Annons
X
Annons
X

Målet: kvällstidningar och Researchgruppen

Polisen tror att det kan bli svårt att spåra vem som ligger bakom hackerattackerna som i helgen slog ut ett stort antal av Sveriges största nyhetssajter. Men bland hackare och experter på it-säkerhet beskrivs angreppet som amatörmässigt. Attacken var riktad mot Aftonbladet och Expressen – och mot Researchgruppen, som samarbetat med båda kvällstidningarna kring artiklar om näthat.

(uppdaterad)
Attacken mot svenska nyhetssajter

Foto: Thomas Winje/TT

Under lördagen kraschade flera av Sveriges största nyhetssajter i vad som förmodas vara en samordnad överbelastningsattack.

Attackerna riktades mot Expressen och Aftonbladet, men drabbade även stort ett antal andra tidningar som delar infrastruktur med de två kvällstidningarna: attacken mot Bonnierägda Expressen innebar problem för bland annat DN, DI och Sydsvenskan, medan attacken mot Aftonbladet drabbade andra bolag inom Schibstedkoncernen, som SvD.

Ända sedan vi avslöjade näthatarna på Flashback har vi varit utsatta för olika hot.

Annons
X

Peter Andersson är administratör för Researchgruppens webbplats. Under lördagkvällen läste han om problemen hos kvällstidningarnas sajter och upptäckte då att även gruppens egen sajt hade problem. Han loggade in och såg att den första trafiktoppen kom redan 16.50 på kvällen, ett par timmar innan angreppen mot Aftonbladet och Expressen inleddes. Vid 19.30 låg också deras webbplats nere.

– Ända sedan vi avslöjade näthatarna på Flashback har vi varit utsatta för olika hot. Men vi hade inte uppfattat några indikationer om att någon var beredd att attackera vår sajt just nu, säger Peter Andersson.

Artiklarna om näthatet på Flashback byggde på Researchgruppens efterforskningar, och publicerades av Aftonbladet. Gruppen har även samarbetat med Expressen, som publicerat deras grävjobb om de anonyma näthatarna i kommentarfält hos sajter som Avpixlat, Exponerat och Fria Tider. För det jobbet belönades Researchgruppen med journalistpriset Guldspaden.

Stäng

CHEFREDAKTÖRENS NYHETSBREV – veckans bästa journalistik från SvD direkt i mejlkorgen

    Anmäl dig här kundservice.svd.se

    – Det gör att vi ofta kopplas ihop med Aftonbladet och Expressen, konstaterar Peter Andersson, som menar att det inte kan uteslutas att det var ett sammanträffande att de attackerades samma kväll som kvällstidningarna, men att det förefaller osannolikt.

    Det gör att vi ofta kopplas ihop med Aftonbladet och Expressen.

    Bland hackare och experter på it-säkerhet beskrivs angreppet som ”amatörmässigt”. Flera källor spekulerar i att det rör sig om en eller flera unga, svenska gärningsmän utan djupare kunskaper i it-säkerhet. Vapnet kan mycket väl vara programvara som finns öppet tillgänglig på hackerforum, och motivet antas vara missnöje med att tidningarna ”ljuger och förvränger sanningen”.

    De spekulationerna bygger på ett Twittermeddelande som ”gillats” av pseudonymen @_notJ. Det lyder: ”Basically create false articles to beautify the immigration to Sweden”, och länkar till en Daily Mail-artikel om ”den svenska konspirationen för att dölja sanningen om flyktinginflödet”. Det specifika Twitterkontot har förknippats med attacken eftersom det bara ett par minuter efter att angreppet mot Aftonbladet.se inletts twittrade: ”This is what happends when you spread false propaganda. Aftonbladet.se #offline” (sic).

    Klockan 19.25 på lördagskvällen drabbades Aftonbladet av den första överbelastningsattacken, en mycket aggressiv ddos-attack. Ddos står för "Distributed Denial of Service" och är en större attack mot nätverk eller datorsystem. Sedan drabbades även Expressen, som också verkar vara huvudsaklig måltavla tillsammans med Aftonbladet.

    En eller flera hackers skapar ett så kallat "botnet" genom att kapa ett stort antal uppkopplade datorer med hjälp av exempelvis trojaner. Datorerna som användes är av "sekundärt intresse" i förundersökningen, som nu är inledd, berättar Anders Ahlqvist IT-brottsspecialist på Nationella operativa avdelningen, Noa, som har utredningsansvaret vid polisen.

