På jagt efter mørkets mænd: "Det er klamt at arbejde med"

Medarbejderne i Rigspolitiets Nationale Cyber Crime Center kæmper en ofte ulige kamp mod pædofile og udenlandske storkriminelle, der bruger det mørke internet til deres lyssky handlinger. Sebastian Stryhn Kjeldtoft besøgte Danmarks bedste it-efterforskere, der bekriger grænseløs kriminalitet i en verden bygget på landegrænser.

På jagt efter mørkets mænd: 'Det er klamt at arbejde med'
Offentliggjort

Fra hemmelige i en havneby langs Middelhavets østlige kyst har it-kriminelle siden 2015 stjålet mindst 130 mio. kr. fra danske virksomheder. De gemmer sig i byens vindblæste højhuse, der er slidt farveløse af ørkensandet med udsigt over Middelhavets bug.

Med store antenner på stranden opsnapper israelsk politi bidder af de kriminelles telefonsamtaler, når snakken går om nye angreb eller overførsler til partnere i verdens hvidvaskcentraler, særligt London og Hongkong. Politiet optager det hele, men så længe, hackerne gemmer sig bag VPN-forbindelser, proxyservere og uregistrerede simkort, ved de ikke, hvilke døre de skal hamre ind. Som digitale spøgelser svæver hackernes stemmer mellem havnebyens tårne, og deres grådighed når langt.

De sidste to år har byen – som Euroman kender navnet på, men som vi af hensyn til politiets efterforskning ikke må fortælle præcis, hvor ligger – udviklet sig til et knudepunkt for grænseoverskridende it-kriminalitet. Det stiller helt nye krav til politiet.

I Danmark hjælper Rigspolitiets Nationale Cyber Crime Center (NC3) politikredsene, når de efterforsker de mest tekniske sager. Og som i andre former for kriminalitet, kan sagerne pludselig åbne sig, når de kriminelle kvajer sig.

”I en sag om 30 millioner kroner fik jeg 41 e-mails som bevismateriale, og i mail nummer 32 kiksede det for dem,” fortæller NC3-efterforsker Leif Andersen og fortsætter: ”Den gruppe, vi efterforskede, havde ansat en bogholder, som en sen aften arbejdede hjemmefra. Hun sendte en mail, som den mistænkte svarede på kl. 23. Men han havde glemt at slå sin VPN til. Så kunne jeg spore den rigtige IP-adresse.”

En VPN, eller et virtuelt privat netværk, er en tjeneste, som gør det muligt at sende krypterede data over nettet og dermed skjule, hvor man er. Det er et af våbnene i den konstante oprustningskamp mellem politi og kriminelle i cyberspace, og IP-adressen var en lille sejr til Leif Andersen.

”Men der kan være 2.000 kunder på en IP-adresse, så det var ikke nok til at lede politiiet til den rigtige dør,” siger han. ”På den måde er det ofte frustrerende at jage it-kriminelle. De bevæger sig gnidningsfrit over landegrænser på et splitsekund, og vi kan ikke følge efter dem. Jeg er en terrier, der bider mig fast, men kampen kan føles meget ulige.”

Leif Andersens kontor ligger på en afsides industrivej i Glostrup, 3.100 kilometer fra havnebyen ved Middelhavet. Det er syv timer væk i et fly, men kun 4,87 millisekunder væk i cyberspace. At internettet opløser tid og afstand, men kun for hackerne, er et grundvilkår for politiets efterforskere.

Leif Andersen er en lille, midaldrende mand med en lys stemme og en aura af genialitet. Han minder om regnskabsføreren i Brian De Palma-dramaet ’De uovervindelige’ fra 1987. Sådan en, de hårde politimænd ikke tager alvorligt, før han knalder Al Capone for teknisk skatteunddragelse. Som en af specialisterne i NC3 assisterer Leif Andersen det ’normale’ politi i efterforskning, der involverer computere eller internettet.

