Svenska myndigheter försöker spåra vem som ligger bakom angreppen. Foto: TT

IT-attacken kom från flera håll

Uppdaterad 21 mars 2016

Publicerad 20 mars 2016

IT-attacken mot flera svenska mediesajter kom inte enbart från Ryssland – den var samordnad från flera länder.

– Den kom österifrån men även västerifrån, säger Schibsteds informationsdirektör Fredrik Lindén. Personerna bakom är svåra att spåra, menar en IT-säkerhetsexpert.

Svenska myndigheter försöker spåra vem som ligger bakom angreppen. Men enligt David Jacoby, IT-säkerhetsexpert på företaget Kaspersky Lab, påverkas spårbarheten av flera faktorer.

Det handlar dels om en kamp mot tiden.

Hackerattack mot svenska medier

– För varje timme som går blir det svårare och svårare, säger han och förklarar att det rör sig om enorma datamängder att gå igenom, och att spåren sopas igen i takt med att mer data tillkommer:

– Det är inget man gör på fem minuter, det krävs mycket resurser.

Om angriparna nu går under jorden blir det svårt att få tag i dem. Om de däremot agerar igen, eller på annat sätt ger sig till känna, ökar chanserna att spåra dem.

– Desto mer aktiva de blir, ju lättare blir det.

Twitter-kontot central roll

Attacken annonserades på ett anonymt Twitterkonto i förväg, men det är fortfarande okänt vem eller vilka som ligger bakom kontot, och att spåra användaren är en av utredarnas viktigaste åtgärder. Men det hänger också på att Twitter och andra IT-jättar samarbetar med svenska myndigheter.

– Man behöver kontakta Twitter, för att få ut loggar, sedan kontakta leverantören och därefter jämföra det med de loggar man har på webbservern. Polisen har mandat i Sverige, men det har de inte andra länder. Det här är världsomfattande, säger David Jacoby.

Kraftig trafikökning

IT-attacken som drabbade en lång rad tidningssajter, bland andra Aftonbladet, Expressen, Dagens Nyheter och Svenska Dagbladet var en överbelastningsattack.

Gärningsmännen använde sannolikt ett stort antal hackade datorer för att skicka en enorm mängd anrop mot tidningssajterna. Servrarna klarade inte belastningen och kunde inte visa sajternas sidor.

Företaget Netnod, som ansvarar för de stora knutpunkterna i den svenska delen av Internet, såg i går kväll en kraftig ökning av datatrafiken från ryska internetoperatörer.

Det betyder inte betyda att gärningsmännen finns i öst. De kan ha fjärrstyrt virusinfekterade ryska datorer som en del av attacken. Nu kommer även uppgifter om att attacken var samordnad från flera länder.

Enligt mediebolaget Schibstedts informationsirektör Fredrik Lindén kom en del av överbelastningstrafiken västerifrån.

Farligt att peka ut länder

David Jacoby menar att trafikens ursrpungsland ger svaga indikationer om vem som kan ligga bakom angreppen.

– Man ska ha klart för sig att det är en distribuerad överbelastningsattack. Den kommer genom väldigt många källor. Internet är en global plattform, vem som helst kan utnyttja resurser som ligger över hela världen. Därför är det så farligt att gå på enskilda länder och fysiska regioner.

Omfattande arbete

Flera åtgärder har tagits på Schibsteds och Bonniers tidningar sedan överbelastningsattacken.

– Det är en extremt allvarlig situation. Vi betraktar det som ett säkerhetsärende och därför vill jag inte gå in på detalj vilka åtgärder som vidtagits. Jag kan vara konstatera att de har gjort ett fantastiskt jobb och att driften är helt normal i gen, säger Fredrik Lindén, Schibsted Sveriges informationsdirektör.

Expressen upplevde problem med sin sajt ända fram till klockan 04, natten till söndagen.

– Nu flyter allt på som vanligt. Vi har satt i gång ett omfattande arbete för att motverka den här typen av attacker mot tidningen och har kontakt med våra IT-partners, säger Karin Olsson, ställföreträdande ansvarig utgivare på Expressen.

Svårt att skydda sig

Men enligt David Jacoby är det mycket svårt att fullt skydda sig mot den här typen av angrepp. Dock är en möjlig väg är att ha flera servrar tillgängliga så att det lätt går att peka om trafik till en annan server, om den första blir överbelastad och går ner. Det kan företagets IT-avdelning göra på egenhand, eller tillsammans med internetleverantören.

– Man kan också finta trafik som ser ut som en attack, säger han och förklararatt en verklig datoranvändare lämnar mer information till den besökta webbsidan än vad de speciella ”paket” som är designade för en överbelastningsattack gör. På så sätt går det att filtrera och peka om den skadliga trafiken innan den når webbsidan.

Aldrig skådad omfattning

Det var en attack vars omfattning Expressen eller någon av de andra drabbade tidningarna aldrig tidigare varit med om.

– Det var en enorm belastning på sajterna, säger Karin Olsson.

Hackerattack mot svenska medier

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.