Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Ekonomi

Okänd tog över kraftstationen och stängde av elen

Foto: Allover Images/Alamy

Hackarattacker som slår ut elnät, saboterar vattenförsörjning och andra samhällskritiska system – det är vad säkerhetsexperter har varnat för i åratal.

En kall decembernatt i Ukrainas huvudstad gick det från hot till verklighet. Nu har elsystem slagits ut via nätet två gånger med hundratusentals strömlösa som resultat.

Klockan var sju minuter före midnatt, den 17 december i fjol, när strömmen plötsligt gick i en del av Kiev. Lampor slocknade, tv-apparater blev svarta och fläktar stannade.

Inget ovanligt så långt. Elavbrott inträffar överallt. Ofta avhjälps de snabbt, framför allt i moderna elnät där så gott som varje del är kopplad till nätverk och kontrolleras på distans.

Men det fanns något oroande över just den här händelsen. Ingenting såg ut att vara sönder. Kraftstationen Pivnitjna, som förser en del av staden med elektricitet, hade helt enkelt stängts av. Det hade skett över nätet – stationen var en av de mer moderna och fjärrstyrda – via betrodda uppkopplingar, de som tekniker skulle använda.

Problemet var bara att ingen på elbolaget hade gjort det. Och ingen förstod hur det hade gått till. Antingen, resonerade utredarna, hade teknisk utrustning kraschat på ett mycket märkligt sätt. Eller så hade någon hackat sig in i elbolagets system och fått så vidsträckt tillgång att den – eller de – kunde slå ut elektriciteten i en huvudstad Europa utan att ens själv vara på plats.

När det händer är ett mardrömsscenario inte långt borta. Ett iscensatt, långvarigt strömavbrott kan skapa enorma problem. El värmer upp bostäder, låter människor laga mat, ser till att sjukhus och kommunikationer fungerar. Högteknologiska samhällen är beroende av många sorters infrastruktur, men ingenting fungerar utan el.

Det dröjde innan bilden klarnade, men det var ingen slump att hackarscenariot fanns på utredarnas bord från början. Nästan exakt ett år tidigare hade elen också försvunnit – och den gången var orsaken tveklöst ett dataintrång. Det var den första gången någonsin som en del av ett lands elförsörjning slogs ut i en medveten, riktad hackarattack.

Läs mer: Säkerhet för svenska elnät skärps efter it-attacker

Då, i december 2015, började allt med en enskild persondator som betedde sig märkligt. Det var i staden Ivano-Frankivsk i västra Ukraina där en operatör på det lokala elbolaget – med ”it’s always brighter with us!” som slogan – höll på att packa ihop för dagen. När han tittade upp från sina papper såg han hur muspekaren på skärmen hade börjat röra sig av sig själv. Den tog fram systemen som hanterade elnätet och började leta upp avstängningsknappar.

Operatören grep efter sin mus, men hade helt tappat kontrollen över datorn. Snart insåg han att hans lösenord var utbytta och det fanns ingenting han kunde göra.

Bland it-säkerhetsexperter över hela världen blev det ett kvitto. Farhågorna som hade funnits i flera år hade inte varit obefogade. Prat om digitala vapen och it-krigföring framstod inte längre som teorier.

– Det var just vad folk hade gått och väntat på. Något mer storskaligt, en riktad attack som är en del av en större konflikt där man kan börja prata om it-vapen, säger Robert Malmgren, it-säkerhetsexpert med industrisystem som specialitet och många aktörer inom elförsörjning som uppdragsgivare.

– Att det hände i just Ukraina var väl inte heller så oväntat. Så mycket annat hände där samtidigt, med angrepp på myndigheter, mot media, industrier och mycket annat.

Attacken, som beskrivs i tidningen Wired, var inte ensam. Exakt samtidigt angreps tre olika elbolag, synkroniserat som en militäroperation. Angriparna visade sig ha en oerhörd förmåga. De kunde utveckla egen, manipulerad mjukvara som installerades i elnätens styrsystem och de kunde utveckla avancerade attackprogram.

