Rysk cyberoffensiv 2025 i skuggan av Ukraina kriget – spionage och sabotage mot väst

Rysslands pågående krig i Ukraina fortsätter att åtföljas av en intensiv cyberdimension som nu direkt hotar västeuropeisk säkerhet. I maj 2025 tog elva västländer det ovanliga steget att utfärda en gemensam varning där man avslöjade detaljer om en omfattande rysk cyber-spionagekampanj som systematiskt riktat sig mot försvars- och logistikkedjor som stödjer Ukraina¹.

Den stora avslöjandet: APT28:s tvååriga kampanj

Enligt det joint-uttalande som undertecknades av 21 underrättelsetjänster från 11 länder – däribland USA, Storbritannien, Tyskland, Frankrike och Sverige genom NATO – ligger den ökända ryska militärunderrättelsegruppen ”Fancy Bear” (GRU Unit 26165) bakom två års systematiska intrångsförsök². Gruppen, som också kallas APT28, BlueDelta och Forest Blizzard, har varit aktiv sedan minst 2004 och är direkt kopplad till Rysslands militära underrättelsetjänst GRU:s 85:e särskilda servicecenter³.

Kampanjens omfattning är anmärkningsvärd: Ryska hackare har systematiskt riktat sig mot dussintals organisationer inom ”nästan alla transportslag: flyg, sjöfart och järnväg” i NATO-länder, Ukraina och internationella organisationer⁴. Målet har varit att stjäla information och störa leveranser av vapen, bistånd och annat stöd till Ukraina.

Tekniska attackmetoder: Sofistikerad hybridkrigföring

APT28 använder en blandning av välkända och avancerade tekniker för sina operationer:

Primära intrångsmetoder:

• Lösenordsspraying med återuppbyggda kapaciteter efter tidigare avslöjanden
• Spjutfiske-kampanjer riktade mot högt uppsatta tjänstemän
• Modifiering av Microsoft Exchange-mailboxbehörigheter för långsiktig åtkomst⁵

Malware-arsenal: Gruppen deploerar flera skadliga verktyg beroende på målet, inklusive OCEANMAP, STEELHOOK och andra trojaner som använder DLL search order hijacking för att undvika upptäckt⁶. För persistens använder de schemalagda uppgifter, run keys och skadliga genvägar i startup-mappar.

Övervakningstekniker: Sedan mars 2022 har APT28 genomfört storskaliga kampanjer med RTSP DESCRIBE-förfrågningar mot IP-kameror i Ukraina och grannländer, ofta med standardlösenord eller brute-force-attacker för att få tillgång till livesändningar⁷.

Eskalering: Från spionage till sabotage

Särskilt oroväckande är nya indikationer på att ryska aktörer kartlägger kritisk infrastruktur i väst för möjlig sabotageverksamhet. Nederländernas militära underrättelsetjänst (MIVD) avslöjade i april 2025 att ryska hackare 2024 försökte ta kontroll över styrsystemet hos en nederländsk anläggning – *”det första kända försöket till cybersabotage mot nederländsk infrastruktur”*⁸.

Östersjön och Nordsjön: Ny front för elektronisk krigföring

MIVD konstaterar att Ryssland även ägnar sig åt att kartlägga kablar och rör i Nordsjön för möjlig manipulation⁹. Detta bekräftar farhågorna om att Kreml planerar för att kunna störa internet, energi- och vattenförsörjning i Europa som en del av sin hybridkrigföring. ”Vi ser att det ryska hotet mot Europa ökar, även efter ett möjligt slut på kriget,” varnade MIVD:s chef Vice Admiral Peter Reesink¹⁰.

Samtidigt rapporteras om en ny typ av GNSS-jamming i södra Östersjön som påverkar enheter på havsnivå över mycket större avstånd än vad en markbaserad störsändare normalt kan nå. Den mest intensiva attacken hittills ägde rum när Danmarks politiska elit och 100 000 besökare samlades på Bornholm¹¹. Denna sofistikerade elektroniska krigföring tyder på att Ryssland testar nya metoder för att störa kritisk navigation och kommunikation i strategiskt viktiga områden.

