Hackergrupp spionerade på svensk organisation i fem år

Av: John Granlund

Publicerad: 08 augusti 2016 kl. 22.00

Uppdaterad: 09 augusti 2016 kl. 14.51

I trojanens källkod har upphovsmännen skrivit in en referens till Sauron, den allseende härskaren i böckerna om "Sagan om ringen".

Hackergruppen Strider lämnar efter sig spår kopplade till "Sagan om ringen" – och antas agera på uppdrag av en stat.

Nu avslöjas att en ospecificerad svensk organisation varit smittad av avancerad spionprogramvara i upp till fem års tid.

– Det kan finnas ett enormt mörkertal av drabbade organisationer som inte upptäckts, säger it-säkerhetsexperten Marcus Murray till Aftonbladet.

Marcus Murray, it-säkerhetsexpert.

It-säkerhetsbolaget Symantec har nyligen upptäckt flera fall av allvarligt cyberspionage riktat mot mål i Sverige, Belgien, Kina och Ryssland.

Det är frågan om spår från spiontrojanen Remsec som upptäckts i 36 datorer i sju olika organisationer. Målen beskrivs som noggrant utvalda och "av intresse för en stats underrättelsetjänst".

Refererar till Sauron

I Sverige är det frågan om "en organisation" som konstaterats vara drabbad. Vilken bransch organisationen är verksam i ska Symantec inte ha någon kunskap om.

– Kunden har konfigurerat sina program så att all information vi får är anonymiserad, vi vet bara att det är en av våra enterprisekunder, säger säkerhetsforskaren Dick O'Brien på Symantec till idg.se.

Enligt Symantec ligger en tidigare okänd hackergrupp - Strider - bakom attackerna. I koden till spionprogramvaran har gruppen enligt Symantec lämnat en referens till Sauron - ondskans allseende härskare i böckerna om "Sagan om ringen".

”Oroväckande Sverige är mål”

Men vem som är Striders uppdragsgivare är oklart - förutom att det troligen handlar om en stat. Både de utvalda målen och programvarans spionagekapacitet tyder på det, uppger Symantec.

Dessutom har gruppen lyckats agera ostört i minst fem år.

It-säkerhetsexperten Marcus Murray på Truesec säger attacken följer ett mönster av ökande it-spionage från underrättelseaktörer världen över. Syftet är att tillskansa sig information, påverka beslutsprocesser och till och med att förbereda inför framtida behov av sabotage.

– Den här trojanen har likheter med tidigare stora statsfinansierade attacker. Bland annat de attacker som USA anklagades för mot Irans kärnvapenprogram 2011. Det som är oroväckande här är att man upptäcker att Sverige är en del av målbilden.

Kan finnas enormt mörkertal

Spionprogrammet i fråga öppnar en bakdörr till de smittade datorerna och ger total kontroll över allt som görs på maskinen. Filer kan stjälas och allt kan loggas, inklusive tangenttryckningar.

– Det finns olika kvalitet på såna här trojaner. Det här är en högkvalitativ programvara vilket indikerar att det är någon som har större resurser som har byggt den, säger Marcus Murray.

Eftersom programvaran är särskilt utvecklad för att undgå upptäckt - exempelvis planterar den sig i arbetsminnet och inte i hårddisken - kan långt fler organisationer vara smittade än den handfull som nu upptäckts vara drabbade.

– Eftersom den här programvaran är så sofistikerad och man bara har upptäckt 36 infektioner kan det finnas ett enormt mörkertal, säger Marcus Murray.

Aftonbladet har sökt Säkerhetspolisen som under måndagskvällen inte kunde lämna någon kommentar.

KOPIERA LÄNK

Publicerad: 08 augusti 2016 kl. 22.00