Russiske elitehackere har omdirigeret europæisk internettrafik og skabt et alvorligt retligt sikkerhedsproblem
Advarslen fra britiske og tyske sikkerhedsmyndigheder er usædvanligt alvorlig, fordi angrebet ikke alene handler om enkelte kompromitterede computere, men om selve den infrastruktur, som styrer trafikken videre på nettet. Når en router først er overtaget, kan den bruges som et skjult mellemled, hvor følsomme oplysninger passerer igennem uden brugerens viden.
Det betyder i praksis, at adgangskoder, kontooplysninger og andre legitimationsdata kan blive opsnappet, selv om den enkelte bruger tror, at forbindelsen går direkte til en legitim tjeneste. Risikoen rammer derfor ikke kun private hjem, men også virksomheder, myndigheder og aktører med adgang til kritiske data.
Det skriver NCSC, BfV, BND, FBI og Reuters, som alle peger på den russisk tilknyttede hackergruppe APT28 som central aktør i den aktuelle kampagne. Ifølge de officielle advarsler er metoden brugt i stor skala, og myndighederne vurderer, at formålet især har været at identificere og udvælge mål med efterretningsmæssig værdi. Det skriver bl.a. ncsc.gov.uk. APT28 er også kendt som Fancy Bear eller Pawn Storm.
Routeren er blevet angrebets vigtigste indgang
Kernen i sagen er, at APT28 ifølge den britiske cybersikkerhedsmyndighed NCSC har udnyttet sårbare routere til at ændre DHCP og DNS indstillingerne, så internettrafik blev ledt gennem servere, som angriberne selv kontrollerede. Når det sker, kan brugeren blive sendt til falske eller manipulerede destinationer, eller trafikken kan blive læst undervejs, uden at forbindelsen nødvendigvis ser mistænkelig ud for den almindelige bruger.
NCSC beskriver udtrykkeligt, at denne teknik gør det muligt at gennemføre såkaldte adversary in the middle angreb, hvor angriberen placerer sig mellem offeret og den legitime tjeneste. Dermed kan der høstes adgangskoder, OAuth tokens og andre legitimationsoplysninger fra både browserforbindelser og skrivebordsprogrammer. Angrebet er med andre ord ikke begrænset til et enkelt website, men kan ramme hele den digitale identitet, som brugeren eller organisationen anvender i daglig drift.
Det britiske varsel angiver samtidig, at kampagnen har været i gang siden 2024 og fortsat ind i 2026. Myndighederne vurderer, at fremgangsmåden først bruges bredt mod mange potentielle ofre og derefter målrettes mod personer eller organisationer, som vurderes at have særlig efterretningsmæssig interesse. Det gør trusselsbilledet mere alvorligt, fordi kompromitteringen i første omgang kan se tilfældig ud, men senere udvikle sig til meget præcis spionage.
Tyske myndigheder peger på efterretning mod stat og kritisk infrastruktur
Den tyske indenlandske efterretningstjeneste BfV oplyser, at APT28 blandt andet har udnyttet forældede TP Link routere, og at flere tusinde offentligt tilgængelige enheder globalt har været udsat. I Tyskland blev der ifølge myndighederne konstateret konkrete kompromitteringer, hvorefter berørte operatører modtog anbefalinger om at hærde de sårbare enheder, og mange routere blev udskiftet. (Bundesamt für Verfassungsschutz)
BfV knytter gruppen til den russiske militære efterretningstjeneste GRU og fremhæver, at formålet med kampagnen er at skaffe oplysninger om militær, regering og kritisk infrastruktur. Den tyske BND har i en parallel offentlig meddelelse beskrevet operationen som en storstilet DNS hijacking kampagne udført via sårbare routere med henblik på at opsnappe følsomme oplysninger.
Det er også derfor, at historien ikke bør læses som endnu en teknisk sikkerhedsnotits. Når netværksudstyr i hjem og kontorer kan bruges som aflytningspunkt, flytter angrebet sig fra traditionel it kriminalitet over i et felt, hvor statsstøttet efterretning, forsyningssikkerhed og samfundskritiske funktioner rammes samtidig. Det er retligt og strategisk væsentligt, fordi kompromitteringen kan vedrøre både personoplysninger, forretningshemmeligheder og kommunikation, der er beskyttet af særlige fortrolighedsregler.
