Expertanalys: Scenarier kring Försvarsmaktserverns attack mot NewsVoice

NewsVoice är en oberoende nättidning med utgivningsbevis som startade 2011. Syftet är att publicera nyheter, debattartiklar, kommentarer och analyser. Stöd vårt arbete genom att donera, sponsra (tex granskningar, utlandsreportage) eller annonsera.
publicerad 14 oktober 2019
- NewsVoice redaktion
Temabild: "Cyberförsvaret". Montage: NewsVoice. Foto: Shutterstock.com

NewsVoice tekniker, med ett brett kunnande inom serverteknik och systemtänkande inom IT, ger sin bild av varför en av Försvarsmaktens servrar attackerade NewsVoice. Frågan är varför en extremt kraftfull server som inte ens borde ha tillgång till internet överhuvudtaget fanns med i ett botnet som angriper en liten nättidning. Svaret är mest sannolikt: ren klantighet.

Text: NewsVoice IT-tekniker | Sammanfattning och bakgrund: Torbjörn Sassersson, redaktör NewsVoice | Temabild ovan: ”Cyberförsvaret”. Montage: NewsVoice. Foto: Shutterstock.com. Personen på bilden är en modell och därför inte inblandad.

Bakgrund

Den 9 oktober avslöjade NewsVoice att en av Försvarsmaktens servrar löpte amok och blivit en del av ett botnet som attackerade NewsVoice. Nyheten spreds inom de nya etablerade nätmedierna och generellt i sociala medier medan gammelmedierna och den aktuella myndigheten som förväntat alla förblev knäpptysta.

Många detaljfrågor ställdes av läsare om händelsen och NewsVoice tekniker, som vill förbli anonym, förklarar nedan vad som vi säkert vet har hänt och hur det kan ha gått till.

Längst ner i redovisar vi de senaste 2 årens botnet-attacker mot NewsVoice.

NewsVoice tekniker förklarar

Vad vi vet om vad som hände och hur situationen såg ut:

  • IP-nummer som administreras och används av Försvarsmakten.
  • Bekräftelse skedde vid telefonkontakt med Försvarsmakten att det var en enhet hos dem som egentligen inte skall ha internet-access.
  • Anslutningen mot internet skedde via en administrativ PC som via Wifi var ansluten till internet.
  • Anslutningen från denna enhet rörde hundratusentals (sannolikt miljontals) inloggningsförsök via SSH2 under uppskattningsvis 5-10 dagar.
  • NewsVoice webbserver är dedikerad och inga andra sajter finns på det IP-numret.
  • Utöver denna enhet var det tusentals andra enheter som tex: skrivare, kameror, kylskåp, surfplattor och diverse andra IoT-enheter.
  • Det skedde en blandning av inloggningsförsök (intrångsförsök) och pingningar (DDoS), alltså överbelastningsattacker.

Logik

Att en server på försvarsmakten används i en avsiktlig och riktad attack mot NewsVoice är ytterst ologisk och rent av parodisk.

Om nu någon har access till en server på detta sätt så skulle den aldrig någonsin användas för att attackera en mindre nättidning. Man kan likna det med att ha huvudnyckeln till ett bankvalv, men man använder nyckeln till att öppna kapsylen på kvällsölen.


Att försvarsmakten borde ha koll på sin trafik lämnas där hän, då vi inte vet eller kan bekräfta vilka skydd de haft på sin utrustning över huvud taget, men man kan tänka sig att de borde vara överdimensionerade och i flertalet lager.


NewsVoice som måltavla

Antagandet att just NewsVoice var måltavlan vet vi inte, det är dock överhängande att attacken skett mot fler sajter endera utefter en förutbestämd lista eller utefter IP-skanning eller randomiserat.

Botnet likt dessa gör ofta två saker:

  • de vill växa och bli kraftigare, men även
  • utföra attacker mot riktade eller slumpvisa mål.

Om NewsVoice utsattes för en riktad attack eller om det var en del i ett botnets försök att expandera sig självt för att få kontroll över NewsVoice server för att utföra ytterligare attacker går inte att säkert veta.

Vi utelämnar huruvida NewsVoice var måltavla eller inte, mest troligt var det randomiserade försök att överta mer kapacitet och NewsVoice dedikerade server var ett av sannolikt många mål.

Möjliga scenarier bakom attacken mot NewsVoice i oktober 2019

Ett botnet bestående av främst diverse IoT-enheter attackerar naturligtvis NewsVoice av en orsak.

  1. Servern på Försvarsmakten hamnar av misstag i ett botnet av en administratör som klantar sig.
    Kommentar: Logiskt sett är det den mest sannolika förklaringen. Man använder inte en sådan tillgång avsiktligt av någon orsak då man röjer den tillgång man har.
  2. Servern ingår i det nya cyberförsvaret och Försvarsmakten (FM) har tillgång till ett eget botnet och personalen klantar sig med sin egen server endera i drift eller vid utbildning.
    Kommentar: Nästan så att detta blir lite humoristiskt, men ändå möjligt.
  3. Attacken var riktad mot NewsVoice och man använder avsiktligt en server på FM.
    Kommentar: Högst osannolikt. Det vorer så urbota korkat att om någon har kontroll över en sådan server skulle den aldrig någonsin användas på detta sätt.
  4. Att FM eller annan myndighet aktivt och avsiktligt attackerar Newsvoice, oavsett orsak.
    Kommentar: Detta kan avskrivas helt som möjligt scenario.

Så långt teknikerns redogörelse.


Sammanfattning av redaktören

Vi kan konstatera att NewsVoice var ett mål, av möjligen flera mål, för en högst avancerad attack av ett botnet där den starkaste enheten som teknikern kunde identifiera var en särdeles kraftfull analysserver på en ”cyberenhet” inom Försvarsmakten. Det var Försvarsmaktens egen personal som uppgav att det var en analysserver som utförde attacken.

Teknikern tror att denna server mest sannolikt blivit en del av ett botnet beroende på ren klantighet inom Försvarsmaktens administration av ett kluster av analysservrar där ingen borde haft internet-access överhuvudtaget.

Teknikern misstänker därför att attacken från Försvarsmaktens server mot NewsVoice var något som inte myndigheten låg bakom eller ens kände till eftersom det var teknikern som upplyste myndigheten om att den deltog i en attack mot NewsVoice.

NewsVoice blev alltså inte attackerat av Försvarsmakten som organisation, utan istället av en av myndighetens servrar. I övrigt vet vi inte vem som hyrde eller använde detta botnet för att angripa NewsVoice. Vi vet bara att det är ett faktum.

Ytterligare läsarfrågor kan postas i kommentarsfältet nedan. Vi redovisar nedan de senaste 2 årens botnet-attacker mot NewsVoice.

Text: NewsVoice IT-tekniker | Sammanfattning och bakgrund: Torbjörn Sassersson, redaktör NewsVoice

Relaterat – historik

Donera till NewsVoice

Du kan stötta Newsvoice via MediaLinq