Prorussiske cyberangrep mot nordiske land

På en pressekonferanse i fjor høst kunngjorde den danske forsvarsministeren, Troels Lund Poulsen, at Russland står bak «destruktive og forstyrrende cyberangrep mot Danmark».

Det destruktive angrepet fant sted i 2024 mot et dansk vannverk, der hackere fikk tilgang til kontrollsystemet og økte vanntrykket. Dette førte til at flere vannrør sprakk og etterlot innbyggerne uten vann.

De forstyrrende angrepene var tjenestenektangrep, eller DDoS-angrep rettet mot danske nettsider i forkant av kommunevalget i 2025, noe som midlertidig hindret tilgang til sidene.

Angrepene ble utført av hackergruppene Z-Pentest Alliance og NoName057(16), som skal ha forbindelser til den russiske staten, ifølge den danske etterretningstjenesten.

Den danske forsvarsministeren konkluderte på pressekonferansen i desember 2025 at de verken er i en krigstilstand eller fredstilstand. Angrepene er en del av Russlands hybridkrig mot Vesten.

De to hackergruppene er langt fra de eneste som utfører slike angrep. Nordic Observatory for Digital Media and Information Disorder (NORDIS), et samarbeid mellom nordiske faktasjekkere og forskere, har de siste månedene undersøkt mer enn 20 prorussiske grupper på Telegram, der hackere publiserer innlegg om angrepene sine.

De siste årene har målene deres også vært Norge, Finland og Sverige.

Situasjonen i Norden

Bare i 2026 har Danmark blitt angrepet 247 ganger, ifølge NORDIS' observasjoner. Det er det desidert høyeste tallet blant de nordiske landene, selv om ikke alle angrepene har vært vellykkede.

De aller fleste er DDoS-angrep mot nettsider, som kan gjøre sidene utilgjengelige i en periode. Det finnes imidlertid også en rekke eksempler på at hackere har lykkes med å få tilgang til ulike overvåkningskameraer, og deretter delt bilder og videoer fra disse på Telegram.

Ifølge trusselvurderingen fra danske Styrelsen for Forsyningssikkerhet (Resilience Agency), retter hackerne seg ofte mot nettsider som tilhører myndigheter og selskaper involvert i kritisk infrastruktur. NORDIS' undersøkelser viser det samme mønsteret.

Også i Norge fikk uvedkommende i april 2025 digital tilgang til et damanlegg for et fiskeoppdrettsanlegg ved Risevatnet i Bremanger.

Hackerne hadde tilgang til kontrollpanelet fra klokken 12.57 til 16.49, ifølge Kripos. I løpet av disse fire timene økte gjerningspersonene vanntilstrømningen i anlegget som gjorde at ventilene slapp ut nærmere 500 liter vann i sekundet før angrepet ble oppdaget og dermed stanset. 

Lekkasjen skal ikke ha hatt noen konsekvenser ettersom at flomberegningen ved dammen skal være på rundt 20 000 liter vann i sekundet. Det sa teknisk leder, Bjarte Steinhovden, i Breivika Eiendom som eier damanlegget til Energiteknikk. 

Faktisk.no har forsøkt gjentatte ganger å komme i kontakt med Breivika Eiendom, men har ikke lyktes. 

I oktober avsluttet Politiets sikkerhetstjeneste (PST) og Kripos etterforskningen, og slo fast at prorussiske hackere sto bak angrepet. Saken ble deretter henlagt, og ingen ble siktet.

I juni 2025 ble en tre minutter lang video som viste det digitale innbruddet, publisert på en Telegram-kanal tilhørende den prorussiske hackergruppen Z-Pentest Alliance, der alliansen påtok seg ansvaret. PST har konkludert med at det er denne gruppen som står bak angrepet.

Kanalen er nå fjernet fra Telegram, og en ny har dukket opp med samme navn. Faktisk.no har skjermbilder av videoen og meldingene som ble publisert i etterkant av angrepet. Videoen viser et kontrollpanel der tall blir endret av hackerne.

Angrep rundt valg

Prorussiske hackere har også publisert innlegg der de hevder å ha utført en rekke DDoS-angrep mot flere norske nettsider. Ett slikt angrep var da partiet Høyres nettside var nede for telling kun seks dager før stortingsvalget i 2025. 

