Politiet mistænker danske børn på 13 år for at bestille hackerangreb

Den type hackerangreb, som seks danskere er sigtet for, bliver bl.a. brugt til afpresning mod virksomheder og til politisk afpresning, advarer FE. Det er ikke »drengestreger,« lyder Rigspolitiets opsang til mindreårige og deres forældre.

Seks danskere er i forbindelse med en stor international aktion blevet sigtet for at bestille cyberangreb på nettet, oplyser Rigspolitiet. Fem mindreårige har også bestilt angreb. Arkivfoto: Finn Frandsen

For under 100 kr. har fem danske børn under 15 år ifølge politiet købt og bestilt skræddersyede hackerangreb mod udvalgte mål via en ulovlig og nu lukket hjemmeside.

Seks andre danskere er sigtet i den opsigtsvækkende sag, mens de fem mindreårige er blevet afhørt sammen med deres forældre i en såkaldt »præventiv samtale«, oplyser Rigspolitiet.

De unge er blevet afsløret i en stor international aktion, hvor det europæiske politisamarbejde, Europol, i samarbejde med 20 lande har identificeret 150.000 brugere, der tilsammen har bestilt fire millioner såkaldte DDoS-angreb mod computere eller hjemmesider verden rundt.

Der er tale om cyberangreb, som bombarderer og overbelaster computerservere så hårdt, at hjemmesider kan gå i sort. Det var præcis sådan et angreb, der sidste år i maj fik DSB’s systemer til at bryde sammen, så passagererne bl.a. ikke kunne købe billetter.

Ulovlig hjemmeside

Den ulovlige hjemmeside, Webstresser.org, som solgte hackerangreb, blev lukket under en aktion sidste år, og bagmændene blev fængslet. Men først nu har efterforskningen udpeget tusindvis af personer, som har købt angreb, og dansk politi har været en del af den omfattende operation, som førte til flere anholdelser i januar, fortæller politiinspektør Claus Birkelyng, der er leder af Rigspolitiets Nationale Center for Cyber Crime (NC3).

»DDoS-angreb er strafbart og kan have store konsekvenser for dem, det rammer. Den type angreb generer rigtig mange mennesker. Hvis man f.eks. lægger DSB’s hjemmeside ned, virker rejseplanen og billetsystemet ikke,« siger Claus Birkelyng, der forklarer, at straffen for at udføre denne type angreb er helt op til to års fængsel.

Mange forældre er slet ikke klar over, hvad deres børn laver på nettet. Det har vi også set i andre sager med deling af sexvideoer eller dødsvideoer.

Claus Birkelyng, leder af Rigspolitiets Nationale Center for Cyber Crime (NC3)

»Dansk politi har sigtet seks personer, og så er der kørt fem præventive samtaler med de mindreårige, som er 13-14 år. Den yngste er kun 13 år,« siger Claus Birkelyng, der ikke kan oplyse, hvem der præcist er blevet angrebet, og hvilke hjemmesider de helt unge mennesker har bestilt angreb imod.

»Jeg tror, at nogle af de unge under 15 år har opfattet det som drengestreger, fordi man for 15 amerikanske dollars – under 100 kr. – på en hjemmeside kan bestille et DDoS-angreb. Måske har de unge ikke været klar over, at det er strafbart. Men det er alvorlig kriminalitet,« siger Claus Birkelyng.

Operation Power Off

I begyndelsen af 2018 beslaglagde hollandsk politi en mængde data fra en server, som blev brugt af den ulovlige hjemmeside Webstresser, som solgte hackerangreb.

Operationen blev døbt Power Off. Serverens database indeholdt bl.a. detaljer om brugere verden over, der havde købt DDoS-angreb.

I april 2018 blev bagmændene bag Webstresser anholdt, og siden blev lukket ned.

Nedlukningen har ifølge det europæiske politisamarbejde, Europol, ført til et fald i DDoS-angreb på 60 pct.

Operationen gav myndighederne detaljer om ca. 151.000 brugere af Webstresser.org.

I januar har politiet i 20 lande sporet og sigtet personer, som har bestilt angreb.

I Danmark er seks personer sigtet, ligesom fem mindreårige er blevet afhørt.