Det er her i NC3’s hovedkvarter, gemt bag høje mure og sikkerhedsdøre, at terror, radikalisering og nogle af Danmarks mest spektakulære kriminalsager efterforskes: bl.a. tunge narkosager, bande-drab, ubåds-parteringen og den såkaldte Randers-sag, der er danmarkshistoriens største pædofilisag. Den blev opklaret i NC3’s afsnit for Cyberrelateret Seksualforbrydelser, hvor de ansatte mindst fire gange årligt modtager psykologisk supervision for at sikre, at de ikke tager skade.

Hovedkvarteret ser væsentligt kedeligere ud, end det lyder. Her er ingen hårdkogte Allan Fisher-typer, der sprinter gennem gangene, men derimod hvide kontorlandskaber med computere. På væggen har nogen hængt et meme af en bananspisende Steve Carell fra komediefilmen ’Anchorman’ op. ’I changed all my passwords to ’incorrect’. So whenever I forget, it will tell me ’you’re password is incorrect,’ står der.

Det eneste scifi-agtige hos NC3, som du ikke finder på en civil arbejdsplads, er storskærmen med et blåt verdenskort, der i realtid viser globale cyberangreb. Hundredvis af røde, grønne og lilla striber skyder fra land til land som i et computerspil.

Computerlaboratoriet, hvor NC3 scanner harddiske, såsom Peter Madsens computer fra ubådssagen. De mange kabler bruges til at koble harddiske, mobiler og andet elektronik til, som gennemgås for bevismateriale.

Nogle af striberne repræsenterer en tyrkisk hackergruppe, som er i gang med et angreb på udenrigs- og udlændingeministeriernes hjemmesider.

På etagen er man ved at undersøge ubådsbygger Peter Madsens computer. Senere kommer det frem i pressen, at den indeholder ægte videoklip af kvinder, der bliver tortureret og myrdet.

I timerne inden mødet har Andersen efterforsket en såkaldt ransomware-sag. Et firma har betalt ’et ikke uvæsentligt beløb’ for at få adgang til deres egne computere, der er blevet fjernlåst af hackere. Det er en af de hastigst voksende typer af kriminalitet i Danmark lige nu.

Sagen er svimlende international. Andersen fulgte pengene til en kendt russisk bitcoincentral, hvis bagmand i sommer blev nuppet i Grækenland. Andersen har bedt om data fra centralen, som han vil bruge til at identificere gerningsmanden. Derudover har han skrevet til fire forskellige lande over hele verden angående fælles aktioner i middelhavsbyen, hvor flere af grupperne blev anholdt. Men andre gik fri, og Andersen har mistanke om, at de netop har snydt et dansk firma for 400.000 euro:

”I forgårs fik jeg data fra Indien, der bekræfter, at de har registreret et centralt internetdomæne fra mobile IP-adresser og betalt med prepaid kreditkort. Det er et kendt mønster.”

Sagen er et såkaldt CEO-fraud, en af de andre typer kriminalitet, NC3 i stigende grad efterforsker. De it-kriminelle snyder firmaer ved at udgive sig for at være ledende medarbejdere. Over telefon og mail narrer de kriminelle menige ansatte til at overføre større pengebeløb til udenlandske kontoer. Som regel for at gennemføre en vigtig handel, der ikke eksisterer.

Det kan lyde naivt, men de kriminelle er velforberedte, siger Leif Andersen. De benytter agenter, som ringer op og udgiver sig ud for at være topadvokater eller virksomhedsejere. Historien bakkes så op af en forfalsket hjemmeside, der til forveksling ligner et firma, den ansatte kender.

De kriminelle køber de nødvendige efterretninger på the dark web. Det er informationspakker lavet af personer med viden om en dansk virksomheds indkøbsplaner, ledelse og ansatte med økonomiansvar, som de kriminelle kan bruge til deres manipulation.

