De senaste 10 dagarna har NewsVoice webbserver utsatts för intensiva intrångsförsök från ett botnet. Attackerna är direkt riktade mot tidningen. NewsVoice kan avslöja att den starkaste enheten var en server hos Försvarsmakten, en server som hade kapats. Först trodde inte Försvarsmakten på vår varning. Sedan stängde de av servrarna. 

Text: Torbjörn Sassersson [Uppdateringar: kl 13:23, 12 okt, 2019] | Temabild: ”Cyberförsvaret”. Montage: NewsVoice. Foto: Shutterstock.com

Tack vare NewsVoice IT-tekniker kunde det fastställas att en analysserver i ett datorkluster hos Försvarsmakten kapats och användes mot NewsVoice [dedikerade server] via internet. Vid en första kontakt avvisade Försvarsmakten att deras servrar användes, men efter att teknikern lyckats ta sig upp i organisationen med sin varning nådde denne fram till ett högre befäl inom Försvarsmakten.

Läs mer: Expertanalys: Scenarier kring Försvarsmaktserverns attack mot NewsVoice

Unixdatorn i klustret som var port mot internet kunde identifieras med IP-nummer och en pingning. Befälet hos Försvarsmakten bekräftade att uppgiften stämde varpå det blev en intensiv aktivitet i bakgrunden mitt under samtalet för att stänga serverparken [hela eller delar]. Befälet använde själv benämningen analysserver.

”De på [Försvarsmakten] lär ju fått en del att göra idag”, säger teknikern till NewsVoice.

Analysserverns funktion var att analysera trafik på nätet och kapaciteten var mycket stor, dels på den berörda datorn i sig och dels i klustret som helhet. I andra änden inne på NewsVoice server hos webbhotellet Digital Ocean kunde runt 100,000 intrång per sekund konstateras. Dessa attacker upphörde när analysservern stängdes av, men botnätet som helhet fortsatte att angripa NewsVoice och gör det fortfarande i vågor.

Ordet botnet är en förkortning för robotnät.

När ett botnet byggs upp av hackers söks svaga enheter upp, enheter kopplade till internet som har svaga brandväggar och lösenord. Dessa enheter infekteras och används som slavar för iscensätta överbelastningsattacker eller rena intrångsförsök mot en dator, server eller sajt. I det aktuella fallet handlar det om ett utdraget intrångsförsök mot sajten och nättidningen Newsvoice.se.

Vilka ligger bakom attacken?

Botnätet som hyrts eller nyttjats av någon för oss okänd intressegrupp för att genomföra attackerna [både intrångsförsök och överbelastning] mot NewsVoice består till största delen av infekterade IOT-enheter som tex: övervakningskameror, skivare, klockor och datorer [+ babymonitorer, fågelkameror], varav den mest kraftfulla enheten som vi lyckats identifiera är analysservern hos Försvarsmakten.


Om vi spekulerar om motivet bakom den utdragna attacken som pågått under 10 dagar är det mest sannolika motivet politiskt, tror vi.


Analysserverns uppgift är att analysera enorma mängder trafikdata, alltså kommunikation över internet [”spionera”]. ”De” som tagit över servern hade även tillgång till den information som analyseras, vilket teoretiskt kan bestå av myndighetskommunikation eller kommunikation till och från Regeringen, säger NewsVoice IT-tekniker. Känsliga saker alltså, ett hot mot rikets säkerhet.

De inkommande attackerna de tre senaste dygnen [och f.ö. alla andra dygn] mot NewsVoice plockas upp av Digital Ocean. De kom från över 2000 IOT-enheter som blockerades allt eftersom enheterna togs i bruk. Sammantaget kan det handla om 10,000 enheter under hela den hittills 10 dagar långa attacken. Det är viktigt att påpeka att analysservern de facto dedikerats för att attackera just NewsVoice.se, säger teknikern.

”En sådan server ger oerhört mycket mer skada än en altankamera med wifi. Den kan skjuta miljontals inloggningsförsök per minut, men de IP-nummer som används stoppas snabbt av brandväggen på Digital Ocean”, säger teknikern.