Dette er en del av det som blir kalt «Operation Norway», ofte forkortet til #OpNorway, der prorussiske hackermiljøer har hatt Norge som mål i sin aktivitet. Det skriver FFI i sin rapport om kartlegging av utenlandsk påvirkning i forbindelse med stortingsvalget. 

De mener at hackergruppens hensikt med operasjonen, som inkluderer angrepet mot Høyres nettsider, «var å gjøre seg selv interessante og relevante i hacktivistmiljøer og overfor russiske myndigheter». 

Andreas Skjøld-Lorange, fagdirektør i Nasjonal sikkerhetsmyndighet (NSM), mener angrepene ikke nødvendigvis er et forsøk på å påvirke selve valgresultatene, men at det heller er en enkel anledning for å skape splittelse og mistro. 

– Selv om man kan oppleve at noe er konkret spisset inn mot et valg, så kan det bare være en mulighet til å forsterke det arbeidet som de egentlig har en veldig lang horisont på, sier Skjøld-Lorange.

Han tror ikke det er tilfeldig at hackerne har valgt å flytte fokuset bort fra Norge og over på et land som for eksempel Danmark som hadde valg i mars i år. 

FFI har konkludert med at «Operation Norway» ikke fikk vesentlig betydning for stortings- og sametingsvalget i Norge 2025. 

I Sverige har myndighetene sett en tydelig utvikling siden 2023. Cyberangrepene har ikke nødvendigvis økt i antall, men utviklingen får heller på hvor sofistikerte de er. Hackerne har endret fokus fra IT-angrep, med begrensede effekter utenfor internett, til OT-angrep («Operational Technology») som rammer kritisk infrastruktur.

– Tidligere har ikke-statlige aktører vært veldig fokuserte på DDoS-angrep, løsepengevirus og lignende. Nå ser vi at de har utvidet til noe mer avanserte operasjoner, sier Ola Billger, kommunikasjonssjef for Försvarets radioanstalt (FRA), den svenske nasjonale myndigheten for signaletterretning og base for det nasjonale cybersikkerhetssenteret NCSC siden 2024.

Noen angrep ser også ut til å ha alternative mål.

Kvelden før valgdagen i 2018 i Sverige, da opptellingen av stemmene akkurat hadde startet, krasjet nettsiden til den svenske Valmyndigheten. I ettertid oppstod det ubegrunnede rykter om at valgresultatet hadde blitt manipulert i perioden nettsiden var nede. 

Etter nærmere undersøkelser konkluderte Valmyndigheten med at et DDoS-angrep hadde vært rettet mot siden.

Ved neste svenske valg i 2022 var det tre slike angrep mot Valmyndighetens nettside, noe som vakte mistanke om at målet var å nøre opp under nye rykter om valgmanipulasjon.

I forkant av det kommende valget i september 2026 advarer svenske Säkerhetspolisen (SÄPO) mot utenlandsk innblanding i valgprosessen, og at Russland i denne sammenheng har «høyeste prioritet» for dem.

DDoS-angrep og datainnbrudd i Finland

Siden 2024 har Finland vært mål for noen få alvorlige datainnbrudd der hackerne ikke er identifisert, i hvert fall ikke offentlig. Tidlig i 2026 klarte hackere å bryte seg inn i databasen til Valtori, statens senter for informasjons- og kommunikasjonsteknologi, og fikk tilgang til e-postadresser, telefonnumre og enhetsinformasjon til 50 000 statsansatte.

Årsaken var en sårbarhet i hyllevareprogramvaren som ble brukt av Valtori. Politiet etterforsker for tiden datainnbruddet som cyberspionasje, og Valtori ønsker derfor ikke å kommentere gjerningspersoner eller mulig motiv offentlig.

– Innbruddet kan øke trusselen for phishing-forsøk, sier Valtoris nestkommanderende generaldirektør, Hannu Naumanen, i en e-postkommentar til den finske NORDIS-partneren Faktabaari.

I Finland har hackergruppen NoName057(16) gjennomført gjentatte DDoS-angrep de siste årene, rettet mot for eksempel Skatteforvaltningen, departementer, banker, Helsingfors kommune og den finske sentralbankens nettsider.

