkerhedstrussel, som firmaet formoder er russiske statsansatte hackere, både har blandet sig i det amerikanske valg, har stjålet dokumenter fra det tyske parlament og installeret en spion-app i ukrainske soldaters telefoner.