Annons

Det digitala slagfältet är ett krig på internet

Joakim von Braun, om att de ryska underrättelsetjänsterna SVR, GRU och FSB håller sig med egna digitala legosoldater.

Under strecket
Publicerad

Utdrag ur Mueller-rapporten om GRU och presidentvalskampanjen i USA.

Foto: Jon Elswick/TT Bild 1 av 1

Utdrag ur Mueller-rapporten om GRU och presidentvalskampanjen i USA.

Foto: Jon Elswick/TT Bild 1 av 1
Utdrag ur Mueller-rapporten om GRU och presidentvalskampanjen i USA.
Utdrag ur Mueller-rapporten om GRU och presidentvalskampanjen i USA. Foto: Jon Elswick/TT

Rysslands aggressiva spionage- och påverkansoperationer bygger på långa traditioner. Det är i grund och botten inte så mycket som skiljde Sovjetunionens verksamhet från den som Ryssland bedriver idag – och det märks att Putin har sina läromästare i KGB-chefen (och sedermera kommunistpartiets generalsekreterare )Jurij Andropov. Mycket av den bakomliggande strategin är densamma.

Framväxten av persondatorerna i början av 1980-talet och Internet cirka 10 år senare, är dock ett nytt och svårbemästrat område. 

I juni 1989 fanns det 27 stycken kända datavirus medan antalet idag uppgår till flera miljoner. Trots att alla IT-händelser i princip är spårbara medför nätets anarkistiska trafikmönster i kombination med krypterade tunnlar, anonymitetsservrar och mycket annat, att det inte är möjligt för någon att ha kontroll över vem som gör vad, var och när.

Annons
Annons

De försök som görs att spåra brottslig trafik över världen saboteras dessutom aktivt och mycket effektivt av främst Kina och Ryssland. Om man på ryskt eller kinesiskt håll vägrar att lämna svar om den kriminella trafik som passerar deras länder, försvinner möjligheterna att spåra denna.  

På grund av svårigheten att presentera hundraprocentiga bevis på vem eller vilka som ligger bakom digitala attacker och angrepp, kan angriparna vanligen effektivt både dölja sina identiteter och sina syften. De senaste tre, fyra åren har dock ett fruktbart samarbete mellan statliga myndigheter, främst i USA, och den internationella IT-säkerhetsindustrin lyckats.

Både den militära underrättelseorganisationen GRU och dess civila systerorganisation SVR har fått vitala delar av sin organisation avslöjad. Namn på operatörer, interna enhetsnummer och en mängd annan hemlig information har avlöjats i media världen över. Det var ingen tvekan om vad Kreml sysslade med. 

Arbetsmetoder som till exempel de statliga ryska och kinesiska hackerorganisationerna utnyttjar är i princip identiska med dem som vanliga brottslingar använder sig av – både ekonomiska brottslingar och hackers som stjäl information av helt andra motiv. Detta är ytterligare en anledning till att det kan vara svårt att övertyga allmänheten om att påstådda angrepp kommer från statliga aktörer.

Det som framförallt skiljer sig är professionaliteten i den statliga verksamheten och den målmedvetenhet man inriktar sig på med redan i förväg utvalda myndigheter, företag och forskningsinstitut. 

Annons
Annons

Det amerikanska säkerhetsföretaget Mitre är ett av de företag som bäst har kartlagt världens olika hackinggrupper, bland annat de grupper som är knutna till olika länders underrättelsetjänster. Av sammanlagt 72 grupper som Mitre redovisat, kom 24 stycken från Kina, 6 var från Ryssland medan Iran ståtade med 9 registrerade hackinggrupper. I övrigt kom en vardera från Indien och Pakistan, en grupp från Nordkora och en från Vietnam och sist en grupp från Libanon. Ytterligare ett par grupper härrörde från Mellanöstern.

Resten av grupperna var troligen ”helt vanliga” kriminella grupperingar eller bestod av genuina hackers. 

En granskning av de ryska hackinggrupperna ger vid handen att SVR, GRU och FSB håller sig med egna digitala legosoldater. Uppskattningsvis ett 10-tal grupper och enskilda hackers får sina order från de tre ”tjänsterna”. Även om en överväldigande del av resurserna byggts upp under de senaste decenniet finns det spår som går tillbaka till mitten av 1990-talet. Självklart är det dock svårt att få fram bevis om att hackers också är spioner.

Ännu mer besvärligt är det att bevisa att en specifik grupp kan knytas till GRU och en annan till SVR. Därmed inte sagt att det alltid är omöjligt. 

De två grupperna ”SandWorm Team” och ”Fancy Bear” är med största sannolikhet verksamma för GRU eller så utgör de helt enkelt en del av den ryska krigsmakten. Dessutom har hackersignaturen ”Guccifer 2.0” kunnat knytas till militären. ”Han” rörde sig ute på Internet vid flera hundra tillfällen och använde då ett digitalt filter som tog bort alla spår som skulle ha gjorde det möjligt för västs underättelsetjänster att identifiera honom. Vid ett enda tillfälle råkade ”han” dock slarva.

Annons
Annons

Guccifer 2.0 glömde att slå på sitt digitala filter och en påpasslig utredare lyckades kopiera de IP-adresser som gjorde att mannen kunde spåras till GRU:s högkvarter i Moskva.