Svenskt botnet

De flesta IOT-enheterna härstammar från ett botnet i Sverige och att hyra ett svenskt botnet är dyrt. Det kostar mellan 5000-10,000 kr per dygn. Det kan även handla om tjänster och gentjänster dvs att inga pengar bytte ägare, påpekar teknikern som vill vara anonym i detta läge.

Hackers bygger upp botnets för att kunna tjäna pengar, men dessa individer är sällan politiskt motiverade, säger teknikern. De som hyr eller använder dessa botnets är tvärtom ofta politiskt drivna.

Digital Ocean med huvudkontor i USA ser naturligtvis också denna attack och de gör vad de kan för att stoppa den. Digital Ocean kan även själva enkelt konstatera att den mest aktiva datorn var servern hos Försvarsmakten.


Inom cyberkrigssammanhang är en tillgång till en sådan server värd miljontals kronor, menar teknikern. Har de tillgång till denna typ av server har de även normalt tillgång till klustret.


Teknikern med stor erfarenhet av cybersäkerhet inom den privata sektorn menar att intrånget mot Försvarsmaktens datorkluster garanterat resulterat i en rapport [en s.k. ”särskild händelse”] som gått direkt till Riksdagen.

Svenska CIO Cyberförsvaret. Foto: Bezav Mahmod, FMV
Svenska CIO Cyberförsvaret. Foto: Bezav Mahmod, Försvarsmakten

Försvarsmakten utvecklar cyberförsvar

Överste Patrik Ahlgren. Licens: CC BY-SA 3.0,Wikimedia Commons
Överste Patrik Ahlgren. Licens: CC BY-SA 3.0, Wikimedia Commons

Försvarsmakten meddelade i februari 2019 att de utbildar cybersoldater inom en särskild enhet för cyberförsvar. Bakgrunden är att Försvarsmakten fick uppgiften av Riksdag och Regering att förstärka cyberförsvarsförmågan, skriver Försvarsmakten på sin hemsida.

”Försvarsmakten har redan idag de kompetenser som krävs för att genomföra alla typer av data- och nätverksoperationer, inklusive aktiva operationer.”

Detta betyder att Försvarsmakten både ska förbättra skyddet, men även tränas i att angripa cybermål.

Överste Patrik Ahlgren leder arbetet. Ahlgren är sedan den 1 december 2016 chef för CIO Cyberförsvar vid Ledningsstaben i Högkvarteret.

Vi försvarade Försvarsmakten

Attacken mot NewsVoice är inte bara ett problem för oss som försöker driva ett oberoende media. Attacken är även ett angrepp mot oberoende journalistik, pressfrihet och även åsiktsfrihet eftersom merparten av artiklarna på NewsVoice är debattartiklar.

I kapitlet “Psykologisk krigföring” i Försvarsmaktens handledning för soldater (SoldF) står det att fria och oberoende medier är viktiga för att bemöta propaganda eftersom fienden kan försöka ingjuta föreställningen om att vårt samhälle inte är värt att försvara.

Soldathandboken, sid 16-17 (upplaga 2001):

“Yttrande- och informationsfriheten hör till de viktigaste delarna av det demokratiska samhället. Grunden för samhällets informationsflöde är en fri opinionsbildning. I Sverige får vi information och nyheter via fria och oberoende nationella och internationella medier. Ingen statlig myndighet ska genom påtryckning eller censur få bestämma vad som är rätt eller fel, vare sig i fred eller krig.

Vi är naturligtvis glada att vi på NewsVoice kunde varna för att en server på Försvarsmakten kapats av ”hackers” samt att vi under normala omständigheter har ett beskydd av Försvarsmakten enligt organisationens policy. I detta fall var det dock tvärtom. Vi försvarade Försvarsmakten. Bjud oss gärna på en kopp kaffe uppe på cyberförsvaret.