DNS manipulation giver adgang til mere end blot trafikdata
DNS beskrives ofte som internettets telefonbog, men i juridisk og praktisk forstand er funktionen langt mere central. Når en angriber kan ændre, hvilke DNS servere en router bruger, får angriberen mulighed for at styre, hvor bestemte forespørgsler besvares fra. NCSC beskriver netop, at kompromitterede routere blev sat til at anvende angriberkontrollerede DNS servere, hvorefter bestemte opslag, navnlig mod mail og loginrelaterede tjenester, blev omdirigeret til yderligere infrastruktur under angribernes kontrol.
Det er derfor misvisende at opfatte sagen som et spørgsmål om, hvorvidt nogen blot kunne “se med” på trafikken. Når angriberen placerer sig aktivt mellem bruger og tjeneste, opstår der også risiko for ændring af indhold, sessionstyveri, misbrug af tokens og efterfølgende uautoriserede logins. I praksis kan en enkelt kompromitteret router dermed åbne adgang til mailkonti, cloudtjenester og interne systemer, som virksomheden ellers troede var beskyttet af almindelig login kontrol.
Det retlige ansvar stopper ikke ved it afdelingen
For virksomheder og myndigheder i Europa rejser denne type angreb et klart spørgsmål om overholdelse af cybersikkerheds og databeskyttelsesregler. NIS2 direktivet pålægger centrale og vigtige enheder at gennemføre passende tekniske, operationelle og organisatoriske foranstaltninger til styring af cybersikkerhedsrisici, herunder sikkerhed i netværks og informationssystemer samt håndtering af hændelser og forsyningskæderisici. (EUR-Lex)
På persondataområdet er GDPR artikel 32 fortsat helt central, fordi den kræver, at den dataansvarlige og databehandleren gennemfører passende sikkerhedsforanstaltninger under hensyn til risikoen. Hvis kompromitteringen medfører brud på persondatasikkerheden, aktiveres også reglerne om anmeldelse til tilsynsmyndigheden efter artikel 33 og underretning af registrerede efter artikel 34, når betingelserne er opfyldt.
Det retlige billede er yderligere skærpet af EU Domstolens praksis. I Breyer, sag C 582 14 fastslog Domstolen, at dynamiske IP adresser under visse omstændigheder kan være personoplysninger. Det betyder, at netværks og trafikdata ikke uden videre kan afskrives som teknisk metadata uden databeskyttelsesretlig betydning.
I Natsionalna agentsia za prihodite, sag C 340 21 understregede EU Domstolen, at et databrud ikke i sig selv beviser utilstrækkelige sikkerhedsforanstaltninger, men også at den dataansvarlige skal kunne godtgøre, at de trufne sikkerhedsforanstaltninger faktisk var passende efter GDPR artikel 24 og 32. Dommen er relevant her, fordi en organisation, der lader forældet eller usikret netværksudstyr stå ubeskyttet, kan få betydelige bevismæssige problemer efter et angreb.
Centrale regler og afgørelser i sagen
| Regel eller afgørelse | Retlig betydning |
|---|---|
| NIS2 direktivet, Direktiv EU 2022/2555 | Kræver passende cybersikkerhedsforanstaltninger, hændelseshåndtering og risikostyring for væsentlige og vigtige enheder i EU. |
| GDPR, Forordning EU 2016/679, artikel 32, 33 og 34 | Regulerer krav til behandlingssikkerhed, anmeldelse af brud og underretning af registrerede. |
| Breyer, C 582 14 | Fastslår, at dynamiske IP adresser efter omstændighederne kan være personoplysninger. |
| Natsionalna agentsia za prihodite, C 340 21 | Præciserer bevisbyrde og vurderingen af passende sikkerhedsforanstaltninger efter GDPR ved databrud. |
Hvad virksomheder og private bør gøre nu
De officielle myndighedsråd er bemærkelsesværdigt enslydende. Routere, operativsystemer, telefoner, tablets, bærbare computere og produktivitetssoftware skal opdateres løbende. Derudover anbefales det at udskifte udstyr, som ikke længere modtager sikkerhedsopdateringer, sikre administrationsadgang, deaktivere unødvendig fjernstyring og anvende flerfaktorgodkendelse for at begrænse skadevirkningen ved kompromitterede adgangskoder.
For virksomheder er det utilstrækkeligt blot at antage, at internetudbyderen håndterer routerrisikoen. Der bør foretages en konkret gennemgang af, om udstyret er opdateret, om DNS og DHCP ændringer overvåges, og om der findes logning, der kan dokumentere, hvad der er sket, hvis en hændelse skal anmeldes eller senere prøves juridisk. Det er i praksis denne dokumentation, der ofte afgør, om ledelsen kan godtgøre, at sikkerhedsniveauet faktisk var passende.
