Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se, e-DN och DN.Prio.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Sverige

Flera företag drabbade av största attacken hittills

Lördagskvällens ddos-attack mot svenska mediesajter riktades specifikt mot Schibsted- och Bonnierkoncernerna. Den är sannolikt den största samordnade hittills i Sverige, och drabbade också flera andra företag, bland annat banken SBAB.

Dagens Nyheters sajt låg helt nere i nästan en timme på lördagskvällen, Även Bonniertidningarna Expressen, Dagens Industri, Sydsvenskan och Helsingborgs Dagblad drabbades, liksom Schibsteds båda svenska tidningar, Aftonbladet och Svenska Dagbladet.

Foto: Sara Mac KeyFredrik Ögren, operativ chef för it-avdelningen på Bonnier News där DN ingår, ledde arbetet med att avstyra attacken. De första tecknen på att något var fel dök upp vid 20.40, berättar han.

– Därefter kopplades både bolaget som driver servrarna och stora internetoperatörer in. Innan attacken var över tvingades Telia dirigera om internationell internettrafik för att minska belastningen. Omkring halv elva på kvällen gick de flesta av sajterna åter att nå, men teknikerna fortsatte att mota attacken till efter klockan fyra på söndagsmorgonen.

Fredrik Ögren beskriver attacken som mycket omfattande.

Överbelastningsattacken slog inte bara mot mediesajter, utan också mot ett stort antal andra företag som delar leverantör med Bonnier- eller Schibstedsajterna.

När en stor del av den tillgängliga kapaciteten användes för att slå mot vissa sajter, blir den sekundära effekten att även andra sajter kan gå ner.

Värst drabbades SBAB Bank vars webbsajt slogs ut helt i över två timmar fram till klockan 23.

– Och först efter ett på natten blev det möjligt att logga in, berättar SBAB:s informationschef Karin Hellgren.

Foto: Anders Wiklund/TT Foto: TT

Leif Engdahl, vd på serverdriftföretaget Basefarm, är förtegen om i vilken omfattning andra företag än tidningarna påverkades av attacken.

– Olika måltavlor drabbas i olika grad. Man kan anta att det är samma sak den här gången, säger han.

Han konstaterar att hackarna som vill attackera sajter är uppfinningsrika och ser hur skydden utvecklas.

– Vi jobbar hela tiden med de här frågorna för att lära oss av det vi får reda på och ser händer i de tekniska systemen. Det är vår absoluta skyldighet och överlevnadsfråga att vi är duktiga på det.

Är attacker som denna ofrånkomliga?

– Det är ett starkt ord, att det skulle vara ofrånkomligt. Men det kommer sannolikt alltid att inträffa situationer där den attackerande hittar en lucka, säger Leif Engdahl.

Även TV4, som också har Basefarm som leverantör, drabbades. TVPlay och TV4.se blev trögare men gick aldrig ned helt.

– Vi var inte det primära målet. Nu måste vi och alla mediehusen ta upp en diskussion med Myndigheten för samhällsskydd och beredskap om hur vi ska möta de här hoten, säger Jan Rizvi, teknisk chef på TV4.

Söksajten Hitta, som anlitar Ip-only som leverantör likt Schibsted, drabbades också.

– Vi delar nät med Aftonbladet och Svenska Dagbladet. Sajten och appen gick inte ned men de blev segare, och sökningarna gick långsamt, säger Alexander Hannerland, vd på Hitta.se.

En av teorierna är att attacken mot de svenska webbsidorna kommer från Ryssland, precis som attacken mot Estland 2007.

– Den här attacken är väldigt lik den Estland utsattes för 2007 av Ryssland, säger utredningschef Lars Nicander vid Försvarshögskolan.

Cyberattacken mot Estland 2007 skedde under den så kallade statykrisen som utbröt när Estland flyttade ett minnesmärke med en sovjetisk bronssoldat. Det väckte kraftiga ryska protester och överbelastningsattacker riktades mot estniska ministerier, banker, tidningar och etermedier som blockerades. Brottsutredningar pekade på att personer i Ryssland låg bakom.

– Attacken 2007 hade kopplingar till den ryska maffians nätverk av kapade datorer som anlitades. Gränsen mellan maffian, aktivister och den ryska staten är väldigt flytande. Det är väl belagt att ryska statliga aktörer var inblandade, men behövde genom maffian inte skylta med det, påpekar Lars Nicander.

