Server hos Försvarsmakten i centrum av cyberattack mot NewsVoice

Torbjörn Sassersson är grundare av NewsVoice som startade 2011. Torbjörn har arbetat inom media sedan 1995. Han har en fil kand (1992) inom miljövård från Stockholms Universitet. Stöd hans arbete genom en direktdonation via Paypal.
publicerad 9 oktober 2019
- Torbjörn Sassersson
Temabild: "Cyberförsvaret". Montage: NewsVoice. Foto: Shutterstock.com

De senaste 10 dagarna har NewsVoice webbserver utsatts för intensiva intrångsförsök från ett botnet. Attackerna är direkt riktade mot tidningen. NewsVoice kan avslöja att den starkaste enheten var en server hos Försvarsmakten, en server som hade kapats. Först trodde inte Försvarsmakten på vår varning. Sedan stängde de av servrarna. 

Text: Torbjörn Sassersson [Uppdateringar: kl 13:23, 12 okt, 2019] | Temabild: ”Cyberförsvaret”. Montage: NewsVoice. Foto: Shutterstock.com

Tack vare NewsVoice IT-tekniker kunde det fastställas att en analysserver i ett datorkluster hos Försvarsmakten kapats och användes mot NewsVoice [dedikerade server] via internet. Vid en första kontakt avvisade Försvarsmakten att deras servrar användes, men efter att teknikern lyckats ta sig upp i organisationen med sin varning nådde denne fram till ett högre befäl inom Försvarsmakten.

Unixdatorn i klustret som var port mot internet kunde identifieras med IP-nummer och en pingning. Befälet hos Försvarsmakten bekräftade att uppgiften stämde varpå det blev en intensiv aktivitet i bakgrunden mitt under samtalet för att stänga serverparken [hela eller delar]. Befälet använde själv benämningen analysserver.

”De på [Försvarsmakten] lär ju fått en del att göra idag”, säger teknikern till NewsVoice.

Analysserverns funktion var att analysera trafik på nätet och kapaciteten var mycket stor, dels på den berörda datorn i sig och dels i klustret som helhet. I andra änden inne på NewsVoice server hos webbhotellet Digital Ocean kunde runt 100,000 intrång per sekund konstateras. Dessa attacker upphörde när analysservern stängdes av, men botnätet som helhet fortsatte att angripa NewsVoice och gör det fortfarande i vågor.

Ordet botnet är en förkortning för robotnät.

När ett botnet byggs upp av hackers söks svaga enheter upp, enheter kopplade till internet som har svaga brandväggar och lösenord. Dessa enheter infekteras och används som slavar för iscensätta överbelastningsattacker eller rena intrångsförsök mot en dator, server eller sajt. I det aktuella fallet handlar det om ett utdraget intrångsförsök mot sajten och nättidningen Newsvoice.se.

Vilka ligger bakom attacken?

Botnätet som hyrts eller nyttjats av någon för oss okänd intressegrupp för att genomföra attackerna [både intrångsförsök och överbelastning] mot NewsVoice består till största delen av infekterade IOT-enheter som tex: övervakningskameror, skivare, klockor och datorer [+ babymonitorer, fågelkameror], varav den mest kraftfulla enheten som vi lyckats identifiera är analysservern hos Försvarsmakten.

Läs mer: Expertanalys: Scenarier kring Försvarsmaktserverns attack mot NewsVoice


Om vi spekulerar om motivet bakom den utdragna attacken som pågått under 10 dagar är det mest sannolika motivet politiskt, tror vi.


Analysserverns uppgift är att analysera enorma mängder trafikdata, alltså kommunikation över internet [”spionera”]. ”De” som tagit över servern hade även tillgång till den information som analyseras, vilket teoretiskt kan bestå av myndighetskommunikation eller kommunikation till och från Regeringen, säger NewsVoice IT-tekniker. Känsliga saker alltså, ett hot mot rikets säkerhet.

De inkommande attackerna de tre senaste dygnen [och f.ö. alla andra dygn] mot NewsVoice plockas upp av Digital Ocean. De kom från över 2000 IOT-enheter som blockerades allt eftersom enheterna togs i bruk. Sammantaget kan det handla om 10,000 enheter under hela den hittills 10 dagar långa attacken. Det är viktigt att påpeka att analysservern de facto dedikerats för att attackera just NewsVoice.se, säger teknikern.