Den amerikanske reaktion viser samtidig, at emnet ikke længere behandles som et rent lokalt driftsproblem. FCC har i marts 2026 opdateret sin Covered List og indført restriktioner, der rammer nye forbrugerroutere produceret i udlandet, med henvisning til nationale sikkerhedsrisici. Det ændrer ikke direkte europæisk ret, men det understreger, at netværksudstyr nu i stigende grad vurderes som en geopolitisk og regulatorisk risikofaktor. (FCC Docs)
Når sagen læses samlet, er pointen derfor klar. En router er ikke længere bare et anonymt stykke elektronik stående i et hjørne. Den er blevet et centralt angrebspunkt, hvor teknisk forsømmelse kan udvikle sig til spionage, databrud og et efterfølgende ansvar efter både cybersikkerhedsregler og databeskyttelsesret. Det skriver NCSC, BfV, BND, FBI og Reuters. (ncsc.gov.uk)
Her er en oversigt over 25 markante cyberoperationer og kampagner, som sikkerhedsanalytikere og efterretningstjenester (herunder FBI og det tyske BfV) tilskriver APT28 (også kendt som Fancy Bear eller Pawn Storm).
Gruppen er tæt knyttet til den russiske militære efterretningstjeneste, GRU, og deres angreb fokuserer typisk på politisk destabilisering og spionage.
Cyberangreb tilskrevet APT28
| Mål / Operation | Estimeret omfang af ofre |
| DNC (Democratic National Committee) (2016) | Tusindvis af lækkede e-mails og dokumenter |
| Det tyske parlament (Bundestag) (2015) | Alle 18 eksisterende servere og hundreder af ansatte |
| TV5Monde (Frankrig) (2015) | 12 tv-kanaler taget ud af drift |
| WADA (World Anti-Doping Agency) (2016) | Medicinske data på dusinvis af topatleter |
| Emmanuel Macrons præsidentkampagne (2017) | Ca. 9 GB data fra kampagnestaben |
| NATO-medlemslande (Spionagekampagner) | Hundreder af diplomater og militærpersonel |
| Norsk Storting (2020) | Flere politikere og ansattes e-mailkonti |
| Det danske Forsvarsministerium (2015-2016) | Konti tilhørende ansatte i Forsvaret |
| OSCE (Organisationen for Sikkerhed og Samarbejde i Europa) | Et ukendt antal interne netværk og ansatte |
| Det britiske parlament (2017) | Omkring 90 e-mailkonti kompromitteret |
| Tjekkiets udenrigsministerium (2017) | Over 150 medarbejdere fik hacket deres konti |
| Polens regering (2024) | Omfattende phishing mod statslige institutioner |
| Microsoft Windows Zero-day (CVE-2016-7255) | Global rækkevidde rettet mod specifikke myndigheder |
| Ukraine: Energisektoren (2022) | Forsøg på at mørklægge store dele af energinettet |
| Operation “Pawn Storm” (Journalister) | Over 200 journalister globalt (herunder i Rusland) |
| Belgiens indenrigsministerium (2021) | Delvis adgang til ministeriets IT-infrastruktur |
| Montenegros regering (2017) | Statslige institutioner under NATO-optagelse |
| Georgiens regering og medier (2019) | Over 2.000 websites lagt ned af defacements |
| Hilton-hoteller (Spionage mod diplomater) | Gæster på hoteller benyttet af NATO-delegationer |
| Sydkoreanske vinter-OL (2018) | It-systemer bag åbningsceremonien |
| Estonian Information System Authority | Vedvarende angreb mod statslige digitale tjenester |
| Human Rights Watch (2023) | Phishing mod researchere og aktivister |
| U.S. State Department (2014) | Uidentificeret antal medarbejdere i administrationen |
| Rumæniens forsvarsministerium (2017) | Specifikke officerer og strategiske analytikere |
| Tysklands SPD-partiledelse (2023) | Flere ledende politikeres private konti |
Kilde: NCSC, BfV, BND, FBI, Reuters, Jesper Christiansen, ICARE.DK, ICARE SECURITY A/S.
Fotokredit: ICARE.DK, Forfatter: AI
Personer/Firmaer/Emner/#: #APT28, #FancyBear, #ForestBlizzard, #GRU, #Cyberangreb, #Routere, #DNS, #NIS2, #GDPR, #Databrud, #KritiskInfrastruktur, #TPLink, #MikroTik
Copyrights: Ⓒ 2026 Copyright by ICARE.DK – kan deles ved aktivt link til denne artikel.
