Hop til indhold
DANMARKS DOMSTOLE
- FOR RET OG RETFÆRDIGHED

Afgørelse af skyldsspørgsmålet i sag om hacking af CSC 
30-10-2014 

Et nævningeting ved Retten på Frederiksberg har i dag afgjort skyldsspørgsmålet i en nævningesag mod to mænd tiltalt for hacking af CSC Danmark A/S i 2012 (hackersagen).
Den ene mand, en 30-årig svensk statsborger, blev fundet skyldig i både hacking og groft hærværk. Den anden mand, en 21-årig dansker, blev alene fundet skyldig i medvirken til forsøg på hacking i perioden den 13. og 14. februar 2012. Ingen af mændene blev fundet skyldige i at have forvoldt omfattende forstyrrelser i driften af informationssystemer.

De to mænd var tiltalt for hacking og for at have forvoldt omfattende forstyrrelser i driften af flere informationssystemer samt for at have udøvet groft hærværk, ved i perioden fra omkring den 13. februar 2012 til den 30. august 2012 i forening, uberettiget og under særligt skærpende omstændigheder og på systematisk eller organiseret vis at have skaffet sig adgang til et samfundsvigtigt informationssystem tilhørende CSC Danmark A/S og i den forbindelse i betydeligt omfang at have beskadiget informationssystemet.

Straffen mv. for de to mænd vil blive fastsat i morgen, den 31. oktober 2014 kl. 13, hvor der afsiges dom (Pressemeddelelse af 31. oktober 2014 vedrørende dommen kan findes her).

Sagen behandles af et nævningeting bestående af 6 nævninger og 3 juridiske dommere. 2 nævninger stemte for at frifinde den 30-årige mand, idet de blandt andet mente, at der var usikkerhed i relation til, om hackingen kunne være sket ved fjernstyring af den 30-årige mands computere. En afgørelse af skyldsspørgsmålet, der er ugunstigt for tiltalte, kræver mindst 4 stemmer fra nævningerne og mindst 2 stemmer fra dommerne.

Af rettens (anonymiserede) kendelse vedrørende skyldsspørgsmålet, hvor den 30-årige mand er benævnt T1, og den 21-årige mand er benævnt T2, fremgår følgende:

”….

K E N D E L S E

Indledning

Efter bevisførelsen, herunder de fremkomne oplysninger fra CSC Danmark A/S (CSC), lægger retten til grund, at CSC i hvert fald i perioden fra den 13. februar 2012 til slutningen af august 2012 var udsat for hacking og forsøg herpå. Hackingangrebet var meget omfattende og teknisk avanceret.

CSC er en stor dansk it-virksomhed, som driver et større antal it-systemer for private virksomheder og offentlige institutioner, herunder Rigspolitiet og Økonomi- og Indenrigsministeriet. CSC opbevarer data for sine kunder, blandt andet kriminalregisteret, kørekortregisteret, Schengen Informationssystemet og CPR-registeret. Dataene opbevares på en IBM mainframe (stor centraliseret computer) med styresystemet z/OS. Mainframen har en FTP-server og en webserver tilknyttet.

Det er efter bevisførelsen fastlagt, at der fra den 13. februar 2012 blev gjort flere forsøg på at skaffe sig uberettiget adgang til CSC's mainframe. Den 7. april 2012 blev der første gang skaffet uberettiget adgang til mainframen. Der blev herefter i perioden indtil ultimo august 2012 kopieret og downloadet en meget stor mængde data, som indeholdt oplysninger fra blandt andet politiets registre. Dataene blev downloadet via forskellige udenlandske IP-adresser.

Den uberettigede adgang til CSC's mainframe blev opdaget, fordi svensk politi henledte dansk politis opmærksomhed på, at svensk politi i forbindelse med efterforskningen af en straffesag i Sverige mod tiltalte T1 havde fået mistanke om, at der fra tiltalte T1s computere var skaffet adgang til CSC’s systemer.

Tiltalte T1 blev på foranledning af svensk politi anholdt af cambodiansk politi den 30. august 2012 i sin lejlighed i Phnom Penh i Cambodia og har siden været frihedsberøvet i henholdsvis Sverige og Danmark, hvortil han blev udleveret.

Der blev under svensk politis efterforskning på en computer tilhørende tiltalte T1 fundet en tekstfil. Tekstfilen fremstod som en chatsamtale over internettet den 13. og 14. februar 2012 mellem to personer benævnt ved nicknavnene (internetalias) My Evil Twin og Advanced Persistent Terrorist Threat. Indholdet af chatten indikerede, at personerne udviste interesse for at skaffe sig adgang til CSC's mainframe, herunder politiets systemer.

Tiltalte T2 blev anholdt den 5. juni 2013 i København og har siden været frihedsberøvet.