Text: Torbjörn Sassersson, grundare av NewsVoice.se

Relaterat


  • I kommentarsfältet har varje person ansvar för sin egen kommentar. Kommentarer som bryter mot kommentarsreglerna eller svensk lag kan tas bort eller ändras.
  • Donera gärna till NewsVoice, en gratistidning som är beroende av läsarnas stöd. Pengarna går till undersökande och oberoende journalistik.

30 KOMMENTARER

  1. Avslutningsvis vill jag förmedla följande. Jag/vi tror inte att Försvarsmakten avsiktligt attackerat NewsVoice. Mer troligt är att deras analysserver oavsiktligt blev en del av ett botnet. Anledningen till att den kunde bli det berodde på att en administrativ laptop hade på sin wifi-uppkoppling mot internet. Den hade isf ”hackats”. Om detta stämmer handlar det om klantighet hos den operatör som hade ansvar för laptopen.

    Jag skrev igår om att det inte gick att uppdatera eller publicera nya artiklar i NewsVoice. Det problemet, som uppstod någon dryg vecka innan attacken mot NewsVoice, tycks ha berott på webbläsare med autofyll- eller cache-problem. Eftersom jag mest använt olika kloner av Chrome tycks problemet vara isolerat till dessa, men det är forfarande oklart varför problemet uppstod och hur det kunde påverka/styra enbart WordPress, som är den tekniska plattformen för NewsVoice.

    [teknikern kommer att även han kommentera vad som hänt]

    • Inte heller jag tror att de gjort det här medvetet, men det är onekligen lite roligt att raljera över klantigheten. För det är ju rätt pinsamt med tanke på att de ska stå för nationellt cyberförsvar, samtidigt som de inte har full koll på egen utrustning som dess funktion.

  2. Med tanke på MSB:s inställning till alternativ media kan man undra vilken hållning överbefälhavare Mikael ”Dansar med Transor” Bydén har och det har ju oftast varit i säck innan det kommer i påse. I dagens läge är det ingen del av statsapparaten som håller måttet då det verkar ha gått en propp precis överallt.

    • Instämmer. Vi kan hoppas på att inte alla normala människor utrotats i samband med alla omorganisationer som skett inom alla (?) svenska myndigheter. Bydén var tex innan omorganisationen på Försvarsmakten konservativ/balanserad sedan blev han radikaliserad/obalanserad, sägs det.

      • Det räcker ju med att befästa några nyckelpositioner så kan du kontrollera en hel organisation. Försvaret och polisen är lite extra giftiga eftersom de gör vad de blivit beordrade att göra och även om de gör det motvilligt, blir det ändå gjort.

        Men det finns säkert en hel del goda människor inom båda organisationerna och innan skiten träffar fläkten kanske de ”räddar oss” med en polisiär militärkupp. För detta har hänt i andra bananrepubliker.

        • Det är ju faktiskt detta som är lite av den sorgliga poängen. De enda som har förmåga att skydda oss mot såväl yttre som inre fiender är just försvarsmakten och polisen, då en bondearmé av fulla älgjägare inte smäller lika högt. Har då någon tomte medvetet förvandlat polisen till något icke-fungerande dysfunktionellt eftersom den myndigheten inte går att avveckla och en annan avvecklat försvaret till någon nedbantad HBTQ-regnbågsarmé så ligger vi lite risigt till.

          Eftersom ingenting sker av en slump inom politiken, även om det kan se ut som så från utsidan, måste man fråga sig om inte cirkusclownerna krattat manegen inför nästa fantastiska uppträdande.

  3. Hänger inte riktigt med här. Av artikeln att döma, låter det mer som ett överbelastningsförsök (DDoS-attack). Vid en överbelastningsattack, blir det en kamp mellan resurser: hur många paket en firewall (t ex) kan droppa, som inte accepteras: säg 75 000 paket per sekund, utan att störs nämnvärt. Då behövs det enorma mängder paket och resurser, som bara finns på det riktigt stora servrarna, t ex FMV. Har själv i slutet av 90-talet satt upp checkpoint firewall på en solaris 250 med många gb i ram, och den blev ändå överbelastad. Hur är det möjligt? Andra sätt är att köra vissa protokoll mot varandra på brandväggen, om vissa sårbara portar är öppna.