En rad metoder användes: Reservsystem kopplades bort. Angriparna aktiverade en funktion, kallad Killdisk, som totalraderade hårddiskar. Till och med elbolagens kundtjänsttelefon slogs ut genom en överbelastningsattack. Någon lyckades få ett helt telefonisystem, troligtvis i Ryssland, att peppra kundtjänsten med automatiska samtal. Till slut blev det omöjligt för riktiga kunder att nå fram och slå larm om att strömmen hade gått.

Allt för att göra det så svårt som möjligt att återställa eldriften. När attacken väl skedde hade de haft tillgång till systemen i minst ett halvår, har kartläggningar senare visat.

– Det säger mycket om hur avancerat detta var. De lyckades ta sig in på en mängd ställen och de samordnade aktionen. Allt tyder på att de hade stora resurser och gott om tid, säger Robert Malmgren.

Frågan är vilka ”de” är. Stora, resurskrävande attacker brukar få bedömare att peka på stater som sannolikt ansvariga. Men det kan betyda olika saker, allt ifrån att en underrättelsetjänst eller militärt it-förband begår intrång och utför sabotage, till att grupper i landet agerar på egen hand men att staten låter dem hållas så länge syftet sammanfaller med dess intressen. Eller ett mellanting, att staten stöder hackargrupper, it-brottslingar eller politiskt motiverade aktivister men håller tillräckligt avstånd för att kunna förneka inblandning om de avslöjas.

Ukraina har utan omsvep pekat ut Ryssland som ansvarigt. Mycket riktigt leder många spår dit, även om långt ifrån alla utredare är säkra på hur eventuella kopplingar till ryska myndigheter ser ut.

– Det ligger nära till hands att det har med konflikten med Ryssland att göra. Men det är aldrig enkelt med digitala bevis, säger Robert Malmgren.

Robert M. Lee är grundare av ett säkerhetsbolag och ingick i en internationell grupp experter som kallades till Ukraina efter den första attacken. I våras besökte han Stockholm och talade på konferensen 4Sics. Han drar två slutsatser om de hackade elnäten. För det första att en aktör med rejäla muskler låg bakom, de tycks bland annat ha kunnat testa sina metoder på elsystem före angreppet.

För det andra: Angriparna hade kunnat göra betydligt större skada. Omkring 250.000 kunder blev strömlösa de här gången. Det hade kunnat vara betydligt fler.

– För mig ser det verkligen ut som att de höll tillbaka. Av någon anledning gjorde de inte så stor skada som de kunde ha gjort. De hade tagit sig in på många fler anläggningar, de valde bara att attackera tre.

Den andra attacken, nu i vintras, utreds fortfarande. Många detaljer är okända eller hålls hemliga. Men några utredare har tagit bladet från munnen. En av dem är Oleksij Jasynskyj. På säkerhetskonferensen S4 i Florida nyligen lade han och hans kollega Marina Krutova fram några slutsatser.

För det första, det råder ingen tvekan om att även avbrottet i december 2016 var resultatet av en attack. Några av parallellerna är kusliga: Båda utfördes alltså i december, men infiltrationen började redan i juli. Vem som än låg bakom dem kunde hålla aktionen i gång i månader.

Båda gångerna användes skickligt utformade, riktade utskick av falska mejl som smög in trojaner på mottagarnas datorer, vilket gav angriparna en väg in. Därefter skiljer sig attackerna något, men klart är att även den här gången var det en resursstark grupp som låg bakom.

– Angriparna måste känna till utrustningen och industriella system. Sådan dokumentation är inget man hittar på nätet. Jag tycker det är väldigt oroande, säger Marina Krutova i sitt anförande.

Oleksij Jasynskyj har sin egen förklaring till varför just Ukraina angrips om och om igen:

– Vi har anledning att tro att Ukraina har blivit en träningsplan för attacktekniker som senare kommer användas över hela världen.

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.