Logica-sagen

Tiltalte T1 blev under en straffesag i Sverige ved endelig dom af 25. september 2013 fundet skyldig i over en periode fra 1. januar 2010 til 15. april 2012 at have foretaget ulovlig dataindtrængen i en mainframe tilhørende Logica Sverige AB, nu CGI (Logica). Logica er en svensk it-virksomhed, der opbevarer data for blandt andet svensk politi.

Ifølge dommen blev forholdet begået sammen med MG, som i forbindelse med straffesagen blev anholdt af svensk politi den 15. april 2012, varetægtsfængslet den 18. april 2012 og løsladt den 19. juni 2012.

Den ulovlige dataindtrængen hos Logica fandt sted via en FTP-server, og der blev til brug for indtrængen blandt andet anvendt et script (program) navngivet "kuku". Der blev downloadet filer fra Logica, blandt andet til en server på rådhuset i Phnom Penh i Cambodia og via en tysk IP-adresse med nummeret 93.186.170.54. Den tyske IP-adresse var efter det oplyste tilknyttet en server i Tyskland, som havde været udlejet. Serveren   var derefter blevet overtaget af en ukendt hacker, inden den i juli 2012 blev slettet uden backup.

Adgang til CSC's systemer

Efter bevisførelsen var der den 13. og 14. februar 2012 forsøg på uberettiget login på CSC's  FTP-server tilknyttet mainframen. Den 3., 4. og 9. marts 2012 var der endvidere 515 forsøg på login på CSC's FTP-server fra den tyske IP-adresse (93.186.170.54). Der var derudover frem til den 7. april 2012 flere hundrede besøg på CSC's webserver fra den tyske IP-adresse og fra cambodianske IP-adresser.

Den 7. april 2012 fandt den første konstaterede uberettigede adgang til CSC’s mainframe sted ved udnyttelse af en hidtil ukendt sårbarhed (zer0day) i webserveren. Der blev til brug for adgangen benyttet to domæner, henholdsvis tjenstemandspension.dk og tn3270.sdn.dk. Der blev derved skaffet adgang til politiets system på mainframen.

Den 8. april 2012 blev der uautoriseret overført et script navngivet ”koki” til politiets system på CSC’s mainframe, hvorved brugeren fik eskaleret sine brugerrettigheder til administratorrettigheder til systemet.

Ligeledes den 8. april 2012 blev der på CSC's mainframes webserver uautoriseret oprettet et script, som indeholdt en kopieret og ændret udgave af et allerede eksisterende script. Dette nye script udgjorde den såkaldt første bagdør (adgang til computeren uden normale sikkerhedskontroller). Der blev via bagdøren ved hjælp af et eksternt script skabt adgang til at udføre kommandoer, herunder til at automatisere udkopiering af data fra CSC’s systemer.

Der blev endvidere den 8. april 2012 uautoriseret på CSC’s mainframes internetserver tilføjet en ny linje i en konfigurationsfil (kaldet anden bagdør), samt tilføjet endnu en linje (kaldet tredje bagdør). Der blev derved skabt uautoriserede muligheder for at tilgå CSC’s systemer. Adgangen via anden og tredje bagdør blev ikke logget (registreret) hos CSC.

Herefter skete der uautoriseret efterspørgsel og download af store mængder data fra CSC’s mainframe, hvoraf størstedelen hidrørte fra politiets system. Den 10. april 2012 skete første større download af data ved, at hele RACF-databasen (central brugerdatabase i mainframecomputeren), som indeholdt omkring 84.000 brugernavne og krypterede passwords, blev downloadet.

Download skete blandt andet ved komprimering og omdøbning af filer og datasæt i forbindelse med kopiering af data ud til en offentligt tilgængelig mappe på CSC's webserver (pub-mappe), hvorefter filerne kunne tilgås via internettet af enhver med kendskab til filnavnet. Filerne blev herefter downloadet og slettet fra den offentligt tilgængelige mappe.

Udover download af RACF-databasen den 10. april 2012 skete der blandt andet download af større mængder data fra CSC's mainframe alle dage den 11.-16. april 2012, den 21.-22. april 2012, den 16.-17. juni 2012, den 24.-25. juni 2012, den 30. juni 2012, den 12.-13. juli 2012, den 20. juli 2012, den 22. juli 2012, den 28. juli 2012, den 1. august 2012, den 10.-11. august 2012, den 14.-16. august 2012 og den 27. august 2012.

De downloadede filer og datasæt vedrørte navnlig personfølsomme data fra CPR-registret, politiets indexregistre, kriminalregistret, kørekortregistret og Schengen Informationssystemet.

Den seneste uberettigede aktivitet på CSC's mainframe fandt ifølge bevisførelsen sted den 28. august 2012.

De tre bagdøre, som gav uautoriseret adgang til CSC’s mainframe, blev ifølge vidnet Gs forklaring fjernet af CSC således, at første bagdør blev fjernet omkring den 27. februar 2013, mens anden og tredje bagdør blev fjernet senest den 6. marts 2013.