Ryska hacktivister intensifierar DDoS-attacker

Parallellt har den ryska hacktivist-scenen, ofta med tyst godkännande från staten, bombarderat europeiska mål med överbelastningsattacker. NoName057(16), en pro-rysk hackergrupp, har genomfört koordinerade DDoS-angrepp mot allt från Finlands riksdag till nederländska organisationer¹¹. Gruppen har utvecklat sitt verktyg ”Project DDoSia” för att förbättra kompatibiliteten med olika processorarkitekturer.

Svensk kontext: Ett primärt mål för rysk aggression

För Sverige representerar denna eskalering ett direkt och växande hot. Säkerhetspolisen (SÄPO) har upprepade gånger identifierat Ryssland som det ”avgörande hotet mot Sverige” och rapporterar att ryska säkerhetshot-aktiviteter riskerar att hota flera skyddsvärden med betydelse för rikets säkerhet¹².

Historisk utveckling av hotet

Enligt generalmajor Gunnar Karlson, chef för svenska militära underrättelse- och säkerhetstjänsten (MUST), kommer ”de flesta cyberattacker som drabbar Sverige från Ryssland”¹³. MUST har dokumenterat tydliga bevis för att Ryssland försökt få tillgång till svenska regering- och militärhemligheter, inklusive operationer som syftar till att påverka svenska gruppers eller befolkningens beteenden.

Konkreta exempel på rysk påverkan:

• 2015 cirkulerade ett förfalskat brev som påstods vara skrivet av försvarsminister Peter Hultqvist i rysk media¹⁴
• Mars 2024: NoName057(16) genomförde riktade cyberattacker mot Sverige och påstod sig ha ”slagit ut två regeringswebbplatser” och ”stängt ner Konkurrensverkets webbplats”¹⁵

Sveriges digitala sårbarheter

Sverige är särskilt utsatt då landet är ett av världens mest uppkopplade med över 93% av hushållen som har internettillgång¹⁶. Trots detta rapporterar Myndigheten för samhällsskydd och beredskap (MSB) att ”Sverige har digitaliserat mycket snabbt, men generellt sett har vi inte investerat lika mycket tid och resurser i cybersäkerhet”¹⁷.

Senaste attackerna mot Sverige:

• Januari 2024: Ryska hackare genomförde en ransomware-attack mot Sveriges enda digitala tjänsteleverantör för regeringstjänster¹⁸
• Januari 2024: Tietoevry-attacken av Akira-gruppen (kopplad till Ryssland) drabbade svenska myndigheter och butiker¹⁹
• En serie på ett 30-tal oförklarliga sabotage riktade mot telemaster utreds av polisen, kan SVT avslöja. Merparten av fallen har koppling till E22:an på svenska östkusten – och är del av en större ökning av misstänkta sabotage mot telekomsektorn.

EU:s respons: Sanktioner och utvisningar

Mot denna bakgrund har EU-länderna infört sanktioner mot ryska hackere och utvisat misstänkta underrättelseofficerare. Tjeckien har svartlistat en GRU-agent på sitt territorium för desinformationskampanjer²⁰. Frankrikes cybersäkerhetsmyndighet ANSSI tillskrev i april en rad tidigare intrång i franska myndigheter och forskning till just APT28 (Fancy Bear) och betonade att dessa pågår parallellt med kriget²¹.

NATO:s förstärkta cybersäkerhetssamarbete

NATO har aktiverat förstärkta cybersäkerhetsmekanismer som respons på de ryska attackerna. Alliansen betonar att artikel 5 – kollektiv försvarsklausulen – även gäller för cyberattacker av tillräcklig omfattning och konsekvens.

Tekniska rekommendationer för svenska organisationer

Baserat på APT28:s dokumenterade metoder bör svenska myndigheter och företag prioritera följande åtgärder:

Nätverkssäkerhet och övervakning

• Nätverkssegmentering för att begränsa lateral förflyttning efter initial kompromittering
• Förstärkt loggning av Microsoft Exchange-mailboxbehörigheter och ovanliga åtkomstmönster
• RTSP-monitorering av IP-kameror mot obehörig åtkomst och avlyssning

E-post och autentisering

• Multi-faktor autentisering (MFA) för alla administrativa konton
• Lösenordspolicy som förhindrar lösenordsspraying-attacker
• E-postsäkerhet med avancerat skydd mot spjutfiske-kampanjer