    Ett intrångsförsök görs i flera steg. Först i regel en porscan, där man lägger upp ett range för att ta reda på vilka portar som är öppna: sårbara portar (17, 23 och 445 t ex) är 137–139 som är de klassiska Windows NetBIOS över TCP/IP portarna. Gäller det Microsoft SQL Server letar man efter port 1433 och UDP port 1434. I TCP/IP-stacken finns ca 65 000 portar. Varje protokoll (programspråk) är knutet till en specifik port. De flesta portar under 1024 är låsta för de klassiska protokollen SMTP port 25, 80 för WWW osv, emedan de andra fritt kan användas av programutvecklare. Ett sätt kan vara att överbelasta t ex en firewallen, tills trafiken står till. Vad en tekniker du kan göra är att starta om, och så tar man sig in den vägen. Andra sätt är via vlanläckage och spoofing.

    Men detta låter i mina öron som en överbelastningsattack.

    Det är mycket lätt att starta en egen belastningsattack, du kan göra det nu, bara ta redan på ip-numret du vill attackera sedan skriva CMD vid kör på din Windows och skriva ping -t och ip-numret. Nu kommer din dator att sända paket till mottagare i all oändlighet, eller så länge du vill. Vad som sker är nu att ICMP (Internet Control Message Protocol) gör ECHO-förfrågningar som skickas till den datorn du vill attackera. Är det väldigt väldigt många som gör detta, kan man sänka vilken server som helst. Vad en hackergrupp kan göra är att kapa många, många datorer som gör just detta, fast utan ägarnas vetskap.

    Du kan enkel själv höja din säkerhet (och kunskap) genom att titta på denna video https://www.youtube.com/watch?v=3gez4ZorxkA

    Kan mycket väl tänka mig att det var FMV som med uppsåt var utföraren, och när de blev påkomna med fingrarna i syltburken, stoppades attacken och låtsades som om det regnade. Allt annat är icke trovärdigt.

    Att en hacker grupp skulle kunna kapa en tung server på FMV, finner jag enbart löjeväckande. Hade så skett, hade flera alarm gått på en gång. Alla servrar på den här nivån är naturligtvis övervakande. Har själv satt upp flera övervakningssystem via webtrans där man regelbundet får rapporter om vilket protokoll och trafik som används mest och man kan flagga om trafiken löper amok. Detta var 20 år sedan. tekniken och säkerheten har ökat sedan dess.

    • Jag funderade också i de där banorna även om jag inte har dina tekniska kunskaper. Försvarsmakten har ju en s.k. cyberförsvarsavdelning och kan de inte ens försvara sina egna servrar så är det väl lika bra att lägga ned den avdelningen med. Sen vet jag ju att man kan lägga in intrångsdetektering och ha annan stenkoll på trafiken som övrig kapacitet. FRA kör väl en konstant kontroll av såväl försvarsmaktens som den övriga myndighetssörjans IT-kapacitet samtidigt som de letar efter eventuella sårbarheter.

      Sen tror jag också att statsapparaten gör såväl direkta påverkansoperationer som rena Psyop-attacker på den egna befolkningen. Men en del utav detta sker säkert på entreprenad via privata aktörer. Ungefär på samma sätt som åsiktsregistrering sköts via t.ex. Expo eller Picatus och det är ju bara att applicera detta på IT-området.

      Kommer ihåg hur gruppvåldtäkten av den rullstolsburna kvinnan på Gotland väckte en hel del folklig vrede. Då skickade statsmakten en smärre polisinvasion med landstigningsfärja till Gotland samtidigt som Flashback blev utsatt för en kraftig DDoS-attack, som nästan sänkte sajten totalt eller åtminstone gjorden så gott som obrukbar, för att få tyst på den uppretade diskussionen. Kombon koordinerad polisinvasion och IT-attack luktar statspåverkan. Sen om detta skett via FRA eller privata aktörer är mindre viktigt. Men det är ju inte direkt någon hemlighet att våra kära politiker har en väldigt osund inställning till den egna befolkningen, så allting är faktiskt en möjlighet i detta Nord-Korea i norr.