NC3 har ikke set sådan en pakke, men lederen af afsnit for avanceret digital kriminalitet, Sonny Olesen, tvivler ikke på, at de findes. Han baserer det på sager, hvor danske virksomheder inden for kort tid er blevet angrebet af flere forskellige hackergrupper ud fra samme særviden.

”Hackerne udnytter den tillid, der er mellem os i Norden,” siger Leif Andersen.

”En af mine sager omhandler en ung, nyuddannet pige, der fik et barselsvikariat i et firma som bogholder. Under et af de første møder fortæller chefen, at han er ved at opkøbe et firma i udlandet. Så da hun senere modtager en mail fra selvsamme chef om, at nu skal hun overføre et større millionbeløb for at gennemføre handlen, gør hun det selvfølgelig. Men mailen var falsk.”

Siden juni sidste år har Leif Andersen gennemgået lidt over 350 af sådanne CEO-fraud sager. Han mener at kunne sige med sikkerhed, at det har kostet danske firmaer mindst 180 mio. kr., som de har sendt ud af landet.

”Men tallet kan være højere,” siger analytikeren Rasmus Kolding bag sin computer, der står skråt over for Leif Andersens.

”Det er nok i virkeligheden 280 mio. kr., vi har tabt det sidste halvandet år. Men nogle gange når bankerne at tilbageoverføre beløbet, så det er svært at sige med sikkerhed.”

Ceo-fraud er gammel svindel på nye flasker og nye platforme. Da korsridderne drev Europas første bankvirksomhed, brugte de kryptering, såsom chifferskrift, til at sikre sig mod snyd. Men cyberspace byder også på nye trusler. Det erfarede rederigiganten A.P. Møller - Mærsk i juni 2017, da virksomheden blev ramt af et globalt cyberangreb, senere kendt som NotPetya.

Administrerende direktør Søren Skou var på vej tilbage fra frokost, da helvede brød løs. På vej op af Esplanadens trapper bemærkede han, at de ansatte rendte ’bogstaveligt talt forvildede rundt’. Det forklarede han for nylig til Dagbladet Politiken.

Kl. 13.30 gik også direktørens computer ned. Det digitale telefonsystem virkede heller ikke. Søren Skou havde på et øjeblik mistet forbindelsen til sine 88.000 ansatte i de 130 lande, Mærsk opererer i.

”Dem, man kunne holde møde med, var dem, man kunne finde på kontorerne. Det var meget surrealistisk,” forklarede Søren Skou.

Den 53-årige topchef var i vildrede, men blev reddet af Mærsks yngre ansatte, ”som lynhurtigt fik etableret WhatsApp- og Facebook-grupper. Inden vi gik hjem den aften, havde jeg kommunikation med alle dem, jeg skulle have kommunikation med,” sagde topchefen til Politiken.

Trods hurtig reaktion formåede angrebet at forstyrre den globale containerfragt i dagevis, og idag vurderer Mærsk, at angrebet har kostet koncernen et sted mellem 1,2 og 1,8 milliarder kroner.

Konfiskerede computere og andre elektroniske materialer. NC3 har ikke selvstændig jurdisdiktion, men assisterer politikredsene i hele Danmark, herunder også Grønland og Færøerne.

Hos NC3 vil de ikke snakke om deres rolle i efterforskningen af Mærsk-angrebet. Men ifølge The New York Times tyder meget på, at en hackergruppe med relation til Nordkorea står bag NotPetya. Den konkrete sikkerhedsbrist blev imidlertid udviklet af den amerikanske efterretningstjeneste, NSA, og stjålet der fra engang i 2016. Det sagde NSA bare ikke til nogen, så på en måde er USA medansvarlig for Mærsks milliardtab.

