Jag började min yrkeskarriär med ett jobb som systemadministratör på Linköpings univeristet. Det tog inte många veckor innan jag förstod att våra system var konstant utsatta för olika IT-attacker. På denna tiden, 1995, var attackerna med dagens mått mätt enkla och utfördes ofta av enskilda individer som sällan hade vett eller kunskap i hur man skyddade sig från nyfikna systemadministratörer som försökte spåra vem som hackade dina system.

Det var en lärorik tid, under de år jag arbetade där så lärde jag mig att hacka system, spåra förövare (via diverse teleoperatörer och utländsk polis, främst FBI), skydda mina egna system och hålla föredrag. Det gick så pass bra att jag i slutet på 90-talet startade eget bolag inom IT- och informationssäkerhet, och åkte jorden runt på diverse uppdrag. Vissa uppdrag som jag gjorde var av sådan allvarlighetsgrad att de fortfarande är sekretessbelagda och detta av goda skäl. Utveckling går inte alltid så snabbt som man vill…

Att idag genomföra en IT-attack är enkelt. Den hugade kan själv skapa sig ett så kallat BotNet som kan användas för att utföra diverse attacker mot t.ex. enskilda sajter eller någon utvald ISP (Internet Service Provider för er som är obekant med förkortningen). Är man inte sugen på att lägga några månader på att bygga upp sitt eget BotNet så kan man hyra eller köpa ett färdigt. Du kan t.ex. hyra per timme eller dygn eller så köper du ett BotNet och kör på under längre tid. Priserna är inte heller speciellt höga, utan man får räkna med att det kan kosta runt 50 USD per timma för ett BotNet med lite kvalitet, ska du köpa ett så får man räkna med att priserna startar på runt 1000 USD för ett mindre nät. Värt att veta är att dessa nät är små och inte har förmågan att genomföra några större attacker, utan här handlar det om småsaker, stänga ner Nisses cykel och fiske i 2 timmar (innan Nisse ringt supporten, eller supporten själva upptäckt attacken och åtgärdat den) eller bomba tjejen som inte ville gå på date med några tiotusen skräpmail.

Exempel på sajter som drabbades

Exempel på sajter som drabbades av IT-attacken 2016-03-19

Vill man göra en attack av lite större dignitet, som den vi såg 2016-03-19, där ett större antal av de svenska mediesajterna attackerades under några timmar så krävs det mer (se exempel på drabbade system till höger), betydligt mer än vad du själv kan bygga upp på några månader och troligen mer än vad kreditgränsen på det stulna kreditkortet du använder för att köpa dig ett eget BotNet medger.

Som jag ser det så finns det några tänkbara scenarion som kan vara intressanta att dyka lite djupare i.

Missnöjda medborgare

Det skickades från ett twitterkonto följande tweet:

NotJ Tweet IT-attack 2016-03-19

NotJ Tweet

Det kan tolkas som att det är så kallade ”Sverigevänner” som ligger bakom attacken. Om man tittar på listan ovan så ser man att det saknas vissa av deras favoritsajter, dvs. Avpixlat, Fria Tider, etc. Det har ju snurrat runt rykten om att t.ex. Avpixlat har täta band med Ryssland och skulle vara någon form av megafon för rysk propaganda. Och eftersom attacken såg att att komma från Ryssland så kan man ju kanske dra slutsatser kring det. Nu ska man dock inte göra det, för att det ser ut som attacken kommer från Ryssland behöver inte tyda på att det är ryska intressen som ligger bakom attacken. Det kan vara som så att den som utför attacken vill att det ska framstå som att Ryssland ligger bakom den. Tekniken gör det möjligt att på enkla sätt dölja sina spår.

Att ge sig på nyhetssajter i någon form av politiskt statement en lördagskväll är kanske inte det mest effektiva då många helt enkelt inte konsumerar nyheter en helt vanlig lördagskväll, annat vore det om det var melodifestival eller större sportevenemang, då hade man nått ut effektivt med sitt budskap (samt väckt folks vrede och aversion mot det budskap som förmedlas via attacken, det är inte lätt att vara aktivist…) Och om du spenderar stora summor pengar på t.ex. Lizard Squads Stresser för att attackera media, vill du ha lite mer bang-for-the-buck än vad som gavs.

Hackergruppering som gör ett statement

Det händer ibland att någon hackergrupp helt plötsligt bestämmer sig för att utföra en attack, på eget initiativ eller annans. Jag ser inte det som rimligt i detta fall då det inte förekommit någon form av kommunikation kring vem som ligger bakom attackerna. Gör man ett statement vill man nog att folk ska uppfatta det som det, med en tydlig avsändare t.ex. Ett par flummiga tweets på dålig engelska är inte en tydlig strategi om man ska göra ett statement som hackergruppering.

