En IP-adresse fundet i CSC’s logfiler leder til en svensker, der er dømt for hacking. Sporet er aldrig blevet efterforsket i sagen om hacking af CSC’s mainframe, hvor svenske Gottfrid Svartholm Warg og danske JT er tiltalt.
Den mistænkelige IP-adresse optræder på samme log, som dokumenterer besøg på CSC’s webserver fra den cambodjanske IP-adresse, der kan knyttes til Warg. Besøg, der betegnes af anklageren som rekognoscering. Rekognoscering er måden et frygtet ’Advanced Persistent Threat’-hackerangreb begynder, forklarede Thomas Kristmar fra Center for Cybersikkerhed i sidste uge i Retten på Frederiksberg.
Et APT-angreb er avancereret, lød det fra Kristmar, så det kan ikke lige hentes ned fra hylden. Det er vedholdende, og truslen er høj, fordi bagmanden har tiden og ressourcerne, der skal til.
Det er et lignende angreb, som CSC’s mainframe blev udsat for i 2012, forklarede Kristmar i sagen, hvor danske JT er tiltalt sammen med svenske Gottfrid Svartholm Warg.
Rekognosceringsbesøget har til formål at samle information om målet, inden angrebet sættes ind. Og et script på CSC’s webserver har givet gerningsmanden en stor del af den information, han gik efter.
Scriptet environ.sh følger med som standard i installationen af webserveren, forklarede Martin Gohs fra CSC i sidste uge. Man kan tilgå scriptet ved at skrive dens url-adresse i browseren og få en masse information om server-versioner med videre.
»Det er offentligt tilgængeligt, men du skal vide, det er der. Det er typisk ikke noget, der har interesse for en almindelig bruger,« forklarede Gohs, da han torsdag vidnede i retten.
I en logfil fandt CSC, at scriptet var blevet tilgået af en tysk og en cambodjansk IP-adresse. Begge kunne lede til Gottfrid Svartholm Warg. Men på listen var også en række andre IP-adresser, der ikke er blevet undersøgt nærmere. En af disse knytter svensk politi til svenske MG, der sammen med Warg i 2013 blev dømt for hacking af firmaet Logica. MG er siden så sent som i marts i år igen blevet tiltalt for hacking i Sverige.
»IP-adresser kan bruges af mange«
It-efterforsker Flemming Grønnemose har af flere omgange vidnet i retten. Han er en del af det nationale IT-efterforskningscenter, NC3, der assisterer politiet i sager om it-kriminalitet.
»Hvorfor har man ikke efterforsket denne IP-adresse,« spurgte Wargs forsvarsadvokat Luise Høj.
»En IP-adresse kan bruges af mange,« svarede Grønnemose og tilføjede, at der ved netop denne IP-adresse står Bahnhof.
»Det ligner, at den kommer fra en banegård,« sagde efterforskeren.
Men den teori kunne Grønnemoses svenske kollega skyde ned fra vidnestolen den efterfølgende dag.
Bahnhof er blot navnet på en internetudbyder i Sverige og står derfor ved siden af IP-adressen, forklarede Jesper Blomström fra svenske SÄPO, der svarer til det danske PET. Blomström bekræftede desuden, at IP-adressen knyttes til MG, der sammen med Warg er dømt for hacking mod svenske Logica og Applicate. Begge selskaber har siden skiftet navn til henholdsvis CGI og Bisnode Information.
Den svenske IP-adresse optræder i CSC-loggen kort tid før de cambodjanske IP-adresser.
.
CSC: man finder en rød tråd og følger den
Heller ikke CSC har skænket mange tanker til IP-adressen, der peger mod Sverige. I sager som denne leder man efter en rød tråd, som man kan følge, fortalte Martin Gohs, der leder CSC’s sikkerhedsstrikeforce i Europa. Den røde tråd kom altså i dette tilfælde i form af sporene mod Cambodja og Warg.
Men det betyder omvendt, at CSC ikke har gået efter en bred undersøgelse af hackerangrebet. Det viser en rapport fra sikkerhedsfirmaet Romab, der lavede en ekstern undersøgelse af CSC efter det blev evident, at selskabet var blevet hacket.
Romab, der drives af den svenske sikkerhedsspecialist Robert Malmgren, måtte konkludere, at der ikke er nok information til at foretage en fuld undersøgelse. Mange logfiler er slettet, som følge af en standard tidsgrænse for, hvor lang tid de gemmes. Og kun et fåtal var blevet gendannet, fordi gendannelsen tager lang tid, berettede Robert Malmgren fra vidnestolen.
Der er ikke tilstrækkelig med logfiler til at træffe en professionel konklusion eller foretage en mere bredfavnet analyse af hændelsen, skriver Malmgren i rapporten.
Det er derfor heller ikke muligt at sige, om IP-adressen knyttet til MG – eller helt andre – optræder flere steder i CSC’s slettede logfiler.
MG indblandet i ny hackersag
MG blev af hensyn til stofmisbrug og psykiske problemer givet en anden straf i Logica-sagen end meddømte Warg. Dommen faldt den 20. juni 2013. Retsdokumenter fra Sverige, som Version2 er i besiddelse af, viser, at MG så sent som i marts i år blev varetægtsfængslet i en ny sag om hacking.
Han mistænkes denne gang for at have brudt ind i svensk politis person- og adresseregister flere gange i løbet af efteråret 2013. Første gang bare få måneder efter domsafsigelsen i Logica-sagen. MG har ifølge en protokol fra Stockholm Tingsrätt indrømmet hacking af politiet.
MG er ikke længere varetægtsfængslet og sagen er af ukendte årsager udsat til den 3. november 2014.
Robert Malmgren bedyrede over for forsvarer Luise Høj, at Warg var hovedmanden bag hacking af Logica, mens MG var en sekundær gerningsmand. Denne opfattelse kan dog ikke genkendes i domsafsigelsen fra den svenske retssag, hvor begge mænd findes skyldige for angrebet.
Hackersagen fortsætter tirsdag den 7. oktober, hvor Version2 vil være til stede i retten. Der forventes en dom den 31. oktober.
Leave a Reply