”Turla Crew” kallas den främsta ryska hackinggrupp som jobbar för FSB. Den har åtminstone varit aktiv i 15 års tid, en indikation på att de troligen har beskydd högt uppe i samhällstoppen. Deras kodspecialister har tagit runt 15 olika trojanska hästar och datavirus. Flera av de hackinginstrument som de har tagit fram tillhör de mest avancerade i världen och är knappast något som normala hackers har tillräckliga kunskaper för kunna ta fram.

Ett av verktygen, Uroburos, tros ha använts under minst tre år runt om i världen innan något av de stora säkerhetsföretagen över huvud taget fick kännedom om det. Detta kan möjligen tolkas som att alla de antivirusprogram, brandväggar och andra säkerhetsverktyg som företag och myndigheter använder sig av aldrig lyckades upptäcka eller stoppa det ryska hackingsverktyget. 

I samband med att den amerikanska presidentvalrörelsen rullade igång drabbades USA av en mängd fientlig trafik från alla möjliga håll. Enskilda hackers och grupperingar försökte testa varenda TCP/IP-port i hela det amerikanska nätverket. Man kollade statliga myndigheter, privata företag (särskilt inom IT- och säkerhetsbranscherna), stiftelser, privatpersoner, datorer som hörde till de politiska partierna och många andra.  

I den politiska sfären drabbades bland annat de demokratiska och republikanska partiernas valorganisationer. Det som skiljde intrången mellan demokrater och republikaner var att det endast var den stulna informationen från det demokratiska partiet som läcktes till media och ut på sociala medier. 

Annons
Annons

En hel del svenskar har nog bilden av att all information om rysk underrättelseverksamhet och ryska hackingrupper kommer ur en pipeline med information från CIA och NSA i USA. Visst kommer det mycket och bra information från amerikanarna, men faktum är att kampen mot Rysslands fientliga verksamhet förs i princip av samtliga västvärldens demokratier. Sedan Sovjetunionens upplösning har de västliga demokratierna utvisat minst 419 ryska spioner från SVR, FSB och GRU.

Då är de cirka 180 ryssar inräknade som förklarades persona non grata efter mordförsöket på Sergej och Julia Skripal, men numerären är trots detta ganska imponerande. 

Under åren har även sammanlagt minst 18 så kallade illegalister upptäckts i USA, Kanada, Tyskland, Israel, Finland och Estland. Illegalister är ryska underrättelseofficerare som smugglas in i västländer med falska identitetshandlingar och påhittade levnadsbeskrivningar. De lever utan några synliga kontakter med Ryssland och bidar sin tid fram till eventuella krigshandlingar då Rysslands ambassader stängs.

Om inte kriget bryter ut brukar det vanligen i tysthet återvända till Moskva efter några decennier i hemlig och ensam beredskap.    

De senaste fyra åren har flera länder visat framfötterna. Utan att djupdyka i fallet är Finlands omfattande raid hösten 2018 mot ett antal ryskägda skärgårdsfastigheter värd att uppmärksamma. Ett annat fall är den underrättelsekupp som gjordes av Nederländernas underrättelse- och säkerhetstjänst AIVD. AIVD har ett team med beteckningen ”Computer Network Attack” som uppskattas ha mellan 80 och 100 antällda.

Annons
Annons

CNA ingår i enheten ”Joint Sigint Cyber Unit” som är gemensam för AIVD och den militära underrättelsetjänsten MIVD. Den har totalt ungefär 300 anställda. 

2014 lyckades man med konststycket att hacka sig in i hackergruppen ”Cozy Bears” allra heligaste, ”björnarnas” högkvarter i Moskva. Under mer än tre års tid hade man full tillgång till ryssarnas datorer och på följde deras kriminella hackingverksamhet. ”Cozy Bear” har cirka 10 medlemmar och eftersom man också fick tillgång till den kamera som var ansluten lokalens porttelefon fick man bilder på alla gästade SVR-officerare. Det var tack vare alla hackergruppens "gäster" som man fick bevis för att gruppen var knuten till SVR.

Det var tack vare samarbetet med AIVD som amerikanarna kunde överbevisa kritiker, både på hemmaplan och inom Nato, att Ryssland låg bakom Cozy Bear.

Till den allt tydligare bilden hör också raden av åtal som väcktes i USA förra året i vilka ett antal GRU-officerare pekades ut med namn, militär grad och interna förbandsnummer, samt medias utpekande av underrättelseofficerare från GRU som skyldiga till giftattacken mot far och dotter Skripal. 

JOAKIM VON BRAUN har tidigare bland annat verkat som rådgivare och konsult åt Must och Säpo. Tillsammans med Lars Gyllenhaal har han skrivit boken Ryska elitförband – Spetsnaz, Osnaz, VDV och andra elitstyrkor (Lind & Co 2013 & 2016). Han arbetar nu på en bok om Rysslands aktiva åtgärder, desinformation och påverkansoperationer med särskild inriktning på Sverige och Norden.

Läs också:

De ryska spionorganisationernas historiska arv.

Ryska underrättelsetjänster aktiva som under kalla kriget.

Annons
Annons
Annons
Annons
Annons