    Vi tror att miljontals datorer har använts här. Vi bedömer att attacken är den största samordnade attacken vi sett.

    – Vi tror att miljontals datorer har använts här. Även om jag inte har något exakt antal. Vi bedömer att attacken är den största samordnade attacken vi sett, säger Anders Ahlqvist.

    Han nämner överbelastningsattackerna mot Swedbank och Nordea, där man till slut lyckades ställa en person till svars. Men det är inte alltid man lyckas, menar Ahlqvist.

    – Det är långt ifrån alla sådana här ärenden som man går i mål med. Om personen, eller de som ligger bakom, har gjort sin hemläxa så blir det svårt för oss, säger han.

    På Noa finns det relativt nybildade nationella IT-brottscentret. Där finns cirka 50 personer med olika specialistkompetenser på området. Vid behov kan även annan, extern, kompetens tillkallas.

    – Vi upplever inte att vi lider av kompetensbrist i ett ärende som detta, säger Ahlqvist.

    Utredningen är fortfarande i ett inledande skede och informationsinhämtning pågår, dels från de drabbade, dels via Noas kontaktnät, nationellt och internationellt, bland annat så följer man datatrafik inom Sverige och från utlandet.

    – Fokus ligger på att skapa en korrekt bild av vad som hänt och hitta den ansvarige. Där är uppgifter dels från målsägande, dels från aktörer som har insyn i internettrafiken, mycket viktiga, säger Ahlqvist.

    Hur ser du på möjligheten att hitta de ansvariga?

    – Det är mycket svårt att förutse om någon gärningsman kan spåras, än mindre om någon kan ställas till svars. Den här typen av ärenden är svåra, men inte omöjliga att utreda. Brottstypen är tekniskt komplicerad, med ett antal steg mellan offer och gärningsman. Lägg därtill den svårigheter som att aktörer från olika länder kan vara inblandade, så finns det flera utmaningar till att hitta en gärningsman, säger Ahlqvist.

    Överbelastningsattacker är en av de utmaningar som medier och andra samhällsaktörer måste kunna hantera, enligt MSB, Myndigheten för samhällsskydd och beredskap. Tillsammans med mediebranschen har MSB tidigare gjort risk- och sårbarhetsanalyser, en sådan ska göras även i år.

    FRA, Försvarets radioanstalt, som ska skydda Sverige och svenska intressen, arbetar också med IT-hot. FRA arbetar främst med attacker som har som syfte att systematiskt hämta ut hemlig eller känslig information. Så verkar det inte vara i det här fallet, menar Anni Bölenius, informationschef vid FRA.

    De som ligger bakom försöker dölja sig för att undvika upptäckt, och kanske aktiveras skadlig kod bara under en liten period för att försvåra upptäckt.

    – Ett sätt som är vanligt förekommande är att via en skadlig kod infektera datorer, för att sedan ta kontroll över inte bara den enskilda datorn utan hela nätverket, för att senare skicka tillbaka information till angriparen. De som ligger bakom försöker dölja sig för att undvika upptäckt, och kanske aktiveras skadlig kod bara under en liten period för att försvåra upptäckt, säger Anni Bölenius.

    Hon säger att tillvägagångssättet i den här attacken är "enklare" och att man inte hade någon avsikt att vara hemlig under attacken.

    – Ansvaret här ligger inte hos oss utan hos MSB och polisen, säger Bölenius.

    På onsdag kommer regeringen att hålla ett möte med inbjudna representanter från de stora mediehusen i Sverige. Fokus kommer att vara på hur mediaföretagen ska arbeta för att liknande attacker ska kunna avvärjas.

    Inrikesminister Anders Ygeman anser att mediaföretagen måste ta sig en allvarlig funderare på hur de har byggt upp sin IT-säkerhet.

    – Vi ser extremt allvarligt på den här attacken. När den hände så så vidtog vi en rad åtgärder och det gör vi fortfarande. Vi betraktar detta som ett prioritet säkerhetsärende och vi kan inte berätta exakt vilka åtgärder det handlar om, säger Fredrik Lindén, informationschef för Schibsted, som bland annat äger Aftonbladet och Svenska Dagbladet.

    Foto: Thomas Winje/TT Bild 1 av 1
    Annons
    X
    X
    X
    X
    Annons
    X