Malware-skydd och systemhärdning

• Application whitelisting för att förhindra osignerad kod
• DLL-kontroller för att upptäcka search order hijacking
• Endpoint Detection and Response (EDR) med beteendeanalys

Incident response och underrättelser

• Hotinformation från CERT-SE och internationella partners
• Incidentövningar med fokus på APT28:s kända TTP:er
• Snabb rapportering till SÄPO och MUST vid misstänkta statssponsrade attacker

Framtida hotbild: Hybridkrigföring som ny normalitet

Utvecklingen visar att cybersäkerhet nu är en integrerad del av nationell säkerhet på ett sätt som inte existerade före Ukraina-kriget. Vice Admiral Reesinks varning om att det ryska hotet kommer att bestå även efter ett möjligt slut på kriget i Ukraina understryker behovet av långsiktig beredskap²².

Implikationer för svenskt försvar

Sveriges NATO-medlemskap har gjort landet till ett ännu mer attraktivt mål för rysk hybridkrigföring. SÄPO rapporterar att ”Rysslands säkerhetshot-aktiviteter som genomförs mot Sverige riskerar att hota flera skyddsvärden med betydelse för rikets säkerhet, inte minst de som är kopplade till Sveriges territoriella integritet och politiska suveränitet”²³.

För svenska beslutsfattare understryker detta behovet av:

• Förstärkta investeringar i cybersäkerhet både nationellt och genom EU/NATO-samarbete
• Kontinuerlig vaksamhet för ryska påverkanskampanjer och desinformation
• Beredskap för scenarier där ryska aktörer försöker både stjäla information och sabotera kritiska processer

Kombinationen av spionage och potential för fysisk infrastrukturpåverkan gör att 2025 års cyberhot från Ryssland verkligen är mer komplexa än någonsin. I denna nya verklighet är cybersäkerhet inte längre bara en IT-fråga – det är en överlevnadsfråga för demokratin.

---

Källor:

1. Reuters, ”UK and allies warn of Russian cyber activity targeting support to Ukraine”, 21 maj 2025
2. The Record, ”Western intelligence agencies unite to expose Russian hacking campaign”, 21 maj 2025
3. MITRE ATT&CK, ”APT28 Threat Group Profile”, senast uppdaterad 2025
4. CISA, ”Russian GRU Targeting Western Logistics Entities and Technology Companies”, AA25-141A
5. CISA Cybersecurity Advisory AA25-141A, maj 2025
6. SOC Prime, ”Detect APT28 Attacks: russian GRU Unit 26156 Targets Western Logistics”, 22 maj 2025
7. Ibid.
8. The Record, ”Russia attempting cyber sabotage attacks against Dutch critical infrastructure”, 22 april 2025
9. Reuters, ”Russia is ramping up hybrid attacks against Europe”, 22 april 2025
10. INCYBER NEWS, ”The Netherlands targeted by attempted Russian cyber sabotage”, 28 april 2025
11. CSCIS, ”Cyberwar: Russia cyber-attacks Estonia and Sweden”, mars 2024
12. Jamestown Foundation, ”Sweden’s SÄPO Reports that Russia is Evolving Sabotage Tactics”, 9 april 2025
13. Bitdefender, ”Russia, main source of cyberattacks on Sweden”
14. Ibid.
15. CSCIS, ”Cyberwar: Russia cyber-attacks Estonia and Sweden”, mars 2024
16. Cyberlands, ”Top 10 Cybersecurity Breaches in Sweden”
17. SecurityWeek, ”Russian Hackers Suspected of Sweden Cyberattack”, 23 januari 2024
18. CSIS, ”Significant Cyber Incidents”, januari 2025
19. SecurityWeek, ”Russian Hackers Suspected of Sweden Cyberattack”, 23 januari 2024
20. Egen analys baserad på EU:s sanktionsregim mot ryska hackare
21. Analys baserad på ANSSI:s rapporter om APT28-aktivitet
22. INCYBER NEWS, ”The Netherlands targeted by attempted Russian cyber sabotage”, 28 april 2025
23. Jamestown Foundation, ”Sweden’s SÄPO Reports that Russia is Evolving Sabotage Tactics”, 9 april 2025