      • Ligger mycket i de du skriver Janne. Har nu fått lite mer insider information. Ett scenario är att försvarsmakten gjorde en överbelastningsattack, möjligen även som ett steg i ett intrångsförsök mot NewsVoice, kanske som ett test för cyberförsvaret.

        Ett annat scenario är att dem faktisk blev hackade. Det märkliga är då att inte övervakningen larmade att trafiken löpte amok? Nu för tiden resursövervakas alla servrar: diskspace, minneshantering, CPU-kapacitet, nättrafik osv. Eller så kan de vara så att de flaggat för många variabler, så det gått inflation i larmen? Det vore
        en oerhört pinsamt för cyberförsvarsavdelning om dem fått en av sina servrar hackade, men sådan har skett tidigare och kommer att hända igen.

        Viktigt att känna till att nu får tiden kör stora aktörer med så kallade containers, vilket enklast kan förklaras som ett enormt minne. Så fort en webbplats (server) anropas, dedikeras de resurser som behövs för just den webbplatsen. En virtuell server skapas då med minne, cpu samt hela databasen. När ingen efterfrågar webbplatsen längre kopplas naturresurs ner, och läggs i ett ”långtidsminne” då kan andra webbplatser i samma containers tas dess resurser i anspråk. På så viss sparas Som en gammaldags telefonväxel ungefär. Ringer alla in, kraschar växeln, då växelns kapacitet inte är omvänt proportionerligt mot antalet telefonabonnemang.

        Lite enkel tekniken om brandväggar: När man installerar ett brandväggsprogram, är det en uppsättning regler mellan flera olika ”nicar” alltså nätverksinterface eller nätverksuttag på en tung stark dator. Ett nätverksuttag finns på ”utsidan” av brandväggen, där brandväggsprogramvaran registrerar ett offentligt (gångbart på internet) ip-nummer, som inget tillåts till. Bakom brandväggen kan det finnas 100 persondatorer, där varje dator har en ip-adress som inte är gångbar på internet. Om någon på ”insidan” av brandväggen surfar ut på internet (dator 16) syns bara brandväggens offentliga ip-adress. Det gäller för alla 100 datorer. Här upprättas en session mellan datorn nr 16, brandväggen och den server på internet som dator 16 kommunicerar med. Brandväggen håller koll på vilka protokoll som tillåts passera från internet, och vilken dator på insidan den kommunicerar med. Detta sker med program som dels heter NAT (network address translation) och PAT (Port Address Translation). I badväggen finns det regler för vilka portar som tillåts mellan nätverkskortet på utsidan och datorn nr 16 på insidan. Sedan kan man införa lite mjukare arior så kallande DMZ (DeMilitarized Zone) där man tillåter lite mera vågade portar att vara öppna. T ex vid testnät. Hackar man sig i en DMZ, kommer dem inte längre.

        • Jag har tittat lite i böcker om hacking/datorer så jag känner igen en del av det du skriver även om jag inte är så insatt. Men när det gäller datorer så finns det ju en uppsjö av medvetet inbyggda svagheter i såväl mjuk- som hårdvara.

          Mycket av den proprietära programvaran vet man inte riktigt vad programmen gör eller om det finns bakdörrar inbyggda. Sen har ju även såväl Intels som AMD:s processorer separata chipp vid sidan om processorn som kör ett separat OS vars processer är osynliga för användarens operativsystem eftersom de ligger under detta.

          Är det ett chipp bredvid chippet som gör någonting man inte har en aning om vad det gör, så har man endast tillverkarens ord på att det bara har en legitim funktion. Skulle jag själv ha ett hälften så stort kontrollbehov som ”våra ägare” så skulle även jag bygga in bakdörrar i mina slavarnas datorer.

          • Jo, men detta ligger ju över min och de festa andras kunskapsnivå.

            Sedan kan det också vara så att dem vill få att tro att de övervakar oss mer än vad de egentligen kan. Det blir lätt konspiratorisk; annars, varför soppas inte all knarkhandel på nätet, all skatteflykt, barnprostitution och trafficking, om dem nu kan hacka alla datorer hur lätt som helst . Hur kom det sig att de inte kunde lokalisera Snowden flykt ens?