Da Finland ble medlem av NATO i april 2023, lyktes gruppen med å ta ned Riksdagens nettside i et døgn. Samtidig forstyrret den også nettsidene til statsministerens kontor og blant andre daværende statsminister Sanna Marin.

I april 2025, under kommunal- og regionalvalget, startet NoName DDoS-angrep mot nettsidene til valgrelaterte aktører og tok ned Senterpartiets (Keskusta) nettside. Tidlig i 2026 kunngjorde gruppen på sin Telegram-kanal at den hadde utført flere titalls angrep mot Finland, men aktiviteten har siden avtatt.

Stjeler sensitiv informasjon

I april 2026 rapporterte det finske sikkerhetspolitiet, Supo, og det nasjonale cybersikkerhetssenteret at de hadde avverget en russisk militær etterretningsoperasjon i Finland. En «russisk trusselaktørgruppe» kalt APT 28, hadde tatt over flere dårlig sikrede hjemmeroutere og andre internettilkoblede enheter som en del av en cyberspionasjeoperasjon.

Hackerne hadde satt opp et nettverk der alle enhetene kommuniserte med hverandre. Russernes hensikt var å bruke hjemmerouterne til å skjule sine egne aktiviteter.

Samtidig hadde de mulighet til å stjele sensitiv informasjon fra avlyttet kommunikasjon dersom disse meldingene tilfeldigvis kom fra for eksempel en offentlig tjenesteperson eller en bedriftsansatt som jobbet på en datamaskin hjemme.

Operasjonen ble stanset da eksperter fra cybersikkerhetssenteret kontaktet de finske eierne av de utdaterte routerne og ga dem råd om hvordan de kunne oppdatere eller erstatte dem.

– Dette var et tydelig eksempel på hvordan både cyberkriminalitet og statsstøttet spionasje opererer i dag ved å utnytte sårbarheter i hjemmeroutere, sier Samuli Könönen, en informasjonssikkerhetsekspert ved cybersikkerhetssenteret.

Udokumenterte påstander

Alt i alt har ikke DDoS-angrep fra prorussiske aktivister forårsaket betydelig skade for finnene. Samuli Könönen anslår at for russiske hackergrupper er det å få synlighet for sine prorussiske budskap og sine anti-ukrainske og antivestlige aktiviteter viktigere enn tekniske prestasjoner.

– Dette er tydelig, for eksempel ved at når de promoterer aktivitetene sine på Telegram, er det bare toppen av isfjellet av hva de prøver å gjøre, sier Könönen.

Internasjonalt overvåker cybersikkerhetsmyndigheter nøye kommando- og kontrolltrafikken til Nonames DDoS-angrep. Hver dag sender gruppen en liste over IP-adresser som skal angripes til enheter som er tilkoblet nettverket. Det er langt flere mål enn vellykkede angrep.

– På Telegram publiserer de bare en liste over de målene som de i det minste kan legge ved falske bilder av vellykkede angrep til. Vanligvis henter gruppen ut et skjermbilde av en «404»-feil fra siden, som indikerer at den forespurte siden ikke ble funnet, sier Könönen.

Han mener at noen ganger kan årsaken til feilmeldingen like gjerne være at siden har begrenset tilgang fra utlandet og fortsetter å fungere fint innad i Finland.

Ifølge Könönen kan lignende overdrivelser sees i rapporter om datainnbrudd og for eksempel i kapring av overvåkningskameraer, som russiske hackere har tatt på seg æren for.

Faktabaaris egne undersøkelser viser at noe av overvåkningsmaterialet som ble publisert av en Telegram-kanal tilhørende hackergruppen Morningstar, allerede var offentlig tilgjengelig på nettet. Könönen bekrefter dette funnet.

Finansiert av Kremlin

Hacktivisme har vokst betydelig som et fenomen siden Russlands fullskala invasjon av Ukraina begynte i 2022, sier Samuli Könönen. I de tidlige fasene av krigen følte mange mennesker i land som støtter Ukraina et ønske om å slå tilbake mot Russland.

«Ukrainas IT-hær» ble etablert i Ukraina, og koordinerte sine aktiviteter via Telegram og Twitter. Den inviterte frivillige hackere fra hele verden som støtter Ukraina til å bli med. De begynte å utføre DDoS-angrep og datainnbrudd mot Russland. I slutten av februar 2022 rapporterte gruppen at den hadde tatt ned for eksempel nettsidene til Moskva-børsen og Sberbank, Russlands største bank.