Främmande makt som testar sin och vår förmåga

Här tror jag att vi ligger närmare sanningen. Attacken är av sådan omfattning rent trafikmässigt att det är mer sannolikt att det är främmande makt som ligger bakom attackerna. Tidpunkten när attacken utfördes är i detta perspektiv också intressant ur ett beredskapsperspektiv. Lördag kväll, många har precis klarat av middagen, har kanske tagit ett glas vin eller två, sitter och smuttar på en whisky eller är på väg på förfest inför kvällens hattrullande på stan. Inga stora mediehändelser sker i landet, mello-finalen var förra veckan så det är väl rimligt att anta att alla redaktioner har varvat ner ordentligt efter flera veckors mello-maraton och nu sitter hemma i godan ro. Lördag kväll är inte heller den tidpunkt då det flesta ISP:erna har sina vassaste tekniker på arbetsplatsen, utan de är säkerligen också hemma och dricker vin, eller hackar på något spännande projekt vid sidan av.

Så för en främmande makt är det definitivt intressant att se hur lång tid man har på sig från det att en ddos-attack initieras till dess att målen har åtgärdat attacken och är i drift igen. Denna tid är intressant att veta om du t.ex. har för avsikt att invadera, låt oss säga, Gotland, för att ta ett helt slumpmässigt valt exempel. Under den digitala mörkläggningen har du möjlighet att göra en del saker i lugn och ro för att sedan kunna komma vidare i dina planer.

Vad vi inte vet är om IT-attackerna har kompletterats med andra åtgärder. Är det främmande makt som ligger bakom attackerna har dessa andra förmågor som kan vara intressanta att spekulera kring. Kan det vara som så att man även har haft bevakning på enskilda individer av nyckelpersonskaraktär samt kring de lokaler som de berörda nätleverantörerna har, för att se vilka som dyker upp för att hantera attacken. Att veta vilka som är de tekniskt mest kunniga och som ingår i större ISP:ers krishanteringsgrupperingar är alltid intressant. Vill man skapa längre avbrott måste man nog använda sig av ”våta jobb” för att dränera på kompetens.

Så vilken främmande makt är det då som ligger bakom attackerna? Logiskt torde Ryssland vara huvudmisstänkt. Speciellt med tanke på att data flödade från Ryssland, men det säger inget om vem som tryckte på knappen. Som en del i en rysk psy-ops så förväntar jag mig att man från ryssarnas sida försöker leda uppmärksamheten åt något annat håll, kanske USA, för slå in ännu en kil i destabiliseringsprocessen. Vilket till viss del görs via tweetsen där man pekar ut falska nyheter som orsak till varför Aftonbladet attackerades och därmed så pekas indirekt de alternativa mediernas fotsoldater ut, vilket i sin tur borde trigga ledarsidorna hos de stora mediehusen att polarisera lite mer kring Avpixlat, Fria tider och annan alternativmedia. Vi får se vad som sker de kommande dagarna…

Övriga länder som kan vara aktuella är mer långsökta, Kina och Israel har (eller antas ha) god förmåga för cyberoperationer, liksom många NATO-länder. Däremot ser jag inga klara incitament till varför dessa länder skulle vilja kartlägga vår krisberedskap på det sätt som nu gjorts.

En planerad övning

Mitt sista scenario är att detta är en planerad övning där bl.a. Sverige ingår, men även kompetenser från t.ex. NATO. Övningar av den här typen har genomförts tidigare, men då har det varit under andra former och inte på produktionssystem med konsekvenser för tredje man. Men vissa saker går inte att öva i testmiljöer, och då måste man köra en övning som liknar verkligheten så mycket som möjligt.

Valet av tidpunkt pekar på att man valt att öva när det är mest ”riskfritt”. Det är låg konsumtion av nyheter, övriga sajter som påverkats lider inte allt för stor skada, men för militären (och FRA samt andra mindre kända enheter) är det man lär sig av stor vikt för framtida planering.

Det som talar mot att det är en egeninitierad övning är att det finns stora PR-risker med detta förfarande, men det är man kanske villig att ta?

Sammanfattning

För att på något sätt försöka knyta ihop säcken så drar jag följande slutsatser kring gårdagens IT-attack.

Det var inga småskuttar med stulna kreditkort som köpte sig lite tid i något Bot-nätverk eller via någon attacktjänst på nätet. Och var det så, så har dom spelat sina kort extremt dåligt, vill dom ha ut ett budskap så får dom vara tydligare.

Mest troligt är att det är främmande makt som vill skapa lite oreda samt se hur väl vi klarar av att hantera IT-attacker en lördagskväll. Det är ingen som tar på sig ansvaret, attackerna var avgränsade i tid (klarar dom av att avvärja attacken inom X timmar, samma tid vi behöver för att göra Y?) och dom var riktade i huvudsak mot stora mediehus i landet (försvåra nyhetsförmedling vid en planerad insats?).

Mindre sannolikt, men på något sätt ändå glädjande om det visar sig sant, är att det helt enkelt är våra egna styrkor som testat vår beredskap och våra förmågor, innan någon annan bestämmer sig för det.

Vi får se vad som händer de kommande dagarna, jag får kanske anledning till att återkomma i ämnet igen.