Sagerne omfatter følgende politikredse: Fyn, København, Midt- og Vestjylland, Midt- og Vestsjælland, Nordjylland, Nordsjælland, Syd- og Sønderjylland, Sydsjælland og Lolland-Falster og Sydøstjylland.

Kilde: Rigspolitiet

De unge under 15 år kan ikke sigtes, men politiet har oprettet en sag i systemet, og så er sagens alvor blevet indskærpet over for de unge, ligesom politiet forsøger at få forældrene mere på banen.

»Vi har taget en snak med den unge mand, som det typisk er, og hans forældre. Mange forældre er slet ikke klar over, hvad deres børn laver på nettet. Det har vi også set i andre sager med deling af sexvideoer eller dødsvideoer,« siger Claus Birkelyng.

Kan bruges til afpresning

Ifølge Kim Schlyter, der er ekspert i it- og cybersikkerhed og partner i konsulentfirmaet Deloitte, er det glædeligt, at det er lykkedes for politiet i Europa at bremse og optrevle en af de store ulovlige hjemmesider, som solgte DDoS-angreb, som kan skade både virksomheder og organisationers it-systemer.

»Der er tale om relativt alvorlige angreb, og det er skræmmende, at man på den mørke del af internettet bare kan gå ud og købe sig til disse angreb, hvor en række computere sættes ind mod et udvalgt mål,« siger Kim Schlyter og tilføjer:

»Når du relativt enkelt kan købe dig adgang til denne slags angreb, er det en trussel imod danske virksomheder. Man kan true en virksomhed med at lægge dens hjemmeside eller service ned, hvilket er dybt generende,« siger Kim Schlyter.

Han understreger, at DDoS-angreb ikke er blandt de mest ødelæggende cyberangreb, og at det er muligt at sikre sig med forskellige redskaber og eventuelle nødhjemmesider.

Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste (FE) advarer i den nyeste trusselsvurdering om, at de såkaldte DDoS-angreb også anvendes til »målrettet afpresning« mod virksomheder, og den udvikling bekræfter Kim Schlyter fra Deloitte.

»I december under det vigtige julesalg oplevede flere danske virksomheder direkte afpresning, og flere blev også ramt af angreb. Det kan være meget ødelæggende og dyrt i omsætningstab, specielt for de små virksomheder,« siger Kim Schlyter.

»Alene i november fik jeg mindst 10 henvendelser fra danske virksomheder, som blev forsøgt afpresset med trusler om DDoS-angreb. Nogle blev efterfølgende ramt,« siger Schlyter, der som et eksempel også nævner, at det i 2013 lykkedes hackere at lægge NemID ned med et DDoS-angreb, som blev sat på skinner for bare 10 dollars – eller lidt over 50 kr.

Ifølge chefen for Center for Cybersikkerhed, Thomas Lund-Sørensen, er der gennem årene mange unge, som har brugt DDoS-angreb til at angribe gaming-sider som f.eks. onlinespillet ”Minecraft”. Det kan f.eks. handle om at presse andre væk fra en spilserver, så de selv kan få en plads, forklarer han og understreger, at han ikke udtaler sig om Rigspolitiets konkrete sager.

Angreb Statsministeriet

»Men så er der også de hårde kriminelle, som laver organiserede angreb. Vi har f.eks. tidligere set et stort angreb mod et knudepunkt på den amerikanske østkyst, hvor mange vigtige funktioner blev lagt ned,« siger han.

»Det kan også blive brugt som afpresning mod virksomheder, men også som politisk afpresning. Det er dybt generende, hvis hjemmesider bliver lagt ned, men det er ikke samfundskritisk,« siger Thomas Lund-Sørensen og forklarer, at erfaringen viser, at hackertruslen mod danske myndigheder kan stige, hvis de pludselig kommer i cyberaktivisternes søgelys.

Det skete f.eks. i september 2017, da Statsministeriets, Udenrigsministeriets, Udlændinge- og Integrationsministeriets samt Nationalbankens hjemmesider blev gjort utilgængelige af DDoS-angreb, som tyrkiske cyberaktivister sandsynligvis stod bag.

BRANCHENYT
Læs også