MediaWatch

Danske medier ramt af cyberangreb efter terrorattentater

Siden terrorangrebet i København og Paris er flere danske medier blevet udsat for cyberangreb. Efterforskningen strander ofte på grund af typen af angreb, fortæller politiet, som var forberedt på reaktioner.

Foto: Jens Dresling/Polfoto

Siden terrorangrebene i København og Paris har flere danske medier været udsat for ondsindede cyberangreb.

I alt har politiet modtaget to anmeldelser fra danske medier om cyberangreb siden terrorangrebene i København og Frankrig, fortæller Rigspolitiets center for cyberkriminalitet, NC3.

"Vi kan kun gisne om årsagerne til angrebene. Det kan være terrorangrebet i København, men det er ikke noget, som vi kan sige med sikkerhed, for det vil kræve, at gerningsmændene havde givet deres hensigt til kende. Men de medier, som har rettet henvendelse til os for at snakke om det her, har selv ment, at de er blevet angrebet, fordi de har dækket historien om 14. februar i København," siger politikommissær Martin Kofoed, leder af high tech-enheden ved Rigspolitiets Nationale Cyber Crime Center, også kaldet NC3.

NC3 er politiets værktøj i kampen mod cyberkriminalitet. I kølvandet på angrebet ved Krudttønden og synagogen i København i februar har NC3 modtaget en enkelt anmeldelse fra et dansk medie, mens politiet i alt har modtaget to anmeldelser siden angrebet i Frankring i starten at året, som ramte bla. satiremagasinet Charlie Hebdo.

Ifølge NC3 drejer begge medie-angreb sig om såkaldte Distributed Denial of Service-angreb (DDoS). Her har en eller flre gerningsmænd sat flere tusinde ip-adresser til gentagne gange at besøge mediernes hjemmesider og på den måde at stresse dem til i værste fald at gå ned. Angrebene er især udbredte, fordi værktøjerne er lettilgængelige og billige.

"Uden at negligere den effekt et DDoS-angreb kan have på et centralt it-system, så svarer det lidt til digitale drengestreger. Angrebet står ofte på i en kortere periode og kræver en aktiv handling, men tit og ofte kan systemerne komme op og fungere igen relativt hurtigt," siger Martin Kofoed, der tilføjer, at antallet af angreb kan være højere, fordi NC3 kun kender til dem, som er blevet anmeldt.

Nationale, regionale og digitale ramt

Hvilke danske medier, der er blevet angrebet, vil NC3 af hensyn til medierne ikke ud med. Ifølge MediaWatchs oplysninger er et stort dansk mediehus samt det hurtigtvoksende netmedie Dagens.dk dog blevet ramt af de såkaldte DDoS-angreb.

Angrebet mod Dagens.dk skete i februar og lagde mediet ned i mere ned i mere end 10 timer. Ifølge MediaWatchs oplysninger så TDC sig undervejs nødsaget til at afbryde forbindelsen til Dagens.dk's host, fordi angrebet påvirkede teleselskabets øvrige kunder.

Dagens.dk ville dog ikke selv bekræfte, at der var tale om en angreb udenfra.

"Vi havde lidt serverproblemer, som kostede noget nedetid. Det er blevet fixet, og nu kører tingene igen," skrev chefredaktør på Dagens.dk, Kasper Christensen, som også er direktør for Nyhedsgruppen ApS, der er selskabet bag Dagens.dk, i en email til MediaWatch dagen efter nedbruddet.

I slutningen af november sidste år, inden terrorangrebet i København, blev Jyske Medier også udsat for et hacker-angreb, da den statsstøttede syriske hackergruppe Syrian Electronic Army (SEA) iværksatte et ddos-angreb, som også ramte flere store internationale medier såsom The Daily Telegraph, The Independent og CNBC.

Efterforskning strander ofte

Det har endnu ikke været muligt for NC3 at finde frem til bagmændene bag de to anmeldelser fra danske medier. Det skyldes, at DDoS-angreb er yderst vanskelige at efterforske.

"DDoS-angreb er meget, meget svære at efterforske, hvis vi alene har oplysninger fra den forurettede. Så er det eneste, som vi har adgang til, en access-log på den server, som bliver angrebet. Her vil vi kun kunne se en masse ip-adresser, som angriber serveren. Men de mange ip-adresser, som bliver brugt til angrebet, er ikke nødvendigvis dem, der styrer det," siger Martin Kofoed.