– Prorussiske hackergrupper som NoName dukket opp som en reaksjon på det, sier Könönen.

Det finnes også tegn på at Kreml er fornøyd med innsatsen deres.

Ifølge det amerikanske cybersikkerhetsbyrået CISA er Russland sannsynligvis ansvarlig for å støtte opprettelsen av gruppene «The People’s Cyber Army of Russia» (CARR) og NoName057(16). Z-Pentest Alliance dukket opp i 2024 og består av medlemmer fra begge disse gruppene.

Dette er også vurderingen til Rasmus Larsen, direktør for operativ etterretning i det danske cybersikkerhetsselskapet CSIS Security Group, at gruppen er bredt anerkjent av Russland.

– Etter alt å dømme stammer disse gruppene fra personer basert i Russland eller i noen av statene som er tett knyttet til Russland. Så det er vanskelig å forestille seg at dette finner sted uten en stille aksept fra russiske myndigheter som et absolutt minimum, mener han.

Forsøk på å stoppe gruppene

Antallet hacktivister som deltar i ideologisk motiverte DDoS-angrep er høyt, og de opererer fra en rekke land, noe som gjør nettverkene vanskelige å håndtere for myndighetene.

I fjor ble en ukrainsk statsborger, Victoria Eduardovna Dubranova (33), utlevert til USA og tiltalt for påstått involvering i både CARRs og NoNames ulovlige aktiviteter.

I juli 2025 kunngjorde Europol at de hadde satt NoNames infrastruktur ut av spill sammen med Eurojust ved å stenge ned «en stor del av gruppens sentrale serverinfrastruktur og mer enn 100 systemer over hele verden». Europol foretok også to pågripelser og la til fem russiske personer på sin «Most Wanted»-liste som en del av «Operation Eastwood».

– Operasjonen førte til en fullstendig stans i NoNames aktiviteter i noen uker sommeren 2025, sier Samuli Könönen.

– Siden den gang har operasjonene fortsatt mer eller mindre som før. På slutten av sommeren 2025 var de til og med litt mer intense i en periode, ettersom målene inkluderte flere enheter som hadde deltatt i Eastwood.

Utover det er informasjonen om de mange prorussiske hacktivistgruppene begrenset.

De er imidlertid opptatt av å lese om sine egne angrep i vestlige medier. Dette kan være knyttet til å oppnå målet om «forstyrrelse». Svært få mennesker i de nordiske landene følger Telegram-kanalene deres, akkurat som de fleste sikkert ikke merker det når en nettside av og til er utilgjengelig i en kort periode.

– De følger veldig nøye med på når og hvem som skriver om dem, og hva som blir skrevet. De lager også veldig mye støy på sine egne kanaler. «Se på oss, hør på oss», sier Rasmus Larsen.

Et eksempel på eksponeringsbehovet ble spesielt tydelig i januar, da den danske NORDIS-partneren TjekDet allerede hadde publisert flere artikler om de mange angrepene.

Angrep mot NORDIS-partner

31. januar prøvde TjekDets styreleder å få tilgang til nettsiden til det danske mediet TjekDet.dk. I stedet for å bli møtt med de nyeste faktasjekkene, mottok hun en melding om at nettsiden er utilgjengelig.

Hun kontaktet TjekDets sjefredaktør, som lenge hadde fryktet et angrep fra gruppene nettopp fordi de selv hadde skrevet om dem. Han klarte heller ikke å få tilgang til siden.

I mellomtiden kom det en e-post i innboksen. Avsenderen var hackergruppen Inteid.

«Hei, jeg er eieren av hackergruppen Inteid. I dag utførte jeg et DDoS-angrep mot din nettside www.tjekdet.dk,» stod det.

Avsenderen forklarte også hva de krevde for ikke å angripe TjekDet igjen. Det handlet ikke om penger, men om synlighet.

«Hvis du ikke publiserer en artikkel om mitt angrep mot din nettside, vil jeg angripe nettsiden din igjen i nær fremtid. Du må også videresende denne informasjonen til andre medienettsider slik at de også publiserer en artikkel om mitt hackerangrep mot din nettside. Du har fortsatt tid,» stod det.