Tiltalte T1s computere

I forbindelse med anholdelsen af tiltalte T1 den 30. august 2012 blev der af cambodiansk politi beslaglagt blandt andet to computere tilhørende ham; en stationær computer med to harddiske, hvoraf den ene harddisk var løst tilknyttet, og en bærbar computer af mærket MacBook Pro.

Den konkrete opsætning af tiltalte T1s computere inden anholdelsen, herunder af routeren, blev ikke undersøgt og dokumenteret af cambodiansk politi.

Tiltalte T1s computere blev efterfølgende beslaglagt af svensk politi, og dansk politi har alene haft mulighed for at undersøge computerne i Sverige.

På den stationære computer, som var navngivet Metaverse, var der tre brugerkonti. På computerens faste harddisk blev der blandt andet fundet seks filer med data fra det danske kriminalregister (data for i alt 91.011 personnumre), to filer indeholdende kopier af CSC’s RACF-database, filer med søgninger i Schengen Informationssystemet, filer med lister af datasæt fra CSC og en såkaldt Hercules-emulator (software der muliggør simulering af en mainframe) med brugeren APT2011 tilknyttet. I en række scripts blev der fundet henvisninger til IP-adresser tilhørende CSC, Nordea i Sverige og en iransk mainframe.

På den stationære computers løse harddisk blev der fundet en række filer med data og systemfiler fra Logica og CSC, herunder et stort antal mapper og filer fra CSC’s mainframe. Derudover blev der fundet en fil benævnt ”koki”, der indeholdt det script, som den 8. april 2012 blev benyttet til at opnå administratorrettigheder på CSC’s mainframe.

På den bærbare computer var der syv brugerkonti. Det fremgår af politiets undersøgelser, at computeren blev navngivet Flechette den 16. november 2010. Samme dato blev der første gang installeret Windows på computeren, og der blev skabt en såkaldt krypteret container (krypteret del af harddisk som åbnes med password). Der blev endvidere samme dag etableret et link fra chatprogrammet mIRC til den krypterede container.

I den krypterede container blev der fundet et meget stort antal mapper og filer.

I en mappe navngivet ”cpr” i den krypterede container blev der fundet filer downloadet fra CSC’s mainframe, herunder et udtræk af Schengen Informationssystemet bestående af navne, fødedata og efterlysningskategorier på efterlyste personer i Schengenlandene, anmeldelseskvitteringer fra Bornholms Politi og en fil med CPR-numre for ikke under 4.000 personer og generalia på 170 personer med navne- og adressebeskyttelse. I samme mappe blev der endvidere fundet filer fra Logica samt den tekstfil, hvor chatten af 13. og 14. februar 2012 mellem Advanced Persistent Terrorist Threat og My Evil Twin var gemt.

Ligeledes i mappen navngivet ”cpr” i den krypterede container blev der fundet en række logfiler. En af disse logfiler viste, at der den 4. marts 2012 fra den stationære computer var 50 loginforsøg på CSC’s FTP-server samtidig med, at der skete indtrængen i og kopiering af filer fra Logicas mainframe i Sverige.

En anden logfil viste blandt andet, at der den 7. og 8. april 2012 fra den stationære computer blev etableret adgang til CSC’s mainframe via domænet tn3270.sdn.dk ved udnyttelse af en sårbarhed i webserveren. Der blev herefter etableret endnu en forbindelse til CSC’s mainframe via domænet tjenestemandspension.dk.

En tredje logfil viste handlinger foretaget på CSC's mainframe via CSC's webserver den 8. april 2012 med blandt andet opgradering af scripts og forsøg på at downloade RACF-databasen via en IP-adresse i Cambodia.

En fjerde logfil viste blandt andet, hvordan der den 10. april 2012 blev skabt forbindelse fra den stationære computer til CSC's mainframe via webserveren ved hjælp af den første bagdør. Logfilen viste endvidere, at hele RACF-databasen blev kopieret og downloadet via en cambodiansk IP-adresse til en server tilhørende rådhuset i Phnom Penh i Cambodia, ligesom der opnåedes yderligere rettigheder på mainframen.

En femte logfil viste, at der den 21. april 2012 blev flyttet 38 filer fra CSC's mainframe til CSC’s webservers offentlige mappe (pub-mappe). Der blev endvidere søgt information og sendt forespørgsler til mainframen mere end 100 gange. Der blev navnlig søgt efter filer vedrørende politiet, Rigspolitiet og Interpol, og en række scripts blev modificeret og tilpasset.

