DDOS Attack mot Svenska tidningar – vem ligger bakom?

1

Att Sveriges största tidningar Aftonbladet, Expressen, Sydsvenska, Dagens Nyheter, DI och Helsingborgs Dagblad ligger nere en lördagskväll är knappast en slump och visar hur sårbart Sverige är för IT-attacker. Mycket talar för att det är en överlastningsattack dvs en Ddos-attack och det är en rätt tung maktdemonstration av dem som ligger bakom att de lyckas sänka flera av mediesajterna och attackera det öppna svenska samhället.

Frågan är vem som ligger bakom?

Attacken är massiv och kräver mycket datakraft eftersom de här sajterna har rätt bra säkerhet och prestanda.

Enligt DN så har det förekommit ett hot på Twitter på engelska.
De följande dagarna kommer attacker att riktas mot den svenska regeringen och medierna som sprider falsk propaganda.

Det är det här Twitterkontot som avses som sedan efter hotet har blivit nedstängt.

twitterkonto

En potentiellt misstänkt gruppering att attackera svensk media är inom Svenska motståndsrörelsen och vit-makt rörelsen och personer som är mot invandringen. En annan sak som pekar mot den här kretsen är att Avpixlat inte blev attackerat.

Ser man Twitter kontot är det uppsatt som en ung person i 25 års åldern +- 5 år. Själv tittade jag på människor som gillade och följde kontot och det var runt 200 personer där många lätt kunde identifieras som nazister ifall man läste vad de i sin tur skrev om.

Att utreda de som följer kontot och gillar kontot blir lördagsgodis för SÄPO – det är extremt enkelt att reda ut den här gruppen på drygt 200 personer och se ifall de har någon agenda. Att hen valt Helsingborg och Sydsvenskan som mål indikerar att hen troligtvis kommer från Skåne så det går att begränsa gruppen ännu mer. Personen som hade kontot stängde ner det efter någon dag. Så här i efterhand ångrar jag att jag inte skrapade ner kontot för det är rätt enkelt att hitta personen som ligger bakom genom att kartlägga de olika grupperingarna som finns bakom de 200 som gillade kontot och följarna. Kontot i sin tur följde bara en person. De här personerna var alltså aktiva innan hotet blev offentligt! Dessutom vem bryr sig egentligen om att sänka Helsingborgs Dagblad om man inte själv är skåning?

Andra som kan ligga bakom attacken förrutom en invandrarfientlig

skåning är ”The Usual Suspects” någon terroristgrupp, religiösa och allvarliga män med skägg eller någon politisk ytterlighetsgruppering som känner sig trampade på fötterna och valt att attackera medierna genom att beställa en Ddos attack samt Ryssland..

Hotet från Ryssland?

Det är naturligtvis intressant att följa varifrån IP-adresserna kommer. Enligt en artikel i SR har Netnod identifierat att mycket av trafiken kommer från Ryssland. En del av tidningarna ligger på Iponly som använder Netnod så det är en relativt tillförlitlig källa. Senare har man korrigerat och sagt att attackerna kom från alla delar av världen utom Australien.

Även om IP-adresserna och attacken kommer från Ryssland innebär inte det med automatik att det är deras säkerhetstjänst utan det kan mycket väl vara kriminella grupperingar. Kriminella tjänar pengar på olika typer av angrepp och malware. DDOS attacker går enkelt att beställa från kriminella aktörer i Ryssland för några hundralappar. Att beställa en Ddos attack behöver du inte ens vara speciellt kunnig om du går ut på Darknet och beställer direkt från Ryssarna. Betalar man med Bitcoin är det omöjligt att följa. Omfattningen för det här projektet skulle kanske landa kring 10 000 kronor.

Vad som gör det extremt känsligt är att det är bara några dagar sedan som Säpo i sin årsrapport för 2015 anklagade Ryssland för att ligga bakom underrättelseverksamhet och psykologisk ickelinjär krigföring mot Sverige och publicerade en rapport kring säkerhetsläget. Men den här gången är det osannolikt att deras säkerhetstjänst FSB och Putin ligger bakom – även om det säkerligen spekuleras i dessa tankebanor inom militären och säkerhetspolisen. I Säpos årsrapport beskrivs ryska desinformationskampanjer för att skapa oro i samhället. Är Putin dum nog att sponsra ett sådant här projekt mot svensk media – knappast.

