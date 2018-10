I januari 2017 nådde ett meddelande den svenska polisens it-brottsutredare. Det gick till den så kallade it-desken vid Nationella operativa avdelningen i Stockholm och kom från belgisk polis. Belgarna berättade om sin utredning av ett internetforum, där kriminella köpte och sålde tillgång till hackade Windowsservrar. “Xdedic”, som forumet hette, misstänktes drivas av personer i Ryssland. Mot betalning kunde köpare där få allt som behövdes för att logga in på servrar i andras ägo.

Verksamheten var omfattande, med tiotusentals servrar ute till försäljning. I en mejlkorrespondens mellan ländernas it-utredare, som DN har tagit del av, beskrivs forumet som “en högst professionell webbshop”. Till brevet bifogades en lista med ip-nummer, som belgiska polisen beskrev som offer, alltså hackade datorer. “822 av dessa offer lokaliserades till Sverige”, skrev den belgiska it-polisen.

Vid en första anblick är en sådan ip-adress bara en anonym serie siffror. Den visar ingenting om vilka it-system det rör sig om. Men DN:s granskning av samtliga utpekade adresser visar att åtminstone en av servrarna låg inom känsliga delar av den svenska statsförvaltningen.

Genom att slå upp samtliga utpekade ip-adresser mot en global databas har DN fått en förteckning av var de hör hemma. Där finns företag, vanliga bredbandsuppkopplingar och it-leverantörer. Men en av dem sticker ut – en ip-adress som är registrerad hos Försvarsmakten, vilket betyder att datorn eller servern bakom adressen finns på någon del av försvarets nätverk.

Den ska ha lagts upp till försäljning på forumet i februari 2016, enligt polisens lista. Exakt under vilken period försvarets server var utsatt för intrång går inte att säga. Men känt är att forumets existens avslöjades i juni 2016. Om intrånget upptäcktes och avstyrdes i samband med detta betyder det att hackare hade möjlighet att logga in på försvarets nätverk i omkring fyra månader.

En teknisk kontroll av den aktuella servern som DN har gjort visar att den med största sannolikhet inte längre är sårbar för attack. Men en slagning i historiska databaser bekräftar att den både gick att nå från nätet och var av just den typ som såldes på det ryska forumet kring tiden då den uppges ha hackats.

Försvaret vill inte lämna några kommentarer. Philip Simon, presschef vid Försvarsmakten, skriver i ett mejl:

“Vi kommenterar inte statusen i våra system och därför lämnar vi inte något utförligare svar på dina frågor. Däremot så följer vi hela tiden hotutvecklingen inom cyberområdet och vidtar de åtgärder som vi finner nödvändiga för att utveckla säkerheten i våra system.” Detta är ett ip-nummer ■ Ett ip-nummer är en slags adress på internet. Alla uppkopplade datorer och servrar har ett ip-nummer. ■ Själva numret avslöjar inte om det som döljer sig bakom är en persondator eller någon annan internetansluten maskin.

En annan statlig myndighet som återfinns i listan över ip-adresser är Statens fastighetsverk. Dess uppdrag är att förvalta tusentals byggnader i Sverige, till exempel regeringshögkvarteret Rosenbad och Kungliga slottet. En historisk sökning visar att den vid tidpunkten för attacken beskrev sig som “SFV Kontor”. SFV är en förkortning för Statens fastighetsverk.

Magnus Peterson, vikarierande it-chef på Statens fastighetsverk, säger till DN att den hackade servern är avskild från resten av myndighetens nätverk och att den har använts för övervakning av exempelvis luftkvalitet i en lokal i Karlskrona. Servern är inte längre sårbar för attack.

– Datorn är isolerad och informationen har inget värde för någon annan än för oss, säger han.