Der blev i den krypterede container endvidere fundet en mappe navngivet ”mysec”, som indeholdt ca. 1.100 filer. I mappen fandtes filer vedrørende firmaet Mysec, der er et firma, som tiltalte T1 har udført arbejde for. Der blev blandt andet fundet en faktura dateret den 4. maj 2010 til Mysec for softwareudvikling. Fakturaen fremstår som udstedt af firmaet Arocore Co., Ltd, hvilket firma tiltalte T1 ligeledes har udført arbejde for.

På den del af den bærbare computers harddisk, som ikke var krypteret, blev der fundet en række genveje, der viste, at man flere gange havde været inde i filer i den krypterede container. På et skrivebord forefandtes to genveje, der viste, at der fra den bærbare computer var skabt forbindelse til et program, der kunne betjene Hercules-emulatoren på den stationære computer. Fundne filer viste, at 27 af de 32 IP-adresser, der havde været anvendt til hackingen af CSC og forsøgene herpå, havde været tilgået fra den bærbare computer. Det drejede sig om IP-adresser til servere i Cambodia, Iran og Tyskland, ligesom domænet tilhørende rådhuset i Phnom Penh i Cambodia også havde været tilgået fra den bærbare computer.

Tiltalte T2s computer

I forbindelse med anholdelsen af tiltalte T2 den 5. juni 2013 blev der hos ham beslaglagt en bærbar computer af mærket Lenovo og en hul skakbrik indeholdende et micro SD-kort.

Computeren var indkøbt den 13. maj 2013 og indeholdt en stor mængde data, hvoraf størstedelen var krypteret. SD-kortet indeholdt to dekrypteringsnøgler til de krypterede partitioner (dele af harddisken). Tiltalte T2 har ikke ønsket at medvirke til dekryptering, og det er kun lykkedes politiet at få delvis adgang til indholdet af computeren. I den krypterede del, som politiet har skaffet sig adgang til, var materialet ikke læsbart.

I det læsbare materiale på computeren blev der blandt andet fundet dokumenter vedrørende historiske hackersager, data fra kendte hackerangreb, herunder brugernavne, e-mails og passwords, en vejledning i brug af z/OS styresystemer og dokumenter fra en offentliggjort svensk forundersøgelse vedrørende straffesagen mod tiltalte T1 i Sverige. Der blev endvidere fundet en kvittering for leje af servere med mulighed for at benytte diskplads.

Chatten af 13. og 14. februar 2012

Tekstfilen med chatten blev fundet i mappen navngivet "cpr" i den krypterede container på tiltalte T1s bærbare computer. Tekstfilen fremstår som uddrag af en chat mellem to personer benævnt My Evil Twin og Advanced Persistent Terrorist Threat. Chatten begynder den 13. februar 2012 kl. 14:07:07 og slutter den 14. februar 2012 kl. 13:31:04 og er tidsmæssigt opdelt i samtaler, som tilsammen varer ca. otte og en halv time.

Chatten i tekstfilen er enslydende gengivet to gange i umiddelbar forlængelse af hinanden og fremstår som værende kopieret to gange ind i samme dokument. Hovedparten af chatten foregår på engelsk, mens en lille del foregår på dansk.

Tiltalte T2 har forklaret, at han var den ene deltager i chatten og ophavsmand til den tekst, der står ud for Advanced Persistent Terrorist Threat, men at han ikke har anvendt dette navn i chatten. Han mener ikke, at han chattede med en person med nicknavnet My Evil Twin, men at den person, han chattede med, anvendte nicknavnet "era", og at han selv anvendte nicknavnet "Joe".

Under chatten blev der den 13. februar 2012 indsat en kopi af et svar fra CSC's FTP-server, som var sendt på det samme tidspunkt, som chatten angives at finde sted. Ligeledes blev der den 14. februar 2012 i chatten indsat en kopi af et svar fra CSC's FTP-server, hvoraf fremgår, at tiden på CSC's server svarer til det tidspunkt, som også angives i chatten.

På baggrund heraf finder retten ikke grundlag for at betvivle, at chatten har fundet sted på de angivne tidspunkter og i hvert fald med det udfundne indhold, ligesom det lægges til grund, at de nicknavne, der oprindeligt blev anvendt, efterfølgende er blevet ændret, fx ved benyttelse af programmet Pidgin, som er fundet på tiltalte T1s bærbare computer.

Generelle bemærkninger

CSC's mainframe, som handlingerne har været rettet imod, befinder sig i Danmark. Da handlingernes strafbarhed påvirkes af, hvilke virkninger der indtræder eller tilsigtes at indtræde på CSC's mainframe, kan handlingerne straffes her i landet, uanset om de måtte være foretaget uden for Danmark eller gennem servere, der befandt sig uden for Danmark, jf. straffelovens § 9, stk. 2.

Efter straffelovens § 263, stk. 2, kan man straffes med fængsel i 1 år og 6 måneder, hvis man skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem. Hvis forholdet begås under særligt skærpende omstændigheder, eller hvis der er tale om overtrædelser af mere systematisk eller organiseret karakter, kan straffen efter § 263, stk. 3, 1. og 2. punktum stige til fængsel indtil 6 år.