”En sådan server ger oerhört mycket mer skada än en altankamera med wifi. Den kan skjuta miljontals inloggningsförsök per minut, men de IP-nummer som används stoppas snabbt av brandväggen på Digital Ocean”, säger teknikern.

Svenskt botnet

De flesta IOT-enheterna härstammar från ett botnet i Sverige och att hyra ett svenskt botnet är dyrt. Det kostar mellan 5000-10,000 kr per dygn. Det kan även handla om tjänster och gentjänster dvs att inga pengar bytte ägare, påpekar teknikern som vill vara anonym i detta läge.

Hackers bygger upp botnets för att kunna tjäna pengar, men dessa individer är sällan politiskt motiverade, säger teknikern. De som hyr eller använder dessa botnets är tvärtom ofta politiskt drivna.

Digital Ocean med huvudkontor i USA ser naturligtvis också denna attack och de gör vad de kan för att stoppa den. Digital Ocean kan även själva enkelt konstatera att den mest aktiva datorn var servern hos Försvarsmakten.


Inom cyberkrigssammanhang är en tillgång till en sådan server värd miljontals kronor, menar teknikern. Har de tillgång till denna typ av server har de även normalt tillgång till klustret.


Teknikern med stor erfarenhet av cybersäkerhet inom den privata sektorn menar att intrånget mot Försvarsmaktens datorkluster garanterat resulterat i en rapport [en s.k. ”särskild händelse”] som gått direkt till Riksdagen.

Svenska CIO Cyberförsvaret. Foto: Bezav Mahmod, FMV
Svenska CIO Cyberförsvaret. Foto: Bezav Mahmod, Försvarsmakten

Försvarsmakten utvecklar cyberförsvar

Överste Patrik Ahlgren. Licens: CC BY-SA 3.0,Wikimedia Commons
Överste Patrik Ahlgren. Licens: CC BY-SA 3.0, Wikimedia Commons

Försvarsmakten meddelade i februari 2019 att de utbildar cybersoldater inom en särskild enhet för cyberförsvar. Bakgrunden är att Försvarsmakten fick uppgiften av Riksdag och Regering att förstärka cyberförsvarsförmågan, skriver Försvarsmakten på sin hemsida.

”Försvarsmakten har redan idag de kompetenser som krävs för att genomföra alla typer av data- och nätverksoperationer, inklusive aktiva operationer.”

Detta betyder att Försvarsmakten både ska förbättra skyddet, men även tränas i att angripa cybermål.

Överste Patrik Ahlgren leder arbetet. Ahlgren är sedan den 1 december 2016 chef för CIO Cyberförsvar vid Ledningsstaben i Högkvarteret.

Vi försvarade Försvarsmakten

Attacken mot NewsVoice är inte bara ett problem för oss som försöker driva ett oberoende media. Attacken är även ett angrepp mot oberoende journalistik, pressfrihet och även åsiktsfrihet eftersom merparten av artiklarna på NewsVoice är debattartiklar.

I kapitlet “Psykologisk krigföring” i Försvarsmaktens handledning för soldater (SoldF) står det att fria och oberoende medier är viktiga för att bemöta propaganda eftersom fienden kan försöka ingjuta föreställningen om att vårt samhälle inte är värt att försvara.

Soldathandboken, sid 16-17 (upplaga 2001):

“Yttrande- och informationsfriheten hör till de viktigaste delarna av det demokratiska samhället. Grunden för samhällets informationsflöde är en fri opinionsbildning. I Sverige får vi information och nyheter via fria och oberoende nationella och internationella medier. Ingen statlig myndighet ska genom påtryckning eller censur få bestämma vad som är rätt eller fel, vare sig i fred eller krig.

Vi är naturligtvis glada att vi på NewsVoice kunde varna för att en server på Försvarsmakten kapats av ”hackers” [ett botnet] samt att vi under normala omständigheter har ett beskydd av Försvarsmakten enligt organisationens policy. I detta fall var det dock tvärtom. Vi försvarade Försvarsmakten. Bjud oss gärna på en kopp kaffe uppe på cyberförsvaret.

Text: Torbjörn Sassersson, grundare av NewsVoice.se

Relaterat

Donera till NewsVoice

Du kan stötta Newsvoice via MediaLinq