I listan över ip-adresser finns även åtminstone fem svenska högskolor och universitet och flera svenska kommuner. Flyttade till darknet ■ Forumet Xdedic finns kvar än i dag, men flyttade efter avslöjandet till Tor-nätverket, ofta kallat darknet. Där finns mekanismer som gör den svår att spåra. ■ Flera hundra säljare har agerat på sajten, enligt it-säkerhetsbolaget Kaspersky. Gruppen eller personen bakom Xdedic hävdar att de själva inte säljer hackade lösenord utan bara upplåter en plats att göra affärer. ■ Säljarna lockade med uppgifter om vad den hackade datorn innehöll, om den var ansluten till kreditkortssystem och om den gav vidare tillgång till e-handelssajter, casinon, dejtingsidor och mejlkonton. ■ Skaparna av Xdedic erbjöd dessutom specialskrivna program för att göra det snabbare och enklare att logga in på hackade servrar. De marknadsfördes med regelrätta reklamslogans: “Designat för att göra livet lättare för våra kunder”, som ett sådant program beskrivs.

Datorerna, vars inloggningsuppgifter såldes, använder en teknik som kallas för RDP, vilket står för Remote Desktop Protocol. Det möjliggör för användare att kunna logga in på en dator på distans, det vill säga en fjärranslutning. RDP kan vara praktiskt eftersom man efter inloggning får full tillgång till datorn med allt som visas på skärmen. Det blir ungefär som om man skulle sitta fysiskt vid den.

Vid ett eventuellt dataintrång utsätts dock inte enbart den aktuella datorn för stora risker, utan det kan också bli en språngbräda för vidare attacker i nätverket.

Forumet Xdedic tros ha funnits sedan 2014, men blev känt för en bredare krets sommaren 2016. Då avslöjades dess existens av det ryska säkerhetsbolaget Kaspersky, som i en rapport berättade om över 70.000 tillgängliga servrar. Priserna varierade enormt, från några få dollar för tillgång till de enklaste servrarna till tusentals dollar för vissa.

Syftet med att köpa sig tillgång till hackade servrar kan variera. Vissa av dem tycks vara kopplade till kreditkortssystem, vilket gör dem till en guldgruva för bedragare. Kaspersky beskriver även forumet som en tillgång även för statsunderstödda it-attacker, då servrarna kan tjäna som en diskret startpunkt för fortsatta dataintrång. “Det är en hackares dröm”, skriver rapportens författare och fortsätter: “Det förenklar tillgång till offer, gör det billigare och snabbare och ger nya möjligheter för både it-kriminella och mer avancerade aktörer.”

It-säkerhetsexperten Leif Nixon har tagit del av uppgifterna om Försvarsmaktens server.

– Det kan finnas giltiga skäl att sätta upp en RDP-server som är nåbar från internet, men då gäller det också att den noga säkras upp. Det har man uppenbarligen inte lyckats med här, eftersom man med största sannolikhet har råkat ut för intrång, säger han.

– Att ha koll på vilka tjänster man har snurrande, att de är korrekt uppsatta och att de är övervakade, för den händelse att någonting ändå går snett, är tråkigt rutinjobb, men det måste ändå göras.

Svenska polisen uppger att man gick vidare med en enskild ip-adress på listan, som ledde till ett privat företag. Där upptäcktes spår som kan ha varit tecken på ett intrång. En utredning inleddes, men lades ner utan resultat. Två månader efter meddelandet från Belgien avslutades hela ärendet, med hänvisning till att det inte fanns några ytterligare utredningsåtgärder att vidta.

Att kommuner, Försvarsmakten och Statens Fastighetsverk fanns med på listan kommer som en fullständig överraskning för polisen när DN lägger fram uppgifterna.

– Med facit i hand är det olyckligt. Det är möjligt att vi kanske skulle ha gjort en vidare sökning, men när det har gått en viss tid efter ett intrång – kanske månader eller år – så är det av flera skäl lönlöst att gå vidare. Inte minst är det tidskrävande, säger Jim Keyzer, inspektör vid polisens nationella it-brottscentrum.