Relationen mellan Sverige och Ryssland är ansträngd. Inom EU är Sverige ett av de länder som hårdast driver att sanktionerna med Ryssland på grund av annekteringen av Krim ska fortsätta. Säkerhetspolisen Säpo pekade i torsdags ut Rysslands spionage och påverkansoperationer som det största problemet.

– Jag tror att Ryssland vill ge igen och är irriterad över bilden i svenska medier av Ryssland. Det här skulle kunna vara ett sätt markera mot Sverige: ”se vad vi kan göra”, säger Lars Nicander.

Polisens nybildade nationella it-brottscentrum har kontaktat sina utländska motsvarigheter.

– Det man kan säga är att de kapade datorerna som angriper svenska mål i allmänhet finns österut. Men poliserfarenheten säger att om någon vill att man ska titta åt ett visst håll kanske man ska ha blicken över axeln och titta åt andra hållet också, säger Anders Ahlqvist, verksamhetsspecialist vid it-brottscentret.

Är det den mest samordnade attacken hittills?

– Ja, det skulle jag påstå.

Foto i text: Sara Mac Key

Fakta. Tidigare attacker

2007

En serie omfattande överbelastningar riktades mot Estland. Detta efter en kontroversiell flytt av ett krigsmonument från Sovjettiden. Myndigheter, tidningar och banker fanns bland de angripna.

Händelsen kallas ibland det första it-kriget mot ett helt land.

2008

I samband med kriget mellan Ryssland och Georgien riktades stora överbelastningsattacker mot georgiska myndighetssajter.

Georgien har skyllt attacken på Ryssland, som dock har förnekat inblandning.

2012

I oktober drabbades en rad svenska företag och myndigheter, bland annat nyhetsbyrån TT, SEB, Swedbank, Säpo, Försvarsmakten, Socialstyrelsen, Domstolsverket, Riksdagen, Göta Hovrätt, Regeringen och Riksbanken av ddos-attacker.

Angreppen tros ha varit en protest mot Sveriges hantering av Julian Assange-ärendet.

2013

En av världens största ddos-attacker riktades mot säkerhetsföretaget Spamhaus som arbetar för att stoppa skräppost på nätet.

2014

I december 2014 utsattes Telia för överbelastningar.

Målet ska ha varit servrar kopplade till tv-spelsbolag, men konsekvensen blev att bredbandsnätet till stora delar slogs ut för slutanvändare.

Fakta. Detta är en ddos-attack

Så kallade ddos-attacker som överbelastar webbplatser hör till de vanligaste typerna av nätattacker. Samtidigt är de svåra att sätta stopp för. Så här kan en attack gå till:

  1. Angriparen behöver datorer till sitt förfogande, så många och så kraftfulla som möjligt. Ofta används vanliga privatpersoners datorer sedan de har infekterats med trojaner eller andra virusliknande program. Datorer med kraftig uppkoppling är extra effektiva eftersom de kan skicka mer information. Ett nätverk av sådana kapade datorer kallas botnät.
    Man kan luras att tro att alla med tillgång till botnät är tekniskt skickliga hackare, men så behöver det inte vara. Man har länge kunnat hyra tillgång till andras botnät, som vilken kommersiell tjänst som helst.
  2. På en given signal aktiveras botnätet. De kapade datorerna riktas mot servern som ska sänkas och börjar peppra den med information. Ju större botnät desto kraftigare attack, men de skickliga har också knep för att den skickade datan ska ge så stor effekt som möjligt.
  3. Den utsatta servern får nu svårt att hantera allt som skickas. Först blir den långsammare för att sedan – om angreppet lyckas – sluta fungera helt. Problemet är att separera skräptrafiken från resten. Man vill blockera de fjärrstyrda datorerna men släppa fram riktiga besökare, vilket är komplicerat.
  4. I arbetet med att avstyra en ddos-attack kan många parter vara inblandade. Förutom den angripna sajten kan serverdriftföretag och internetoperatörer spela en viktig roll.
  5. Angriparna kan ha många syften med en ddos-attack: Det kan handla om utpressning, då kriminella hotar att upprepa attacken om inte pengar betalas ut. Överbelastningen kan vara en slags politisk manifestation där aktivister slår mot sina motståndare.
Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.