Expert: Ryska aktörer bakom it-attackerna

Det är sannolikt ryska aktörer som ligger bakom överbelastningsattackerna mot svenska myndigheter och företag. Den bedömningen gör cybersäkerhetsexperten Marcus Murray.
–I den pågående attacken är ryska hackergruppen Killnet en av aktörerna, men inte Killnet isolerat. De har själva sagt att de bistår.

Hackergruppen Anonymous Sudan har uppgetts vara en front för, eller styras av, ryska intressen. Gruppen själva hävdar dock bestämt att Ryssland inte har något att göra med de attacker mot Sverige som utförts.

Hackergruppen Anonymous Sudan har uppgetts vara en front för, eller styras av, ryska intressen. Gruppen själva hävdar dock bestämt att Ryssland inte har något att göra med de attacker mot Sverige som utförts.

Foto: Christine Olsson/TT

It-attacker2023-02-19 11:04

Svenska regioner, sjukhus, medier och lärosäten har i veckan varit föremål för överbelastningsattacker. Under söndagen var det dags igen. Flera hemsidor drabbades, bland annat Vattenfall och Kivra. Attackerna sägs bero på koranbränningen som genomfördes i Stockholm.

Gruppen som säger att de utfört attackerna är Anonymous Sudan, av namnet att tyda en grupp med kopplingar till hacker- och aktiviströrelsen Anonymous som attackerat "etablissemanget" under ett 20-tal år. Anonymous Sudan har själva på sin Telegram-kanal uttryckt stöd för ryska hackergrupper, men också dementerat att de på något sätt själva skulle vara ryska.

Men företaget Truesec känner sig övertygade om att det handlar om en rysk påverkanskampanj.

– Vi bygger det på våra analyser av det ryska hotet under längre tid och en veckas långa analyser av sudanesiska, muslimska och andra aktörer som vi har utfört på grund av det som händer i Sverige, säger Murray.

Kommunikation med Ryssland

Bland annat har de övervakat aktörernas korrespondens sinsemellan.

– Vi ser flertalet intima kopplingar med uttalat ryska aktörer som också jobbar med en anti-Natoagenda primärt. Vi ser inte en enda riktig koppling till sudanesiska kriminella aktörer.

Anonymous Sudans strategi på den egna öppna Telegram-kanalen kallar Murray tragikomisk.

– I början gjorde de ganska tydliga referenser till ryska aktörer, men så fort som det började presenteras i media, bland annat via mina citat, att de inte är sudanesiska, har de raderat många av de ryska posterna och ersatt dem med nytillverkade poster där de anger Khartumtid och skickar arabiska sånger.

Psykologisk påverkan

Syftet med attackerna är uppenbart, enligt Murray.

– Målet med den här påverkanskampanjen som Sverige nu utsätts för från rysk sida är att påverka Natoprocessen i anslutning till vår ansökan.

Aktörerna har enligt Murray identifierat att koranbränningarna kan förlänga, fördröja eller motverka medlemskapet i Nato. Om man får Turkiet att vägra Sverige räcker det för att Sverige inte ska kunna gå med – och därför vill de ständigt återaktualisera frågan.

Överbelastningsattacker – att sänka ner webbsidor under en begränsad tid – är trots allt ett av de minst skadliga cyberangrepp som finns.

David Lindahl, forskare vid Totalförsvarets forskningsinstitut (FOI), tycker att Sverige bör ta den senaste tidens attacker som "en varning och en indikator", men betonar samtidigt att inget av reellt värde har slagits ut.

– Det har inte på allvar påverkat saker som banker, eller el- och vattenförsörjningen. Det har hittills varit sådant som närmast kan klassas vid politiska protester, sade han tidigare i veckan.

Han menar att fenomenet inte är nytt – grupper som agerar på det här sättet kallas hacktivister.

– Det är ett angrepp som vill ha uppmärksamhet. Det går att jämföra med att kedja fast sig vid dörren till verksamheterna man vill åt. Det irriterar, det kostar pengar, det väcker uppmärksamhet, men i grunden skadar det inte, säger Lindahl.

Fakta: Ddos- attacker

En attack som slår ut sajter eller förhindrar att användare får åtkomst till tjänster kallas även för ddos-attack. Förkortningen ddos står för "distributed denial of service", vilket ungefär betyder att sajten inte går att komma åt.

Grundkonceptet är att med hjälp av massiva datamängder från ett stort antal datorer på en given signal från så kallade botnätverk slå ut nätverk. Varianter på samma tema är mer precisa angrepp direkt mot brandväggar, applikationer eller webbtjänster, vilka kan vara svårare att upptäcka och avstyra.

Nätverket kan kontrolleras av en person i ett land, med kontrollserver i andra länder och kapad utrustning över hela världen. Beställaren av attacken kan i sin tur sitta i Sverige och gömma sig bakom krypterad kommunikation.

Ddos-attacker ska inte förväxlas med så kallade hackerattacker eller dataintrång där syftet är att stjäla eller förvanska information på nätet. Men det är inte ovanligt att överbelastning används som en vilseledande manöver i samband med dataintrång. Botnätverk kan även användas för att pumpa ut desinformation på sociala nätverk som Facebook och Twitter.

Källa: Arbor Networks

Så jobbar vi med nyheter  Läs mer här!