Der fremgår af forarbejderne til straffelovens § 263, stk. 3, 1. punktum, at det blandt andet anses som en skærpende omstændighed, hvis gerningsmanden skaffer sig adgang til offentlige it-registre.

På CSC's mainframe blev der blandt andet opbevaret registre fra politiet og Økonomi- og Indenrigsministeriet, og disse offentlige registre indeholder stærkt personfølsomme oplysninger.

Der blev fra den 13. og 14. februar 2012 gjort forsøg på at skaffe sig uberettiget adgang til de offentlige it-registre, som blev opbevaret på CSC's mainframe. Retten finder, at der herved foreligger i hvert fald forsøg på overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2.

Adgangen til CSC's mainframe i perioden fra den 7. april 2012 til slutningen af august 2012 har omfattet adgang til oplysningerne i de offentlige it-registre, og de personfølsomme oplysninger er over en længere periode blevet kopieret og downloadet til servere i Cambodia, Tyskland og Iran. Henset til mængden af oplysninger downloadet fra de offentlige registre og den anvendte fremgangsmåde finder retten, at den uberettigede adgang fra den 7. april 2012 endvidere har været af systematisk og organiseret karakter og således omfattet af straffelovens § 263, stk. 3, 2. punktum.

På denne baggrund finder retten, at den uberettigede adgang til CSC's mainframe indebærer en fuldbyrdet overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2.

I forlængelse af den uberettigede adgang blev der oprettet tre bagdøre. Dette skete dels ved oprettelsen af et nyt script i systemet, og dels ved to ændringer i en konfigurationsfil. Dette medførte, at beskyttelsen af de stærkt personfølsomme oplysninger blev beskadiget, således at enhver med kendskab til disse bagdøre ville kunne få uberettiget adgang til oplysningerne. Retten finder, at der ved disse ændringer af CSC's sikkerhedssystemer blev udøvet hærværk i betydeligt omfang, jf. straffelovens § 291, stk. 2.

Vidnet G har forklaret, at der ikke var nedbrud eller andre betydelige forstyrrelser af driften hos CSC som følge af angrebet. Da CSC i slutningen af februar 2013 af politiet blev gjort opmærksom på, at CSC havde været udsat for et hackingangreb, foretog CSC de nødvendige fejlrettelser som følge heraf – de seneste den 6. marts 2013. Fejlrettelserne blev foretaget i servicevinduer, der blev aftalt med CSC's kunder, og der skete ikke utilsigtede nedbrud af systemerne, ligesom CSC's kunder havde adgang til systemerne som aftalt.

Ved adgangen til CSC’s mainframe blev CSC’s informationssystemer kompromitteret, men driften af systemerne ses ikke at være blevet forstyrret på en måde, som er omfattet af ordlyden af eller forarbejderne til straffelovens § 193, idet CSC og CSC's kunder både før, under og efter hackingangrebet havde sædvanlig uforstyrret adgang til systemerne. Retten finder derfor, at straffelovens § 193 ikke er overtrådt.

Tiltalte T1

Efter bevisførelsen lægger retten til grund, at loginforsøgene, den efterfølgende uberettigede adgang til CSC's mainframe, ændringerne på systemet samt download af filer og datasæt, er foregået fra tiltalte T1s computere, hvilket heller ikke er bestridt af tiltalte T1.

Tiltalte T1 har nægtet sig skyldig og har forklaret, at hans computere har været fjernstyret under hele forløbet. Han har endvidere afvist, at det var ham, der den 13. og 14. februar 2012 deltog i chatten under nicknavnet My Evil Twin.

Tiltalte T1 har afgivet forskellige forklaringer om, hvem der har sat hans computere op, og hvorledes fjernstyring af disse var mulig. Han har endvidere forklaret, at hans computere var sat op til at virke som lab-computere, hvilket indebar, at de kunne benyttes af andre til udvikling og test. Dansk og svensk politi samt Center for Cybersikkerhed har i den anledning foretaget en række undersøgelser og analyser af muligheden for fjernstyring af tiltalte T1s bærbare computer. Undersøgelserne viste ikke spor af eller tegn på fjernstyring.

Retten finder efter en samlet vurdering, hvori også indgår det forhold, at den originale opsætning af tiltalte T1s computere ikke er dokumenteret og ikke kan genskabes, at der ikke er fuldt tilstrækkeligt grundlag for at afvise, at der har eksisteret en mulighed for fjernstyring af tiltalte T1s computere.

Tiltalte T1 har forklaret, at han ikke har installeret den krypterede container på sin bærbare computer, og at han ikke har reflekteret nærmere over, at der eksisterede en krypteret container, eller hvad der var lagret i denne.