Derfor har NC3 mest af alt bidraget med råd og vejledning til de danske medier, som har været angrebet.

Anderledes forholder det sig eksempelvis med såkaldte defacement-angreb, hvor bagmænd helt eller delvist overtager dele af en hjemmeside. Det skete senest for den franske tv-station TV5, som blev angrebet af hackergruppe, som hævdede at have forbindelse til Islamisk Stat. 11 kanaler under TV5 samt kanalens Facebook-side blev berørt. Gruppen udsendte bla. en besked på stationens hjemmeside med trusler mod TV5 og en hyldest til islamiske sharia-love.

Spor leder til Nordafrika

Ingen danske medier har anmeldt den type angreb til NC3, selvom NC3 kender til flere trusler mod danske medier om angreb.

I slutningen af februar blev mere end 40 danske hjemmesider, herunder det populære online-kogebogssite 123kogebog.dk, dog angrebet af en hacker med navnet Jarino8. Hackeren byttede indholdet på hjemmesiderne ud med budskaber om, at islam er fredens religion, og at de virkelige terrorister er USA og Israel.

Politiets efterforskning viser, at defacement-angrebene kan spores tilbage til ip-adresser i Nordafrika. Men om det betyder, at gerningsmændene befinder sig der, kan politiet ikke sige.

"Enten er det fordi gerningsmanden befinder sig i Nordafrika, eller fordi man er gået igennem en server, som befinder sig i Nordafrika. Det har vi ikke kunnet afdække med 100 pct. sikkerhed,” siger Martin Kofoed.

Advarsel efter terrorangreb

Angrebene på de danske medier kommer ikke som nogen overraskelse.

Kort tid efter terrorangrebet i København i februar var den nationale it-sikkerhedsmyndighed Center for Cybersikkerhed under Forsvarets Efterretningstjeneste ude med en advarsel om risiko for hackerangreb mod myndigheder, private virksomheder og medier.

"Erfaringsmæssigt efterfølges sådanne hændelser ofte af forskellige former for cyberangreb. Der er ofte tale om simple defacements af eller DDoS-angreb mod statslige og ikke-statslige hjemmesider, herunder mediehjemmesider," skrev Center for Cybersikkerhed i en pressemeddelelse.

"Der er med andre ord tale om simple angreb, der kan iværksættes uden nævneværdig forberedelse," lød det.

Erfaringerne var bla. baseret på, at flere franske medier blev udsat for hackerangreb i kølvandet på attentaterne i Paris. Medierne Le Parisien, Marianne og 20 Minutes var blandt de omkring 20.000 franske hjemmesider, som blev udsat for angreb. Ifølge chefen for cybersikkerhed i det franske forsvar kom angrebet fra "strukturerede" grupper og "velkendte islamistiske hackere".

Muhammed-krise udløste mere

Omfanget af angrebene i Danmark har dog overrasket dansk politi positivt.

"Baseret på de franske erfaringer havde vi forventet en større effekt efter terrorangrebet i København. Vi oplevede, at der var større interesse i at ramme danske hjemmesider efter Muhammed-krisen end ved terrorangrebet i februar,” siger Martin Kofoed.

Både JP/Politikens Hus, som ejer dagbladene Jyllands-Posten, Ekstra Bladet og Politiken, og Berlingske Media, der står Berlingske og Weekendavisen, har tidligere oplyst til MediaWatch, at de ikke har oplevet angreb eller øget aktivitet efter attentaterne i Købehavn.

Det har ikke været muligt at få en kommentar fra Danske Mediers arbejdsgruppe på området.

Mere fra MediaWatch

Briefing: Ugen i mediebranchen

Ny rapport om danskernes nyhedsbrug, første skridt mod aftale for DPCMO, startskud på Se og Hør-strategi og et nødopråb fra produktionsbranchen er blandt nogle af ingredienserne, der har sat smag på denne uge i mediebranchen. Få et overblik i ugens briefing.

EU vil kræve strengere kontrol med statslige annoncekroner

I et nyt udspil lægger Europa-Kommissionen nu op til flere krav til gennemsigtighed og fair tildeling, når alt fra regeringer til statsejede virksomheder køber reklameplads hos medierne. Forslaget møder opbakning hos Danske Medier, der dog overordnet ser lovforslaget som dårligt nyt for mediebranchen.

Læs også

Relaterede

Seneste nyt

MediaWatch job

Se flere jobs

Se flere jobs

Watch job

Se flere jobs

Se flere jobs