Angrebet fra russiske it-kriminelle rettet direkte mod det danske sikkerhedsfirma CSIS, er udtryk for en ny, stor udfordring i kampen mod it-kriminelle.
Det vurderer Peter Kruse fra det angrebne it-sikkerhedsfirma, CSIS, efter at firmaets efterforskningsenhed i går måtte sende medarbejderne hjem, fordi arbejdet blev umuliggjort af et voldsomt denial of service-angreb.
"Blot i løbet af det seneste år er de it-kriminelle blev rigtigt dygtige. Og især denne Storm-gruppe, som nu har angrebet os," siger Peter Kruse.
Stort netværk
I løbet af blot et år har Storm-gruppen rekrutteret over en million pc'er i hos eksempelvis private brugere med den såkaldte Worm-orm.
De fleste private brugere vil ikke have den fjerneste anelse om, at deres computer i virkeligheden er en slags sovende agent.
Og det er en yderst alvorlig størrelse, understreger Peter Kruse:
"Hvis de kriminelle benytter blot en promille af computerne, vil de straks kunne lægge et firma som vores ned. Hvis de bruger en procent, kan de lægge alle større virksomheder ned. Og bruger de al kraften, kan de lægge et helt land ned," siger Peter Kruse.
Angrebene – eller truslen om samme – er de it-kriminelles metode til at tjene penge, fortæller Peter Kruse.
Tjener allerede store penge
"Vi formoder, at de allerede tjener gode penge med at afpresse især onlinevirksomheder og kræve løsesum, hvis disse virksomheder vil undgå at blive lagt ned," siger Peter Kruse.
Han peger på, at især onlinekasinoer har været udsat for den trussel.
Og meget tyder på, at der er tale om russere.
"Der er flere ting, der peger i den retning. Det er helt tydeligt, at angrebene indeholder nogle budskaber, der indikerer et godt kendskab til russisk," siger Peter Kruse.
I søgelyset længe
Den såkaldte Storm-gruppe har i længere tid været i CSIS søgelys.
For at være på forkant med it-trusler, arbejder firmaets efterforskningsenhed i Skanderborg hele tiden på at komme så tæt på de it-kriminelles metoder som overhovedet muligt.
"Og i det arbejde er vi formentlig kommet lidt for tæt på," fortæller Peter Kruse.
Kom meget tæt på centrale noder
Faktisk var CSIS nået ret langt i arbejdet med at afdække arkitekturen i det kriminelle netværk, som er et avanceret P2P-netværk.
CSIS havde identificeret nogle meget centrale noder i netværket – herunder også nogle af de fastfluks dns-servere, som de it-kriminelle benytter til hele tiden at camouflere deres egne ip-adresser.
"Vi har formentlig sendt så meget støj, at de har opdaget os og rettet angrebet mod os," siger Peter Kruse.
Det var firmaets kontor i Skanderborg, hvor firmaet er koblet på internettet med en selvstændig fire Mbit ADSL-forbindelse.
Opsamlede 400 MB data
I løbet af eftermiddagen pingede bot-netværket IP-adressen i en sådan grad, at CSIS opsamlede godt 400 MB med helt små Internet Control Message Protocol-pakker (ICMP).
IP-adresserne fra afsenderne blev også lagret.
"Intet er så skidt, at det ikke er godt for noget. Vi er med i et globalt sikkerhedsnetværk. Her vil vi sammenholde oplysningerne med andre sikkerhedsfirmaer," siger Peter Kruse, der på den måde håber at kunne spotte mange af de computere, der blev anvendt i angrebet.
"Herefter vil der blive taget kontakt med de respektive internetudbydere, som forhåbentligt vil kontakte deres kunder og informere dem om, at deres pc'er er inficerede," siger Peter Kruse.
I dag forventer CSIC at genoptage arbejdet. Herefter vil jagten på de russiske it-kriminelle og deres metoder fortsætte.