Cypercrime åbner for en ny, global juridisk virkelighed, som ingen national lovgivning, heller ikke Danmarks, rigtig er gearet til at håndtere. Men Mærsk-sagen er bemærkelsesværdig af flere grunde. En af dem er, at virksomheden har været så offentlig om angrebet. Tavsheden er en kæmpe udfordring, forklarer politikommissær Sonny Olesen:

”Der er store mørketal. Mange ting anmeldes ikke til politiet af forskellige årsager. Nogle virksomheder er bange for deres renommé. De opbevarer måske borgeres penge eller deres sundhedsoplysninger, og de frygter, at borgerne mister tilliden til dem,” siger han.

”Omvendt ændrer det jo ikke noget på de faktiske forhold. Enten er data stjålet, eller også er data ikke stjålet. Og uden anmeldelser har vi svært ved at se, hvor stort problemet er.”

Andre gange vælger virksomhederne ikke at anmelde, fordi det er svært for NC3 at opklare udenlandsk kriminalitet. Euroman har talt med to højtstående kilder fra danske farmaceutvirksomheder, der ikke ønsker at stå frem, men som deler den opfattelse. Sonny Olesen medgiver da også, at opklaringsarbejdet er svært uden for EUs politisamarbejde, Europol.

”Der er absolut lande, hvor det er svært for os at gennemføre en strafforfølgning. Jeg vil ikke hænge nogen ud, men ja, der er sorte huller på verdenskortet,” siger han.

Hvad er jeres opklaringsprocent på sager i lande, der falder uden for Europol-samarbejdet?

”Den er nok ikke så høj. Udfordringen er jo, at det er nemt at sidde som hacker i den ene ende af verden og masseangribe mål på den anden side af kloden. De er hurtige, de flytter sig geografisk, og de ændrer metoder. Det internationale politisamarbejde er ikke gearet til de hastigheder, distancer og omfang, it-kriminalitet opererer med i dag.”

’Det digitale rejsehold’ rykker ud.

Det nyder hackerne godt af i middelhavsbyen. Deres angreb kan udføres på et par millisekunder, mens det kan tage ugers eller måneders juridiske kolbøtter, før NC3 i Danmark får lov til at samarbejde med andre landes politi.

For nylig sporede Leif Andersen et angreb til et afrikansk land og fik kontakt til en lokal politimand, der gerne ville hjælpe. Men eftersom hændelsen er sket i et land, der ligger udenfor Danmarks normale samarbejdsområder, er det svært at udrede juraen. Leif Andersen ved derfor ikke, om dansk politi overhovedet må udveksle oplysninger med det pågældende land.

I NC3’s afsnit for Cyberrelateret Seksualforbrydelser kigger man bl.a. på børneporno. Somme tider er det de små detaljer, der kan få det til at isne ned ad ryggen på medarbejderne og gøre videoerne kvalmende realistiske.

”Pludselig står der et par Hello Kitty-gummistøvler, som er magen til dem, din datter har. Det kan være det, der gør videoen ægte. Som får dig til at knække,” fortæller Rebekka Schjellerup, der er juridisk chef i NC3.

Det var her, danmarkshistoriens største pædofilisag blev efterforsket. Det skete i tæt samarbejde mellem Østjyllands Politi, NC3’s afsnit for Cyberrelateret Seksualforbrydelser og politimyndigheder i Australien, USA, Rumænien og Holland.

Den tiltalte, 50-årige Torben Kjærhus Larsen fra Randers, misbrugte ikke kun selv børn. Højesteret dømte ham også for at have en lederrolle i de globale pædofiligrupper Hoarders Hell og The Love Zone.

Her stillede han krav til potentielle medlemmer om at producere ny børneporno for at få adgang.

Dommen fra Højesteret, som endte med forvaring, er barsk læsning. NC3-efterforskerne beskriver i detaljer indholdet af Randers-mandens computer. Sagsmapperne bærer nogle af navnene på ofrene, deriblandt spædbørn.

Ifølge chatbeskeder planlagde Randers-manden også at køre til Rumænien og bortføre et barn, som kunne holdes fanget hos en medsammensvoren i Sverige.