Efter bevisførelsen lægger retten til grund, at den bærbare computer blev navngivet Flechette af tiltalte T1 den 16. november 2010, og at den krypterede container blev skabt på computeren samme dag. Der blev endvidere samme dag etableret et link fra chatprogrammet mIRC til den krypterede container, og på et skrivebord på den bærbare computer var der etableret en genvej til den krypterede container.

I den krypterede container blev der blandt andet fundet filer, som kan relateres til tiltalte T1s arbejde. Der blev endvidere i den krypterede container i samme mappe fundet filer downloadet fra både Logica og CSC.

Der blev derudover i den krypterede container fundet en logfil, der viste, at der i perioden den 3. og 4. marts 2012 fra tiltalte T1s computere blev foretaget adskillige loginforsøg på CSC's FTP-server samtidig med, at der blev downloadet filer fra Logicas mainframe. Tiltalte T1 er i Sverige dømt for at have foretaget ulovlig dataindtrængen hos Logica i den pågældende periode.

Retten forkaster på denne baggrund tiltalte T1s forklaring om, at han ikke selv har installeret og bevidst benyttet sig af den krypterede container. Retten har herved lagt særlig vægt på indholdet af den krypterede container samt på, at computeren blev navngivet af tiltalte T1 samme dag, som den krypterede container og genvejen til mIRC blev skabt.

Tiltalte T1 har forklaret, at han ved anholdelsen i Cambodia var i besiddelse af en HP-computer, som var hans personlige computer, og den han brugte mest, samt at denne computer må være forsvundet i forbindelse med cambodiansk politis ransagning. Retten forkaster denne forklaring og har herved lagt vægt på, at forklaringen er uunderbygget og tillige utroværdig, da tiltalte T1 først har forklaret herom under byretssagen i Sverige mange måneder efter sin anholdelse.

Tiltalte T1 har forklaret, at han ikke har installeret eller anvendt Hercules-emulatoren på sin computer. Der var imidlertid på hans stationære computer installeret en Hercules- emulator med brugernavnet APT2011, og på et skrivebord tilknyttet en af brugerne på den bærbare computer fandtes to genveje til et program, der anvendes til styring af Hercules.

Tiltalte T1 har afvist kendskab til filerne fra CSC på sine computere. Af to filer fundet på den stationære computer fremgår, at der i det downloadede udtræk af Schengen Informationssystemet på den bærbare computer blandt andet var foretaget søgninger på forskellige talkombinationer relateret til tiltalte T1s fødselsdato samt på ”Svarth”, som er begyndelsen på tiltalte T1s mellemnavn.

Tiltalte T1 blev anholdt den 30. august 2012 og har siden været frihedsberøvet. Dette er tidsmæssigt sammenfaldende med, at der efter CSC's oplysninger ikke siden den 28. august 2012 har været konstateret uberettiget aktivitet på CSC's mainframe på trods af, at de tre etablerede bagdøre stod åbne frem til februar og marts 2013 og kunne benyttes af enhver med kendskab hertil.

Retten har foretaget en samlet vurdering af de ovenstående forhold og har sammenholdt dette med hackingangrebets lange tidsmæssige udstrækning, den teknisk avancerede metode og det meget store omfang, herunder download af meget store mængder data via blandt andet den tyske IP-adresse, som også blev anvendt i Logica-sagen.

Retten har endvidere taget i betragtning, at tiltalte T1 ikke har ønsket at oplyse nærmere om identiteten på de personer, som han har angivet har haft mulighed for at fjernstyre hans computere, og heller ikke nærmere har redegjort for, hvorledes fjernstyringen i givet fald konkret skulle have fundet sted.

4 nævninger og 3 dommere udtaler herefter:

Når dette ses i tidsmæssig sammenhæng med chatten af 13. og 14. februar 2012 og chattens indhold, særligt at der i chatten nævnes en Hercules-emulator med brugernavnet APT2011, den tyske IP-adresse og domænet riviera.thelatticeteam.com, hvortil tiltalte T1 ubestridt har tilknytning, samt det forhold, at begge deltagere i chatten forstår dansk, finder vi det bevist, at det var tiltalte T1, der deltog som My Evil Twin under chatten med tiltalte T2 den 13. og 14. februar 2012.

På grundlag af chattens indhold og det forhold, at tiltalte T1 i Sverige er dømt for ulovlig dataindtrængen i en mainframe tilhørende Logica, lægger vi til grund, at tiltalte T1 besidder indgående kendskab til mainframes og styresystemet z/OS.

Vi finder det herefter usandsynligt, at andre personer end tiltalte T1 skulle have betjent hans computere i forbindelse med hackingen af CSC, og vi forkaster derfor tiltalte T1s forklaring om, at hans computere har været fjernstyret.

