Det er dybt professionelle cybergangstere, der står bag angrebet på danske netbanker, og netop nu er en hæsblæsende jagt i gang. Gangsterne forsøger at slette deres spor, inden sikkerhedseksperter indhenter dem.
Ahmad Shehzad, der er leder ad DK-Cert, kender ikke identiteten på de russiske cybergangstere, der står bag. Men han kender deres arbejde fra tidligere angreb.
"Det er bestemt ikke nybegyndere. De er knalddygtige. Koden er meget elegant og avanceret," siger han.
Det er netop den avancerede kode, der er et af de vigtigste spor i efterforskningen. Hackere efterlader sig aftryk i deres arbejde. Enten som direkte underskrifter, eller i form af måden hvorpå koden er programmeret.
"Det er rent detektivarbejde. Vi laver reverse enginering på den binære kode og tjekker alle data indtil vi finder et spor. Ofte kan man se, hvor programmøren er skolet i kode," siger Peter Kruse fra CSIS, der leder efterforskningen.
Programmering er meget lokalbestemt, og ofte har hackere i samme egn samme karakteristika. Derfor kan man ofte zoome ind på et bestemt land eller område blot ved at se på koden. For eksempel regnes den danske kode for meget minimalistisk.
Jo længere ind i koden Peter Kruse trænger, desto mere hedt bliver det for bagmændene. Netop nu er Peter Kruse dybt inde i den kode, der rystede det danske netbank system. Han kan ikke gå i detaljer om efterforskningen. Men en anden efterforskningen førte ham for nogle år siden til hackeren bag ormen Bagle.
Peter Kruse befandt sig pludselig midt i en krig, der blev udspillet med orme som våben. Russeren bag Bagle var nemlig i krig med konkurrenten bag Netsky ormen.
De skrev smædeord til hinanden dybt i koden, udfordrede hinanden til dueller og programmerede ormene til at æde hinanden. Ormekrigen fandt sted i 2004.
Peter Kruse sporede Bagle-ormens bagmand. Først opdagede han hackerens gmail, og når han søgte på mailen dukkede den op i fora, hvor hackeren forsøgte at købe en bil og brugte sit hacker-handle som profilnavn. Via handlet sporede Peter Kruse en betalings gateway, som hackeren brugte, og fra den gateway opdagede han en webside, hvor hackeren havde uploadet billeder af sig selv på luksusferie. Under billederne stod hans navn.
Samtidig blev det afsløret, at en tysk skoledreng stod bag Netsky ormen. Men russeren bag Bagle gik fri, selv om Peter Kruse overgav oplysningerne til Microsoft og FBI.
"Der mangler en ordenligt international politiindsats på området. Jeg kan ofte have fornemmelsen af, at mine anmeldelser bliver arkiveret lodret," siger han.
Det er meget lidt, man kender til russiske hackere. Der har kun været få sager, hvor de er blevet dømt i Rusland, og dem, der ikke er dømt, kender man i sagens natur sjældent identiteten på.
Men sikkerhedsfirmaerne har en grundig indsigt i, hvordan russerne og andre hackere opererer.
"De egentlige hackere er øverst i hierakiet. De sælger hackerprogrammer under dække af at de er til uddannelsesmæssige formål. Derfor er det fuldt lovligt at sælge værktøjerne, og der er ingen tvivl om, at hackerne griner hele vejen til banken," siger Peter Kruse.
Under hackerne sidder køberne af værktøjerne. De tager kontrol over tusindvis af computere. Herefter sælger eller lejer de dem til kriminelle. De kriminelle kan enten bruge dem til at spamme klodens befolkning eller til at få adgang til folks computer. I netbank-sagen i sidste uge, brugte de de inficerede computere til at få adgang til netbank-konti.
Nederst i hierakiet er muldyrerne. Muldyr er almindelige mennesker der tjener en skilling på at hæve penge på de stjålne konti og sende penge ud af landet med for eksempel Western Union. Netbank-gangsterne forsøgte at hverve danske muldyr på Jobnet i sidste uge.
Et af de redskaber, man kan købe af hackerne øverst i hierakiet, er Exploit Kits. Det er hackerprogrammer, der udnytter svagheder i for eksempel Adobes Flash. Det bliver løbende opdateret, så man hele tiden kan udnytte nye svagheder efterhånden som de gamle bliver lukket.
Russiske hackere brugte netop sårbarheder i tredjepartsprogrammer til at trænge ind på de 8.000 danske computere, der i sidste uge fik spærret adgangen til netbank.
"Jeg kan ikke understrege nok, hvor vigtigt det er at holde sine tredjepartsprogrammer som Java, Flash, Reader og Quicktime opdateret," siger Peter Kruse.
Blandt andet bruger nogle netbanker Java.
"Mange beskylder os i sikkerhedsbranchen for at råbe 'ulven kommer'. Men hvad skal vi ellers gøre? Ulven kommer, og så mange sidder advarslerne overhørig," siger Peter Kruse.