”Motivationen ligger i, at vi får skovlen under sådanne folk som ham,” siger Flemming Kjærside, daglig leder af afsnittet for cyberrelaterede seksualforbrydelser og en sammenbidt mand.

Kjærside siger, at han har set næsten alt, og man tror ham. Når han taler om sit arbejde, klasker bandeordene op ad væggen.

”90 procent af vores sager hernede er seksuelle overgreb mod børn. Det er klamt at arbejde med. Men når vi finder børnene og vrider dem ud af hænderne på en som ham, er det som at vinde en landskamp.”

Flemming Kjærside skal ud over opklaringsarbejdet også sørge for, at hans 20 ansatte har det godt. Udover faste psykologbesøg flere gange om året har de ansatte stående tilbud om psykologisk supervision. Hvis man har brug for en fridag, får man det. Alligevel er det umuligt ikke at blive påvirket, siger Flemming Kjærside.

”Det ene øjeblik sidder du herinde og ser en voksen mand misbruge et barn ved et puslebord. To timer senere står du derhjemme og skal skifte dit barn,” siger han og tilføjer:

”Vi er nok også slemme til at reagere på, hvordan andre behandler deres børn. Vidste du, at det mest usikre sted for et barn at opholde sig, er hjemme hos mor og far? Det lyder mærkeligt, men det er sandt. Det er næsten altid far, onkel, bror eller en ven af huset, som misbruger. Og du kan ikke på forhånd sige noget om, hvem de er. Vi fanger både præster, jurister og politimænd.”

Som i det øvrige NC3 kæmper Kjærsides folk hele tiden med den teknologiske udvikling. I en nylig sag på Københavns Vestegn fik en mand 12 års fængsel for at have livestreamet shows fra Filippinerne, hvor en mor misbruger sit barn for penge.

”Vi havde over 300 forhold mod ham … shows, han havde bestilt. Forestil dig det. En eller anden fattig mor står og siger: ’Hvad skulle det være?’. Så sidder du hjemme foran computeren og bestemmer. ’Slå barnet. Stik en shampooflaske op i numsen på barnet’… forbandet svineri,” siger Flemming Kjærside.

Familierne gør det ikke af lyst, men af armod, forklarer han. De får omtrent 20 dollars for et show. NC3 har eksempler på familier, der dedikerer ét af deres børn til misbrug, fordi det kan give mad på bordet og finansiere skolegangen for søster eller bror.

”Det er svært at arbejde med. Når vi tager folk til fange, ødelægger vi en forretning for familien. Vi ser det mere og mere,” siger Flemming Kjærside.

Sidst på dagen er NC3-efterforskerne i færd med at lukke deres computere ned. Andre kører videre med forensic-værktøjer, der kan søge i nuværende og slettet data. De ligner avancerede stifindere, der gennemtrawler harddisk efter harddisk.

De næste timer slipper hackerne i middelhavsbyen for terrieren Leif Andersen. Men alligevel gør det lidt mere ondt at være digitalt spøgelse for tiden, for Andersen har fået et nyt våben.

Et program, der med avancerede algoritmer kan spore beskidte penge gennem bitcoin-blockchains, selv om de er vasket hvide.

”Men i NC3 har vi ingen jurisdiktion,” siger Leif Andersen og fortsætter:

”Hackerne kan ramme tyve mål på et sekund, hvorfor vi skal hjælpe politikredsene med at identificere mønstre. Hvis ikke vi skynder os, når de kriminelle at ændre adfærd, før vi er i omdrejninger.”

Hvad skal der til, før I bliver i stand til at vinde det her kapløb?

”Vi kommer aldrig i nærheden af den hastighed, hackerne arbejder på. Men vi kæmper.”

LÆS OGSÅ: Mænd bliver også brugt i sugardating

LÆS OGSÅ: Anklager Kristian Kirk: "Det føles meningsfuldt at sende kriminelle i fængsel"

LÆS OGSÅ: Mads Tærsbøl har en særlig gave: Hans afføring doneres til syge