Artikel top billede

Peter Kruse, CSIS, måtte sende de ansatte hjem på grund af angreb.

Dansk sikkerhedsfirma presset af russiske hackere

Det danske sikkerhedsfirma CSIS kom for tæt på en russisk it-bande og blev mødt med et altødelæggende DOS-angreb.

Angrebet fra russiske it-kriminelle rettet direkte mod det danske sikkerhedsfirma CSIS, er udtryk for en ny, stor udfordring i kampen mod it-kriminelle.

Det vurderer Peter Kruse fra det angrebne it-sikkerhedsfirma, CSIS, efter at firmaets efterforskningsenhed i går måtte sende medarbejderne hjem, fordi arbejdet blev umuliggjort af et voldsomt denial of service-angreb.

"Blot i løbet af det seneste år er de it-kriminelle blev rigtigt dygtige. Og især denne Storm-gruppe, som nu har angrebet os," siger Peter Kruse.

Stort netværk

I løbet af blot et år har Storm-gruppen rekrutteret over en million pc'er i hos eksempelvis private brugere med den såkaldte Worm-orm.

De fleste private brugere vil ikke have den fjerneste anelse om, at deres computer i virkeligheden er en slags sovende agent.

Og det er en yderst alvorlig størrelse, understreger Peter Kruse:

"Hvis de kriminelle benytter blot en promille af computerne, vil de straks kunne lægge et firma som vores ned. Hvis de bruger en procent, kan de lægge alle større virksomheder ned. Og bruger de al kraften, kan de lægge et helt land ned," siger Peter Kruse.

Angrebene – eller truslen om samme – er de it-kriminelles metode til at tjene penge, fortæller Peter Kruse.

Tjener allerede store penge

"Vi formoder, at de allerede tjener gode penge med at afpresse især onlinevirksomheder og kræve løsesum, hvis disse virksomheder vil undgå at blive lagt ned," siger Peter Kruse.

Han peger på, at især onlinekasinoer har været udsat for den trussel.

Og meget tyder på, at der er tale om russere.

"Der er flere ting, der peger i den retning. Det er helt tydeligt, at angrebene indeholder nogle budskaber, der indikerer et godt kendskab til russisk," siger Peter Kruse.

I søgelyset længe

Den såkaldte Storm-gruppe har i længere tid været i CSIS søgelys.

For at være på forkant med it-trusler, arbejder firmaets efterforskningsenhed i Skanderborg hele tiden på at komme så tæt på de it-kriminelles metoder som overhovedet muligt.

"Og i det arbejde er vi formentlig kommet lidt for tæt på," fortæller Peter Kruse.

Kom meget tæt på centrale noder

Faktisk var CSIS nået ret langt i arbejdet med at afdække arkitekturen i det kriminelle netværk, som er et avanceret P2P-netværk.

CSIS havde identificeret nogle meget centrale noder i netværket – herunder også nogle af de fastfluks dns-servere, som de it-kriminelle benytter til hele tiden at camouflere deres egne ip-adresser.

"Vi har formentlig sendt så meget støj, at de har opdaget os og rettet angrebet mod os," siger Peter Kruse.

Det var firmaets kontor i Skanderborg, hvor firmaet er koblet på internettet med en selvstændig fire Mbit ADSL-forbindelse.

Opsamlede 400 MB data

I løbet af eftermiddagen pingede bot-netværket IP-adressen i en sådan grad, at CSIS opsamlede godt 400 MB med helt små Internet Control Message Protocol-pakker (ICMP).

IP-adresserne fra afsenderne blev også lagret.

"Intet er så skidt, at det ikke er godt for noget. Vi er med i et globalt sikkerhedsnetværk. Her vil vi sammenholde oplysningerne med andre sikkerhedsfirmaer," siger Peter Kruse, der på den måde håber at kunne spotte mange af de computere, der blev anvendt i angrebet.

"Herefter vil der blive taget kontakt med de respektive internetudbydere, som forhåbentligt vil kontakte deres kunder og informere dem om, at deres pc'er er inficerede," siger Peter Kruse.

I dag forventer CSIC at genoptage arbejdet. Herefter vil jagten på de russiske it-kriminelle og deres metoder fortsætte.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere