De mere en tusind emails fra Climatic Research Unit (CRU) ved University of East Anglia i England, der har været omtalt i flere medier de seneste dage, er formentlig skaffet ved, at hackere har listet et skadeligt computerprogram ind på forskeren Phil Jones' arbejds-pc, oplyser den danske sikkerhedsvirksomhed CSIS.

Phil Jones har sandsynligvis modtaget det skadelige program - en såkaldt trojansk hest - som en vedhæftet fil i en e-mail, hvorefter han har åbnet det, lyder vurderingen fra CSIS.

»Det ser målrettet ud. Det ligner det, man kalder et spearfishing-angreb, hvor man har gået bevidst efter det institut, og man gennem det angreb har trukket de data, der har været nødvendige,« siger Peter Kruse fra CSIS.

Derefter har det været muligt for hackerne via programmet, der giver fjernadgang til ofrets pc at lænse computeren for filer, herunder Phil Jones' mail-korrespondance med andre forskere.

»Vi har fået nogle efterretninger, der tyder på, at der er blevet brugt et fjernstyringsværktøj,« siger Peter Kruse, der ikke ønsker at angive kilden til oplysningerne som han dog betegner som pålidelige.

Sporet slutter i Tyrkiet
Høsten fra hackerangrebet, der foreløbigt ser ud til at være en zip-fil med 1.079 mails og mere end 3.000 dokumenter, dukkede i første omgang op på en russisk ftp-server. Men ifølge CSIS slutter sporet af gerningsmanden eller -mændene ikke her.

Peter Kruse fortæller, at nogen har gjort opmærksom på de lækkede data via en besked på en blog, baseret på det udbredte blogsoftware Wordpress. Beskeden er sendt via en proxy-server, der skulle kamuflere afsenderens ip-adresse og dermed beskedens oprindelse, men det har ifølge CSIS ikke lykkes.

Via en X-Forwarded-For HTTP-header har det været muligt at finde frem til ip-adressen, der er brugt bag proxy-serveren.

»De har begået en fejl, så vi har et rimeligt godt billede af, hvorfra personen, der har gjort det, kommer. Først ser det ud som om, det kommer fra Rusland, men i virkeligheden er der mange ting, der peger på, at det er i Tyrkiet, man skal finde de personer, der har begået det her,« siger Peter Kruse.

Han understreger, at blot fordi, ip-adressen umiddelbart ser ud til at komme fra Tyrkiet, er det ikke ensbetydende med, at hackeren rent faktisk også gør det.

Der kan eksempelvis være tale om en maskine i Tyrkiet, der også er hacket og blot videresender data fra et andet sted i verden, fortæller han.

Ved University of East Anglia ønsker pressetalsmand Simon Dunford ikke at besvare konkrete spørgsmål om dataindbruddet.

»Disse er alle spørgsmål, der skal undersøges som led i den politimæssige efterforskning og som led i universitetets egen undersøgelse,« skriver han i en mail.

Simon Dunford henviser i stedet til den officielle udmelding på universitetets hjemmeside - se link herunder - der dog ikke kommer nærmere ind på angrebets karakter.