I tillegg krevde de at TjekDet anmelder gruppen til politiet, fordi de gjerne ville bli etterlyst av myndighetene.

Sjefredaktøren var i mellomtiden i kontakt med Peytz, selskapet som er ansvarlig for TjekDets nettside, som kunne rapportere om at siden opplevde et ekstraordinært høyt trafikknivå.

I flere timer var nettsiden ustabil, og vekslet mellom å være tilgjengelig og utilgjengelig.

– Det er et massivt nettverk bak DDoS-angrepet, sa Peytz i en oppdatering til TjekDets sjefredaktør. 

– Det er vanskelig å blokkere dem, men alle gjør alt de kan.

Senere samme kveld lyktes Peytz med å dempe angrepet. TjekDet innfridde ikke Inteids krav.

Selvskryt

Dette higet etter oppmerksomhet og tilfeldige påstander om at de har tilgang til konfidensielle statlige dokumenter som de vil publisere, men aldri gjør, er en av grunnene til at Rasmus Larsen i det danske cybersikkerhetsselskapet CSIS Security Group ikke anser den faktiske trusselen fra dem som spesielt høy.

– Vanligvis er de som virkelig er kompetente de du aldri hører fra. De er opptatt av å gjøre ting som faktisk fungerer og kan forårsake skade. Det er de folkene vi er bekymret for.

Han forklarer at de opererer med tre trusselsnivåer. Slike hacktivister er på det tredje og laveste nivået.

– Disse aktivistgruppene fremstår som mye løsere og ikke i nærheten av det samme nivået som det vi ser fra de andre gruppene, sier Rasmus Larsen.

Han tror heller ikke at hacktivistene har egenskaper som de velger å ikke vise frem for øyeblikket kun fordi vi ikke er i en faktisk krig mot Russland.

– Men det betyr ikke at de ikke kunne fått disse egenskapene hvis det noen gang skulle komme til det, sier han.

Hevn for Ukraina-støtte

Ifølge årsrapporten for 2025 fra EUs cybersikkerhetsbyrå (ENISA) var ikke de nordiske landene blant de fem mest utsatte for cyberangrep i 2025. Noname rettet flest tjenestenektangrep mot de store EU-medlemslandene Tyskland, Frankrike, Italia og Polen, samt Litauen blant de baltiske landene.

Det er, som denne gjennomgangen viser, likevel fortsatt grupper som retter seg mot Norden, og i det siste spesielt Danmark.

Rasmus Dahlberg, førsteamanuensis ved Center for Samfundssikkerhed og Risiko ved Roskilde Universitet, har en teori om hvorfor Danmark er det hardest rammede landet i Norden. Han er nestleder for forskningssenteret Centre for Societal Security and Resilience (SECURE) ved Roskilde Universitet.

– En åpenbar hypotese er at det er fordi Danmarks regjering har vært veldig vokal i sin støtte til Ukraina. Vi har ikke lagt skjul på at vi er et stort donorland med sterk folkelig støtte til Ukraina i krigen mot Russland, sier han.

De prorussiske hackergruppene har også pekt på støtte til Ukraina ved flere anledninger som en grunn til angrepene. Den 28. januar skrev Russian Legion, en allianse dannet av flere forskjellige grupper, på sin Telegram-kanal:

«Den danske regjeringen planlegger å gi en militær hjelpepakke verdt 1,5 milliarder dollar. Vi anser dette som direkte deltakelse i konflikten og finansiering av krigen mot våre interesser. Danmark har 48 timer på seg til offentlig og offisielt å avvise overføringen av disse midlene. Avvisningen må være klar, betingelsesløs og uttalt på landets ledernivå».

Svenske Myndigheten for samfunnssikkerhet og beredskap (tilsvarende MCF) har konkludert med at antall angrep er tett forbundet med Sveriges posisjon i det geopolitiske landskapet. Når noe uvanlig skjer, kan ting eskalere raskt, som for eksempel da Sverige ble med i militæralliansen NATO i mars 2024. Ifølge IT-sikkerhetsselskapet Cloudflare økte antallet DDoS-angrep med 466 prosent.