            Man kan köra på ett stippat linuxOS, på en usb-sticka på en dator utan hårddisk och köra via vpn sedan genom tor. Sedan bara maila med countermail. Tror det blir jäklig svårt att övervaka eller hacka då.

            Det verkar vara vanliga dödliga människor som blir enklast att övervaka, dem som inte ens behöver övervakas. Annars är jag rätt possessiv till övervakning – beroende på vem som övervakar vem.

          • Jag är medveten om den där grejen att försöka framstå som mer uber-mäktig än vad du verkligen är och den psykologiska iden bakom detta. Snowdens funktion kanske var just att pusha den uber-mäktiga iden och varför skulle de då behöva lokalisera en egen tillgång. Men jag tror inte att de maniskt går in i alla datorer utan att det handlar nog mer om att kunna gå in i de datorer de tycker är intressanta.

            Själv kör jag Linux sen 10-12 år tillbaka då jag ogillar Microsofts approach. Har även Puppy Linux på sticka som reserv om SSD:n skulle dö. Men finns det en eventuell bakdörr på processorn som t.ex. Intels ME, som kör en variant av Minix som eget OS, så spelar det ingen roll om du kör från sticka eller HDD/SSD eftersom den eventuella bakdörren sitter på själva processorn.

            Sen är jag också positiv till min egen ”övervakning” av andra men gillar inte att själv bli övervakad. Är hela tiden medveten om att jag är semi-anonym gentemot andra Internetanvändare men i det stora hela inte särskilt anonym överhuvudtaget. Sen får man inte glömma att hela Internet är något som avknoppats från det militära.

            Tänk en uppfinning som leder till att du kan registrera människors hela bekantskapskrets och vilken relation de har till specifika individer ur den kretsen. Vilka politiska, religiösa, sexuella och alla andra åsikter som läggningar de har. Du kan registrera när de i kommentatorsfältet tappar huvudet och verkligen avslöjar var de står rent åsiktsmässigt. Sen samlar du allt detta i en stor databas i väntan på ”payback-day”- 🙂

  4. Har faktiskt varit på en anställningsintervju på FMV, men tog ett annat jobb istället. Det var en ganska trist arbetsplats, som ett gammalt museum.

    Detta kanske inte har med varandra att göra, men blev drabbad av ett mycket allvarlig virus nämligen HEUR:Trojan.Win32.Generic. För att göra en lång historia kort, tog datorn lång tid på sig att starta och till sist inte alls – bara installera om Windows, lyckades också (efter många om och men) installera en av Kasperskys säkerhetsprodukter som upptäckte trojanen. Läste på och fann att just denna trojan förs upptäcktes av det ryska Kaspersky Lab den 10 April 2019 (1) som utnyttjar en ”okänd” svaghet i Windows. Man kan ta bort den själv, manuellt, vilket kräver avancerade kunskaper.

    ”Den amerikanska senaten har under 2017 arbetat med att bannlysa Kasperskys produkter från alla statliga nät. Detta sedan man sett spår av att Kasperskys i sina lösningar har försökt kartlägga hur NSA arbetar med datorintrång och övervakning. Från amerikanskt håll är man rädd för att Kasperskys framgångar kan vara en nationell säkerhetsrisk, i hänseende mot bolagets eventuella kopplingar till ryska staten”. (2)

    Vad ryska Kaspersky Lab lyckats med var att avslöja hur väst spionerar på sina använda. Litar därför mer på ryska säkerhetsprogram än amerikanska varianter, då enbart ryska säkerhetsprogram lyckats med att avslöjat hur västs teknik (NSA osv) fungerar. Ryska medborgare borde använda amerikanska säkerhetsprogram – om ni förstår logiken? Fick hur som helst bort trojanen efter enbart några timmar efter att den infekterat datorn men min e-post hade hackats, och många andra lösenord också.

