Tre hovedstæder rykkede samme mandag

I december 2025, midt om vinteren, kom et angreb på Polens energiinfrastruktur så tæt på at lykkes, at regeringer nu beskriver, hvad det ville have ført til: strømmen afbrudt for omkring 500.000 civile. Det lykkedes ikke. Den 13. juli 2026 sagde Europa højt, hvem der forsøgte.

EU og Storbritannien annoncerede koordinerede sanktioner samme dag. Storbritannien udpegede 24 personer og enheder. EU opførte ni personer og fire enheder i det, unionens udenrigschef kaldte blokkens hidtil største cybersanktionspakke. Treogtredive mål tilsammen, med indefrysning af aktiver, indrejseforbud og forbud mod at stille midler eller økonomiske ressourcer til rådighed for nogen af dem.

Navnene er konkrete. Tre GRU-officerer: Vyacheslav Stafeyev, Ivan Senin, Ivan Kasyanenko. Bulletproof-hostingoperationen Media Land LLC og dens aflægger ML.Cloud, der er knyttet til tab fra ransomware og phishing i hele Europa. Z-Pentest, som ifølge Rådet gik efter kritisk infrastruktur, herunder energi og vand. Ti personer bag Rybar LLC. Operatørerne bag Lumma Stealer, den malware, der stjæler loginoplysninger. Og bag angrebet på det polske elnet en enhed: FSB Center 16.

Sanktioner er en udtalelse om fortiden. Det, der kom frem samme dag, er en udtalelse om dit netværk.

Vejen ind var ikke raffineret

Storbritanniens National Cyber Security Centre udsendte en fælles advarsel sammen med tolv andre lande - USA, Australien, Canada, Tjekkiet, Danmark, Estland, Finland, Frankrig, Italien, New Zealand, Polen og Sverige - om, hvordan FSB Center 16 rent faktisk kommer ind. Gruppen er blevet fulgt i årevis under en hel hylde af navne: Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Static Tundra.

Teknikkerne er den skuffende del. Scanning af hele internettet efter Simple Network Management Protocol med standard- eller svage community strings. Misbrug af Cisco Smart Install, en provisioneringsfunktion, der skulle gøre det let at rulle switche ud, og som de fleste organisationer aldrig slog fra bagefter. Kendte, offentliggjorte sårbarheder i netværksenhedernes webportaler. Målsektorer: kommunikation, forsvar, energi, finansielle tjenester, det offentlige og sundhedsvæsenet.

Der er ingen eksotisk kapacitet på den liste. En statslig efterretningstjeneste går ind i kritisk infrastruktur gennem standardkonfigurationer og ulappet kantudstyr, fordi det virker, og fordi det er stille. Netværksenheder kører ingen endpoint-agent. De dukker ikke op i de fleste sårbarhedsscanninger. Ingen bliver kaldt ud, når en af dem bliver kompromitteret, for der er ikke noget på dem, der kan kalde ud.

Advarslens anbefalinger er tilsvarende jordnære: skift til SNMPv3 og slå de gamle versioner fra, brug stærke og unikke adgangskoder på netværksenheder, begræns adgangen til administrationsprotokoller, og sluk for Smart Install. Danmark står selv bag advarslen, og for danske enheder er det Center for Cybersikkerhed, der fører den nationale linje videre.

Hvorfor en fejl fra 2008 fik tre dages frist

Den samme 13. juli føjede USA præcis én sårbarhed til sit katalog over kendte udnyttede sårbarheder. Ikke en frisk zero-day. CVE-2008-4128, en cross-site request forgery-fejl i Cisco IOS, offentliggjort i 2008. Fristen for udbedring var den 16. juli: tre dage.

En optagelse i kataloget betyder én ting. Det er ikke en teoretisk alvorlighedsscore, og det er ikke en forskers proof of concept. Det betyder, at fejlen bliver udnyttet i praksis, nu, og kataloget rundede 1.638 poster med denne tilføjelse. Tredagesfristen binder amerikanske føderale myndigheder, men signalet, den sender, er ikke administrativt. En atten år gammel fejl får ikke en hastefrist, fordi nogen har genopdaget den. Den får en, fordi den er i brug lige nu.

Læg de to dokumenter ved siden af hinanden, og billedet står skarpt. Advarslen siger, at en statslig aktør bor på netværksudstyret. Kataloget siger, at den konkrete dør er en Cisco-fejl, der er gammel nok til at stemme. Intet i denne kampagne krævede, at nogen opfandt noget. Det krævede kun, at forsvareren aldrig kiggede på switchen.

Hvem ejer routeren?

Stil det spørgsmål i din egen organisation, og se, hvad der sker. Servere har en ejer, en patch-cyklus og en overvågningsagent. Bærbare har en flådeansvarlig. Routeren i racket, switchen på filialkontoret, firewallen, som den eksterne it-leverandør installerede for fire år siden og ikke har logget på siden: de plejer at tilhøre den, der satte dem op, hvilket ofte betyder ingen, der stadig arbejder der.

Det hul er nu også juridisk. Under NIS2 skal væsentlige og vigtige enheder styre risikoen på tværs af de netværks- og informationssystemer, de bruger, og netværksenheder er utvetydigt en del af det. I Danmark er Center for Cybersikkerhed den nationale reference for de forpligtelser, og en tilsynsmyndighed, der spørger, hvordan du fører tilsyn med dine leverandører og din infrastruktur, vil ikke acceptere, at kantudstyret faldt ned mellem det interne team og det udliciterede. Det samme gælder forholdet til din it-leverandør: kører de dit netværksudstyr, er deres konfigurationshygiejne din risiko, og din kontrakt med dem er stedet, hvor det enten er håndteret eller ikke er.

For alle inden for energi, vand, transport, sundhed eller digital infrastruktur er denne advarsel ikke almen oplysning. Den nævner din sektor, den nævner protokollen, og den kommer med en liste over udpegede personer, der gjorde det.

Hvad du skal gøre i denne uge

Kortlægningen først, for du kan ikke lappe det, du ikke har på listen. Hver eneste administrerede switch, router, firewall og netværksenhed, også dem på filialkontorerne og dem, en leverandør har installeret. Findes den liste ikke, er ugens arbejde at bygge den, og den er mere værd end noget værktøj, du kunne købe i stedet.

Derefter tre konkrete handlinger fra advarslen. Slå Cisco Smart Install fra alle de steder, hvor den stadig er tændt, hvilket for de fleste miljøer er alle de steder, hvor den nogensinde har været tændt. Flyt SNMP til version 3 med autentificering og kryptering, og slå version 1 og 2c fra, som sender community strings i klartekst. Tag administrationsgrænsefladerne af enhver vej, der kan nås fra internettet, og placer dem bag et kontrolleret netværkssegment.

Undersøg til sidst, om dine netværksenheder producerer logfiler, som nogen læser. Grunden til, at denne kampagne kunne fortsætte, er, at kompromitteret netværksudstyr er tavst. En router, der er blevet omkonfigureret, ser præcis ud som en router, der ikke er det, medmindre nogen sammenligner den med en kendt god konfiguration.

Intet af dette er nye råd. Det er netop pointen, og det er derfor, at tretten regeringer fandt det nødvendigt at sige det sammen.