DATAANGREPET

Katt og mus med nettpiratene

Da Dagbladet avslørte at tusenvis av norske nettsteder ble misbrukt i spam-annonser, forsøkte piratene å kamuflere nettstedene ved å fylle dem med gresk tekst.

LINKET SAMMEN: Et graf-bilde som 8000 av domenene i samlingen, altså 10% av nettverket. Hver røde prikk er et piratnettsted. Strekene er lenker mellom de. Grafikk: Tor-Henning Ueland
LINKET SAMMEN: Et graf-bilde som 8000 av domenene i samlingen, altså 10% av nettverket. Hver røde prikk er et piratnettsted. Strekene er lenker mellom de. Grafikk: Tor-Henning UelandVis mer

Dagbladets avsløringer av et omfattende dataangrep har utløst en katt og mus-jakt i skjulte rom på nettet. Da Dagbladet begynte å undersøke piratenes nettsteder, forsøkte piratene å kamuflere spam-sidene sine for at de ikke skulle finnes igjen.

Kamuflasjen var gresk for de aller fleste.

Omfattende angrep

Dagbladet har avslørt at nettpirater i flere måneder har angrepet og stjålet innhold fra de fleste av Norges største aviser, offentlige nettsteder som Statens Vegvesen og Fylkesmannen.no og utenlandske giganter som BBC.

Totalt har Dagbladet funnet at over 80 000 nettsider er angrepet. Ved å lage et dataprogram som analyserte spam-nettstedene fant Dagbladet at de aller fleste krysslenket til hverandre og at spam-sidene dermed framsto som et organisert dataangrep.

Angriperne brukte innhold fra Dagbladet, VG og NRK – blant andre – til å lure nettbrukere inn på både pornosider og til en rekke annonsenettsteder. Hensikten ser ut til å være å få folk til å gi fra seg personopplysninger - hvorpå dette legges ut til salg. Flere spor ledet til selskaper i Tyskland, Sverige og Norge.

Derfra kom du deg ikke ut igjen, med mindre du enten lukker hele nettleseren så alt du surfer på blir borte, er nettkyndig nok til å stenge bare den aktuelle fanen - eller gjør det konkurransen ber deg om.

HELT GRESK: Denne siden inneholdt tidligere kopiert innhold fra BBC. Etter at Dagbladet begynte å grave ble innholdet endre til gresk.
HELT GRESK: Denne siden inneholdt tidligere kopiert innhold fra BBC. Etter at Dagbladet begynte å grave ble innholdet endre til gresk. Vis mer

Skjult hos milliardær

Dagbladet har undersøkt spam-nettstedene, og funnet følgende fellestrekk:

  • Dagbladet har avslørt at to IP-adresser registrert i Frankrike ble brukt til å «crawle» innhold fra spam-sidene: å samle opp nye spam-sider med falskt innhold fra Dagbladet og VG, og sørge for at de ble registrert i Google-treffene når folk søkte på Dagbladets og VGs innhold. IP-adressene er registrert hos Online.net – en nettjeneste drevet av et kontroversielt nettselskap eid av milliardæren Xavier Niel, Frankrikes 7. rikeste mann. Etter at Dagbladet la fram sine funn har det franske firmaet ryddet opp – og stengt flere servere piratene disponerte. Sikkerhetssjef Hedi Serradj sier imidlertid at de ikke kan opplyse om hvem som eier IP-adressene uten en rettskjennelse.

  • Spam-sidene bruker en såkalt «navneserver» registrert hos selskapet Cloudflare til å skjule sin identitet. I utgangspunktet er en navneserver en server som oversetter domenenavnene vi bruker i nettleseren – dagbladet.no, vg.no, nrk.no – til tall. Tallene blir så satt sammen til IP-nummer, og nettsiden får sin IP-adresse, som igjen gjør den mulig å spore på Internett. Men Cloudflare tilbyr servere som fungerer som et gjerde mellom nettsted-eieren og nettbrukeren foran skjermen hjemme. Cloudflare-serverne skjuler nettstedets opprinnelige opphav. I stedet får du bare opp Cloudflare-serverens adresse.

  • En stor andel av spam-nettsidene er registrert i det vestafrikanske diktaturet Ekvatorial-Guinea, og på stillehavsøya Tokelau. De eksotiske adressene skyldes at spam-nettsidene er registrert via nettjenesten Freenom – som tilbyr rask og anonym registrering av nettsider, nettopp i Ekvatorial-Guinea og på Tokelau.

HELLAS: Spam-sidene ble kamuflert med gresk innhold. Foto: John T. Pedersen /Dagbladet
HELLAS: Spam-sidene ble kamuflert med gresk innhold. Foto: John T. Pedersen /Dagbladet Vis mer

Rapporterte

Cloudflare har nektet å opplyse Dagbladet hvem som disponerer spam-sidene, mens Freenom-sjef Joost Zuurbier ikke har besvart Dagbladets henvendelser. Ingen av nettjenestene har ønsket å sette Dagbladet i kontakt med personene bak dataangrepet, tross gjentatte henvendelser. Cloudflare har i et intervju med Dagbladet forklart hvordan de ser på sin rolle.

Men både Online.net, Freenom og Cloudflare har et såkalt «abuse»-system, der du kan rapportere inn misbruk eller upassende innhold.

Dagbladet har sendt detaljerte rapporter via abuse-systemene hos Online.net, Freenom og Cloudflare, Det fikk nettpiratene å reagere.

I rapportene Dagbladet sendte til Online.net, Freenom og Cloudflare ba vi personene bak spam-sidene om å ta kontakt. Det har ikke skjedd. I stedet forsøkte nettpiratene å gjemme spam-sidene slik at de kunne fortsette sin virksomhet i fred.

STATLIG: Denne nettsiden inneholdt tidligere stjålet innhold fra Statens Vegvesen. Så ble innholdet endret til gresk.
STATLIG: Denne nettsiden inneholdt tidligere stjålet innhold fra Statens Vegvesen. Så ble innholdet endret til gresk. Vis mer

Kamuflerte seg

En etter en ble spam-sidene der det stjålne innholdet fra blant annet Dagbladet, VG, BBC og Fylkesmannen.no hadde ligget, kamuflert. Det norske innholdet ble fjernet, og erstattet med innhold på gresk.

Sidene inneholder nå informasjon hentet fra greske nettsteder – stjålet på samme måte som det norske innholdet fra Dagbladet og VG.

Selv om brukere som besøker disse sidene direkte fikk opp innhold fra en tilfeldig gresk nettside, ble Googles systemer lurt og fikk servert stjålet innhold fra Norge og andre land. Slik kan Google fortsette å levere det innholdet i sine søkeresultater.

Sporene

Sporene fra spam-annonsene har ledet til flere selskaper, som har tjent gode penger på virksomheten:

Et av dem er Egentic, et tysk selskap som i 2001 ble stiftet i stua til en adelsmann i Frankfurt.

Andre selskaper er svenske Creative Marketing og flere nederlandske markedsføringsselskaper.

Konsekvensen for vanlige nordmenn, som trykker på annonsene de får opp, er at personopplysningene deres blir solgt til de som ønsker å kjøpe dem. Og at de rennes ned av spam-reklame.