    Kan dessa två händelser hänga ihop (?) även om jag inte är så konspiratorisk, bör nog alla som är flitiga debattörer här kolla sina datorer genom att ladda ner programmet här https://www.kaspersky.se som är gratis att använda.

    1) https://www.infosecurity-magazine.com/news/kaspersky-labs-discovers-unknown/
    2) https://sv.wikipedia.org/wiki/Kaspersky_Lab

  5. Jag tror det är försvarsmakten själva. Alla som arbetar där är Socialdemokrater och dom älskar svetsaren Löfven.

  6. Jag har idag diskuterat med teknikern igen och vi har ”forensiskt” gått igenom vad vi vet, samtalets innehåll med FM och andra omständigheter. Det här är våra bästa gissningar och texten nedan kompletterar artikeln ovan.

    En sak är klar. Det finns inget mer idiotiskt att medvetet låta en analysserver på FM attackera en liten nättidning som NewsVoice. Det måste handla om att analysservern råkade komma med i ett botnet av misstag. Antingen kom det med i cyberförsvarets eget ”legala” botnet eftersom de även arbetar och tränar på att angripa mål eller så råkade det komma med i ett illegalt botnet.

    Den svaga punkten var en administrativ Unix-laptop som var uppkopplad med WiFi. Syftet med den datorn var att administrera klustret. Denna maskin skulle inte ha sitt WiFi på, men det var tydligen aktivt. Denna maskin stängdes kvickt av under samtalet med FM.

    Analysservrarna får under inga omständigheter ha internet-access och hade det inte heller, men det hade den administrativa datorn. Eftersom dessa servrar inte ska vara uppkopplade mot internet kan deras egna brandväggar ha varit svaga. Det är en gissning.

    Artikeln ovan var otydlig på en viktig punkt. Den aktuella analysservern utförde ingen överbelastningsattack mot NewsVoice. Det handlade istället om frenetiska försök att logga in på olika sätt. Ett enskilt inloggningsförsök överbelastar egentligen inte eftersom varje försök bara är några byte stort, men varje inloggningsförsök måste ändå avvärjas. Varje intrångsförsök har ett IP-nummer som måste blockeras.

    Analysservern försökte alltså göra ett intrång snarare än överbelasta NewsVoice.

    Det här kan antyda att servern blivit en del av ett botnet med avsikten att få det att växa.

    Det mest komiska är om analysservern oavsiktligt blivit en del av Försvarsmaktens eget botnet. Om denna server även försökte göra intrång på 1000-tals andra datorer vet vi inte. Den har i alla fall en otroligt hög kapacitet.

    Frågan återstår om varför FM inte upptäckte detta själva, trots allt.

    • Att analysservern blev delaktig i försvarsmaktens botnet via klantfaktorn är ju ingen omöjlighet och när de blev avslöjade med handen i kakburken stängde de ned. Men om de övar cyberkrigföring så måste de ju öva på någonting och varför inte då Newsvoice och lite andra sajter. Skulle det bli oroligheter i Sverige så kommer ju statsmakten direkt ge sig på Internet och för detta så måste de ha verklig erfarenhet. Det är inte samma sak att köra simuleringar på egna datorer.

  7. Torbjörn, Erik, Janne
    När vi är inne på hackning och dataspionage berör nedanstående uppgifter nästan alla som har mobiltelef.
    Som ni säkert känner till är samtliga (nästan?osäker här) mobiltelefoner begåvade men en app benämnd Bixby.
    Appen går ej att ta bort eller avaktivera. Ex.vis Samsung gör inget åt detta trots stark kritik. Appen skaffar sig tillgång till allt innehåll och skickar detta till okänd databas. Använder försvaret eller SÄPO Samsung Android? Kanske regering och riksdag? Datavaruhus och leverantörer känner till detta men upplyser inte sina kunder. Då skulle förmodligen försäljningen av mobiler komma i kläm. En intensiv reklamkampanj pågår ständigt, ”BYT TILL SENASTE MODELL”. Här är allmänheten försvarslös. När det gäller datorer och laptop`s kan man fortfarande försvara sig, men man måste skaffa sig kunskap hur.