Det kan i den forbindelse ikke tillægges nogen betydning, at det ikke klart af efterforskningen fremgår, hvilke af brugerkontiene oprettet på tiltalte T1s computere, der har været undersøgt, da han må have været fuldt ud bekendt med disse brugerkonti og deres funktion. Det forhold, at der var flere brugerkonti på computerne, er endvidere ikke ensbetydende med, at der var andre brugere end tiltalte T1.

I chatten blev der indsat oplysninger, som klart beviser, at tiltalte T1 under chatten den 13. og 14. februar 2012 blandt andet ved hjælp af de oplysninger om mulige brugernavne, der blev udvekslet, forsøgte at skaffe sig uberettiget adgang til politiets system via den FTP-server, som var forbundet til CSC's mainframe.

Vi finder det herefter bevist, at det var tiltalte T1, som i hele gerningsperioden bevidst forsøgte og skaffede sig uberettiget adgang til CSC's it-systemer og i den forbindelse begik hærværk af betydeligt omfang, og vi stemmer for at domfælde ham i overensstemmelse hermed.

To nævninger udtaler:

Efter bevisførelsen finder vi, at der fortsat udestår en ikke ubetydelig usikkerhed i relation til, om der kan have været personer, som har fjernstyret tiltalte T1s computere. Vi har herved lagt vægt på, at der forefindes mange tekniske muligheder for fjernstyring, og at efterforskningen ikke i tilstrækkeligt sikkert omfang har kunnet afkræfte, at fjernstyring har fundet sted, eller at andre gerningsmænd har været involveret.

Chatten af 13. og 14. februar 2012 er lagret som en kopieret tekstfil og fremtræder alene som et uddrag af en længere chatsamtale. Derudover er det muligt, at der er flere personer, som har deltaget i chatten. På denne baggrund finder vi, at der er usikkerhed forbundet med at anse det for bevist, at det var tiltalte T1, der under navnet My Evil Twin deltog i chatten.

Uanset om tiltalte T1 måtte have været bekendt med, at hans computere blev benyttet til hackingen af CSC, finder vi derfor efter en samlet vurdering, at der er rimelig tvivl om, at tiltalte T1 har gjort sig skyldig i den rejste tiltale. Vi stemmer derfor for at frifinde tiltalte T1.

Afgørelse vedrørende tiltalte T1

Efter stemmeafgivningen er tiltalte T1 herefter skyldig i overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2, jf. til dels § 21, og § 291, stk. 2, i det i anklageskriftet anførte omfang med den ændring, at handlingerne indtil den 7. april 2012 alene udgjorde forsøg, og at handlingerne efter den 14. februar 2012, herunder adgang til CSC's it-systemer og kopiering og download af filer og datasæt, ikke skete i forening med tiltalte T2, jf. nærmere herom nedenfor, samt at ændring af konfigurationsfilen skete efter, at der blev skaffet adgang via en sårbarhed i webserveren.

Da der ikke er fremkaldt omfattende forstyrrelse i driften af CSC's it-systemer, frifindes tiltalte T1 for overtrædelse af straffelovens § 193, stk. 1.

Tiltalte T2

Tiltalte T2 har nægtet sig skyldig og har ikke ønsket at udtale sig før under hovedforhandlingen af sagen. Han har forklaret, at han under chatten den 13. og 14. februar 2012 blev introduceret til programmet Hercules og udstyret med en virtuel mainframe computer, som han kørte på sin egen computer under chatten, og at han blev undervist af My Evil Twin/era i brugen heraf. Han har videre forklaret, at chatten drejede sig om hacking og om at prøve at logge ind på CSC, og at han oplyste My Evil Twin/era brugernavne, som muligt kunne bruges til at få adgang til CSC’s mainframe.

Retten lægger efter indholdet af chatten og tiltalte T2s egen forklaring til grund, at formålet med den langvarige chat blandt andet var, at tiltalte T2 ved brug af Hercules-emulatoren ville lære, hvorledes en mainframe med et z/OS-styresystem fungerede og kunne betjenes.

Tiltalte T2 har yderligere forklaret, at hans formål med chatten var at forsøge at finde ud af, om det var muligt at hacke en virkelig mainframe, hvilket understøttes af indholdet af chatten, hvoraf også fremgår, at der blev udvekslet oplysninger, som åbenbart var relateret til CSC's mainframe og det forhold, at politiets registre blev opbevaret herpå.

Under chatten oplyste tiltalte T2 blandt andet en e-mailadresse mv. tilhørende "gan003", hvilke oplysninger umiddelbart herefter blev brugt af My Evil Twin til et loginforsøg på CSC's FTP-server. CSC serversvar på loginforsøget blev indsat af My Evil Twin i chatten, så det blev synligt for tiltalte T2.

Der blev endvidere under chatten indsat oplysninger, som klart viste, at My Evil Twin samtidig med chatten blandt andet ved hjælp af de oplysninger om mulige brugernavne, der blev udvekslet, forsøgte at skaffe sig adgang til CSC's mainframe via FTP-serveren, hvilket må have stået klart for tiltalte T2.