Att Rysk säkerhetstjänst slickar sig om munnen efter attacken är förståeligt. Nu vet de att de rätt enkelt kan slå ut Sveriges infrastruktur och de vet också hur många kommer agera. Någon dag senare slogs förresten finska försvarsministeriet ut av en Ddos-attack. Vid Finska gränsen hade ryssarna en stor militärövning så de kanske leker med sina IT-system och testar sina grannar….

Den tekniska bakgrunden hos våra mediabolag

Aftonbladet och Expressen ligger på helt olika tekniska miljöer – Aftonbladet har valt Apache medan Expressen har Microsoft miljö och IIS som webbserver.  Ett alternativt scenario men rätt otänkbart scenario kan vara någon driftstörning på någon kritisk server eftersom attacken startade samtidigt som Earth hour. Kanske använder flera tidningar samma CDN (Content Delivery Network) som fått problem. Både Aftonbladet och Expressen använder Akamai och Cloudfront som CDN. Kanske läge för mediebolagen att se över sin infrastruktur som är under all kritik. De lär ju kunna få finansiering från politiskt håll…

Ifall de hade använt WordPress så finns det ett antal plugins som skyddar mot DDOS och det är relativt enkelt att lägga in flera CDN:er. Det går också att relativt enkelt blockera trafik från ett annat land, RPC-attacker eller brute force attacker. Det här är funktionalitet som borde finnas i alla mediers infrastruktur. Google har också program för att skydda media sajter!

Svenska myndigheter beredskap?

Beredskapen mot IT-attacker är skrämmande låg. Hur snabba tror ni myndigheterna har varit. Kl. 10.00 dagen efter attacken hade ingen av de här myndigheterna skrivit någonting på sina hemsidor. Då har det ändå gått 13 timmar och så här efteråt vet andra länder hur dålig Sveriges IT-beredskap är.

Det är obehagligt att tänka på att myndigheterna verkar ha tagit semester och inte ens har någon kommentar på hemsidorna förrän långt efter attacken.Tänk om det hade varit en riktig attack från främmande makt istället för ett idiotiskt ”pojkstreck”?

  • https://cert.se – inget skrivet eller rapporterat förrän på söndagen 11.03 då de rapporterade om överlastningsattack mot svensk media. Cert brukar vara ruggigt snabba med incidenter och i det här fallet var de ändå bäst i klassen men rapporten kom först 14 timmar efter att incidenten har inträffat!
  • https://www.msb.se – myndigheten för civilberedskap gapade tyst om nyheten ända till kl. 16.34 dagen därpå då de uppdaterade sin sajt med en artikel. Då hade det gått 19 timmar efter incidenten. Några timmar senare har de fräck
  • heten att skriva en artikel i SvD att myndigheter är sårbara för för it-attacker. Hur är det med självkritiken?
  • http://www.sakerhetspolisen.se – enligt en tidig artikel från HD så blev SÄPO inkopplade direkt men de hade ingen kommentar på sin hemsida på söndagen
  • http://regeringen.se – likaledes tyst på söndagen och även helt tyst från IT-minister Mehmet Kaplan. Han skriver inte ens något på Twitter om incidenten. På måndagen säger statsminister ”Allvarligt” och att de börjat ett stort arbete om cybersäkerhet och IT-strategi till DN

Carl Bildt var däremot sin vana trogen rätt snabb på Twitter på söndagsmorgonen…

Carl Bildt

Skärmbilder på lördagskvällen

 

Expressen ligger nere

Aftonbladet ligger nere

 

Liknande artiklar:

About Author

Jag heter Daniel Larsson och Cybersecurity och datasäkerhet är ett stort intresseområde. Under åren har jag marknadsfört säkerhetsbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Jag har erfarenhet av framförallt digital marknadsföring, webbutveckling och ehandel.