Også Sverige har pådratt seg hackerne i forbindelse med støtte til Ukraina. I februar 2026 avslørte den svenske NORDIS-partneren Källkritikbyrån at prorussiske grupper hacket seg inn i overvåkningskameraer i Sverige.

Overvåkningsbildene ble lagt ut i en åpen Telegram-kanal samme dag som Sverige hadde kunngjort en ny støttepakke til Ukraina med millioner til helse- og sosialomsorg. Formålet? Å skremme og kreve en «skatt» for aktiviteter som provoserer hackerne eller deres arbeidsgivere, ifølge eksperter Källkritikbyrån snakket med.

Når NORDIS undersøker Telegram-kanaler som tilhører disse og lignende hackergrupper, er det tydelig at en rekke prorussiske grupper har hevdet å ha utført angrep i forbindelse med lignende hendelser. Den 24. november 2025 var Sverige vertskap for Krim-plattformen, et årlig toppmøte for å samle støtte til Ukraina og motstand mot den russiske okkupasjonen av Krim-halvøya.

I dagene frem mot toppmøtet publiserte en av gruppene NORDIS overvåket rapporter om angrep mot 28 svenske mål, blant dem politiske partier som Miljöpartiet, Centerpartiet og flere by- og kommunale nettsider.

Ønsker synlighet

Ola Billger i Försvarets radioanstalt (FRA) understreker at selv om myndighetene tar disse rapportene på alvor, bør man også være på vakt. Gruppenes åpenhet kan stamme fra deres ønske om oppmerksomhet, som kan føre til flere jobbtilbud og bedre betaling.

– Så noen ganger tar disse gruppene faktisk på seg ansvaret for handlinger de ikke har begått. Det er en grunn til at vi av og til er forsiktige med å kommentere hvem som står bak et angrep. Vi ønsker ikke å rette unødvendig oppmerksomhet mot grupper som lever for nettopp den typen ting.

Liknende uttalelser har også kommet fra Norge. Under den politiske festivalen Arendalsuka sommeren 2025 uttalte PST-sjef Beate Gangås at hensikten med slike operasjoner trolig er å bidra til øvrig påvirkning, i tillegg til å skape frykt og uro blant befolkningen i et land.

Etter at nyheten om cyberangrepet mot dammen i Norge ble offentlig kjent i august, ble også en YouTube-video og nyhetsartikler om angrepet delt i Telegram-kanalene. I disse innleggene skrev hackeralliansen selv at målet deres «ikke er å forårsake skade, men å demonstrere vår vilje til å forsvare Russlands interesser og å handle besluttsomt om nødvendig.»

Psykologisk krigføring

Selv om konsekvensene av DDoS-angrep vanligvis er minimale, at en nettside som ikke kan åpnes, ofte i en kort periode, mener Rasmus Dahlberg ved Roskilde Universitet at de kan være ganske effektive i den typen krigføring som foregår i det såkalte kognitive domenet. Dette er også domenet som blir angrepet når en fremmed stat forsøker å spre desinfomasjon.

Rasmus Dahlberg beskriver Russlands taktikk som «death by 1,000 cuts».

– Det er hybridkrigføringens adelsmerke. Vi blir ikke utsatt for en stor digital versjon av Pearl Harbor. Det er en hel serie med små angrep som over tid potensielt kan undergrave tillit, spre bekymring og dermed svekke samholdet i samfunnet vårt, sier han og påpeker at det er grunn til å være bekymret for at DDoS-angrep for eksempel kan synliggjøre myndighetenes manglende evne til å forhindre denne typen angrep.

Ifølge Dahlberg er det vanskelig å si hvor godt Danmark er teknisk beskyttet mot cyberangrep. Han mener heller ikke at det nødvendigvis er det viktigste spørsmålet, for i realiteten er ikke dette en kamp som kjempes i cyberspace, men i alles hoder. Eller på forskerspråket: det kognitive domenet.

Derfor må myndighetene være flinke til å forhindre ringvirkningene av for eksempel et DDoS-angrep. Dette krever blant annet at myndighetene er åpne og gir bred informasjon, slik at ikke befolkningen blir bekymret.

– Jeg er ikke helt overbevist om at vi er gode nok på det ennå. Og det var en høflig måte å si det på, sier han.