På denne baggrund er det bevist, at tiltalte T2 har medvirket til forsøg på at få adgang til CSC's mainframe den 13. og 14. februar 2012.

Det forhold, at de oplysninger, som tiltalte T2 bidrog med under chatten, måtte være offentligt tilgængelige, kan i den forbindelse ikke tillægges nogen betydning.

Tiltalte T2 opholdt sig i perioden fra den 28. februar 2012 til den 6. marts 2012 i Phnom Penh i Cambodia, hvor han ifølge sin forklaring mødte en svensker ved navn NF. Tiltalte T2 har yderligere forklaret, at han ikke kan huske, om han mødte tiltalte T1 under opholdet.

Det fremgår af chatten, at tiltalte T2 oplyste tre brugernavne, WPOL3EDI, WRPVAAP og DMA8J1. Efter bevisførelsen blev disse tre brugernavne anvendt mindst 40 gange i dagene 3., 4. og 9. marts 2012 til forsøg på at skaffe sig uberettiget adgang til CSC.

Det fremgår endvidere af chatten, at tiltalte T2 bekræftede, at domænet tn3270.csc.dk formentlig var knyttet til politiets system, ligesom domænet tjenestemandspension.dk blev omtalt i chatten. Efter bevisførelsen blev domænerne tn3270.sdn.dk og tjenestemandspension.dk anvendt i forbindelse med den uberettigede adgang til CSC den 7. april 2012.

Efter en samlet vurdering finder retten imidlertid ikke fuldt tilstrækkeligt grundlag for at fastslå, at tiltalte T2 efter den 14. februar 2012 medvirkede til yderligere handlinger, som kan relateres til hackingen af CSC.

Retten finder endvidere, at der ikke er ført tilstrækkeligt bevis for, at tiltalte T2 ved sin sin deltagelse i chatten den 13. og 14. februar 2012 havde forsæt til, at oplysningerne efter dette tidspunkt ville blive anvendt til hacking af CSC's mainframe som sket.

Herefter, og da retten finder, at formuleringen af anklageskriftet ikke er til hinder for dette, jf. i øvrigt retsplejelovens § 883, stk. 4, er tiltalte T2 skyldig i medvirken til forsøg på at skaffe uberettiget adgang til CSC's mainframe den 13. og 14. februar 2012.

Efter bevisførelsen var handlingerne den 13. og 14. februar 2012 ikke i sig selv af mere systematisk eller organiseret karakter, men skete under særligt skærpende omstændigheder, idet de vedrørte offentlige it-registre. Tiltalte T2 er derfor skyldig i medvirken til forsøg på overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2.

Retten finder, at tiltalte T2 ikke er skyldig i hærværk, jf. straffelovens § 291, stk. 2, idet CSC's systemer først blev beskadiget i forlængelse af, at der den 7. april 2012 blev skaffet uberettiget adgang hertil.

Fire nævninger og tre dommere udtaler herefter:

Da vi finder det bevist, at det var tiltalte T1, som skaffede sig adgang til CSC's it-systemer og forsøgte herpå samt deltog i chatten, stemmer vi for at domfælde tiltalte T2 for medvirken til tiltalte T1s forsøg på at skaffe sig adgang til CSC's mainframe den 13. og 14. februar 2012.

To nævninger udtaler:

Da vi ikke finder bevist, at det var tiltalte T1, som skaffede sig adgang til CSC's it-systemer og forsøgte herpå eller deltog i chatten, stemmer vi for at domfælde tiltalte T2 for medvirken til en ukendt gerningsmands forsøg på at skaffe sig adgang til CSC's mainframe den 13. og 14. februar 2012.

Afgørelse vedrørende tiltalte T2:

Efter stemmeafgivningen er tiltalte T2 herefter skyldig i overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2, jf. § 23 og § 21, ved den 13. og 14. februar 2012 at have medvirket til tiltalte T1s forsøg på at skaffe sig adgang til CSC's it-systemer.

Da der ikke er fremkaldt omfattende forstyrrelse i driften af systemet, frifindes tiltalte T2 for overtrædelse af straffelovens § 193, stk. 1. Da han heller ikke har udøvet hærværk, frifindes han ligeledes for overtrædelse af straffelovens § 291, stk. 2.

T h i   b e s t e m m e s:

Tiltalte T1 er skyldig i overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2, jf. til dels § 21, og § 291, stk. 2.

Tiltalte T2 er skyldig i overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2, jf. § 23, jf. § 21.

………”

Sagen har journalnummer SS-5591/2014.

Til top Sidst opdateret: 26-11-2014 
Retten på FrederiksbergseperatorHowitzvej 32seperator2000 FrederiksbergseperatorTelefon: 99685000seperatorEmail: frederiksberg@domstol.dk