  8. Jag tror att Svenskt försvar är ett mycket intelligent nätverk av smarta och välutbildade militärer, ingenjörer och forskare mfl. Laptop går att programmera för automatisk avstängning enligt schema, en anställd som ”glömmer” att stänga av sin dator? Låter mycket skrämmande och inkompetent. Dessa mycket kloka och påhittiga personer måste ju få använda sina kunskaper i verkligheten de behöver träning helt enkelt. Att sedan offret/n har högt utvecklade hackerkunskaper förstår ju dessa ”elever” så de har utarbetade mallar för hur de ska hantera alla situationer som kan uppstå. Vilka är smartast vi eller agenterna?

    • Du har säker rätt att dem är smarta, välutbildade och intelligent. Men nu är deras uppgift att förvara landet, inte dansa i pridetåg. Det är väl snarare en signal till omvärlden: kom och ta landet om ni vill!

  9. Eftersom NewsVoice (där teknikern är hjälten) avvärjde ett hot mot nationens säkerhet genom att avslöja att en spionserver tagit över i ett botnet som attackerar NewsVoice är det väl inte en dum ide att det svenska cyberförsvaret svarar med en motprestation och avvärjer den pågående och återkommande överbelastningsattacken mot NewsVoice?

    Ni kan ju alltid se det som en övning inom ramen för er utbildningsverksamhet. Problemet är om överbelastningsattacken kan spåras till en skum underleverantör till Socialdemokraternas PR-byrå. Är det så behöver ni förvisso inte avslöja det.

  10. Artikeln ovan har uppdaterats/förtydligats med texten som finns inom parenteserna [xxx]:

    Tack vare NewsVoice IT-tekniker kunde det fastställas att en analysserver i ett datorkluster hos Försvarsmakten kapats och användes mot NewsVoice [dedikerade server] via internet.

    Befälet hos Försvarsmakten bekräftade att uppgiften stämde varpå det blev en intensiv aktivitet i bakgrunden mitt under samtalet för att stänga serverparken [hela eller delar].

    Botnätet som hyrts eller nyttjats av någon för oss okänd intressegrupp för att genomföra attackerna [både intrångsförsök och överbelastning] mot NewsVoice består till största delen av infekterade IOT-enheter…

    Analysserverns uppgift är att analysera enorma mängder trafikdata, alltså kommunikation över internet [“spionera”].

    De inkommande attackerna de tre senaste dygnen [och f.ö. alla andra dygn] mot NewsVoice plockas upp av Digital Ocean.

    Teknikern med stor erfarenhet av cybersäkerhet inom den privata sektorn menar att intrånget mot Försvarsmaktens datorkluster garanterat resulterat i en rapport [en s.k. “särskild händelse”] som gått direkt till Riksdagen.

    • Vilken soppa. Detta kan knappast vara en fjäder i hatten för denna Patrik. Hans namn lär dyka upp vid en vanlig googlesökning, vid en ev rekrytering. Den privata sektorn ska här dra öronen åt sig; nä man betänker att han hotade newsvoices tekniker – som gratis gjort hans jobb, karln inte själv hade kompetens för. Han blir väl som alla befordrat uppåt inom den statliga hierarkin.

  11. Slå på CDN. Tex Cloudflare, det skyddar mot DDoS. CDN finns kanske förberett hos er leverantörer. Avlastar och skyddar, bra grej.

  12. Noterat. Den 11 oktober skrev FM om att de just övat cyberförsvar:

    Myndigheter och företag övade cyberförsvar tillsammans

    ”Liksom förra årets övning, genomfördes årets upplaga tillsammans med myndigheter med ansvar för cybersäkerhet i Sverige samt med myndigheter och företag som ansvarar för system och tjänster kopplade till Försvarsmakten. ”

    https://www.forsvarsmakten.se/sv/aktuellt/2019/10/myndigheter-och-foretag-ovade-cyberforsvar-tillsammans/

LÄMNA ETT SVAR

Vänligen ange din kommentar!
Vänligen ange ditt namn här