Den röda cyberdraken har gjort intåg i Sverige. Illustration: Alexander Rauscher
Den röda cyberdraken har gjort intåg i Sverige. Illustration: Alexander Rauscher

Så angrep Kina ”naiva” Sverige i det fördolda

En massiv spionagekampanj där ovärderliga företagshemligheter av allt att döma stals av kinesiska staten. Här är historien om hur Sverige blev utsatt för Kinas nya cyberkrigsstrategi: att göra research i sociala medier om just dig.

Uppdaterad
Publicerad

Onsdagsförmiddagen den 5 april 2017 skickade nyhetsbyrån TT ut sex telegram om ett omfattande dataintrång. Revisionsbyrån och it-säkerhetsföretaget PwC hade kartlagt en cyberattack som kallades Cloud Hopper, eller APT10. 15 utsatta länder räknades upp. Ett av dem var Sverige.

APT står för Advanced Persistent Threat: riktade, målmedvetna cyberattacker som en resursstark grupp eller stat står bakom och som kan pågå i månader eller år. Som jämförelse kan spionen Stig Berglings stöld av 20 000 dokument sägas ha motsvarat 20 gigabyte, medan stölden av information i ett större APT-angrepp kan bestå av 100-tals terabyte, alltså många tusen gånger så mycket.

Annons

Enligt PwC hade data skickats ut från Sverige i hemlighet under upp till två år, helt utanför det svenska säkerhetssystemets radar.

Att driva ett dataintrång på den nivån kräver tid. Det kräver kännedom om det angripna landets kultur och kunskap om de enskilda individer som blir måltavlor. Det kräver utveckling av flera olika mjukvaror och ett oerhört tålamod. Det kräver ett stort antal anställda som dedikerat, månad efter månad, styr angreppet stegvis närmare huvudmålet. Det kräver ett stort antal personal som läser den dokumentation som stulits. Den ska analyseras, sållas, översättas och värderas.

Sverige hade med andra ord blivit utsatt för en massiv spionagekampanj. Men två dagar senare inträffade terrordådet på Drottninggatan och dataintrånget hamnade i medieskugga.

Annons

I Sverige råder i dag en nästan total tystnad kring händelsen – vilka angriparna var, hur de lyckades ta sig in, vem som drabbades och vad som stals. Men mycket av detta går faktiskt att ta reda på.

It-säkerhetsexperten Jonas Lejon demonstrerar det så kallade ”Cyber Kill Chain”, de delar som finns i ett cyberangrepp.
It-säkerhetsexperten Jonas Lejon demonstrerar det så kallade ”Cyber Kill Chain”, de delar som finns i ett cyberangrepp. Foto: Magnus Hjalmarson Neideman

Del 1: Angriparna

Redan för nio år sedan släppte organisationen Information Warfare Monitor en rapport om cyberspionage från Kina. I utredningen kartlades ett spionnätverk som aktivt infiltrerat Dalai Lama och hans exilregering i Dharamsala. Angriparna hade tagit sig in via så kallade trojaner, förklädda datorprogram som har till syfte att spionera, styra måltavlans dator och komma över data. I exilregeringens it-nätverk fanns information om dess schema över möten med världsledare och koordinationen kring förhandlingar mellan Kina och Dharamsala.

Annons

Cyberspionagekampanjen var välutvecklad och svår att upptäcka. Trojanen visade sig därifrån senare ha spridits till minst 1 295 datorer i 103 länder.

Samma år rapporterade Google att bolaget blivit utsatt för ”en mycket sofistikerad och riktad attack på vår företagsinfrastruktur från Kina, som resulterade i stöld av immaterialrätt”. En annan del av attacken var riktad mot specifika Gmail-konton. Sökjätten sade sig ha bevis för att syftet var att komma åt konton som tillhörde kinesiska människorättsaktivister.

Cyberspionagekampanjen var välutvecklad och svår att upptäcka. Trojanen visade sig därifrån senare ha spridits till minst 1 295 datorer i 103 länder.

2013 kom it-säkerhetsbolaget Mandiant, i dag Fireye, med en rapport som mer direkt anklagade den kinesiska staten: en omfattande kartläggning av ett av Kinas militära cyberkommandon och dess roll i attacken APT1. Internettrafiken hade dirigerats till och från en byggnad som ligger inom kinesiskt militärt område. Mandiant pekade till och med ut underrättelseofficerare med namn och bild.

APT1 hade varit verksamt sedan 2006 och infiltrerat 141 företag inom 20 olika industrier. I snitt hade spionageprogrammen funnits i måltavlornas dator i 356 dagar utan att bli upptäckta. Hos ett bolag hade de hållit sig dolda i nästan fem år.

Annons
Grafik: Alexander Rauscher
Grafik: Alexander Rauscher

APT10, eller Cloud Hopper, är en vidareutveckling av dessa tidigare kinesiska angrepp, säger it-säkerhetsexperten Jonas Lejon med bakgrund hos FRA.

– Det går att se hur APT10 har pågått i nästan tio år i olika former. Det har kopplingar till flera olika kampanjer där måltavlorna varit till exempel japanska organisationer och bolag och organisationer inom den amerikanska försvarssektorn.

I maj 2017 uppgav FRA för SvD att en statlig aktör låg bakom Cloud Hopper. Myndigheten ville dock inte säga vilken. I den rapport som PwC tog fram, tillsammans med försvarskoncernen BAE Systems och brittiska National Cyber Security Centre, pekas ingen stat ut – men väl att angreppet skedde från en aktör i Kina.

Annons

Tittar man på rapporterna och hotaktörens måltavlor så kan det inte vara någon annan än Kina som stat som ligger bakom.

Därifrån blir pusslet inte särskilt svårt att lägga. Det säger Gazmend Huskaj, som verkat i underrättelsebefattningar nationellt och internationellt och även varit chef för underrättelsetjänsten inom en av FN:s missioner i flera år. Han forskar i dag på Försvarshögskolan om cyberförsvar och cyberangrepp.

Enligt Gazmend Huskaj använder PwC den ”näst högsta konfidensgraden” när det kommer till värdering ur ett underrättelseperspektiv. Dessutom, säger han, har it-säkerhetsföretaget FireEye direkt pekat ut Kina som stat.

– Tittar man på rapporterna och hotaktörens måltavlor så kan det inte vara någon annan än Kina som stat som ligger bakom. De underrättelseindikatorer som finns räcker för att veta med säkerhet. Bolagen har anställda med underrättelsebakgrund och bevisen som uppenbarligen finns visar att det är från Kina angreppet skett.

Foto: Magnus Hjalmarson Neideman
Annons

Del 2: Angreppet

Ett APT-angrepp kan delas in i sju faser: rekognosera, beväpna, sända, exploatera, installera, styra och slutföra. Den viktigaste etappen är rekognoseringen, att kartlägga personer och få dem att öppna vägen in i systemen. Att en människa utgör dörren in är återkommande, även om rena tekniska intrång också görs. Enligt en amerikansk studie orsakas 52 procent av alla dataintrång eller it-sabotage av att en person har släppt in angriparen.

Som fotbollspappan i Norge som ovetande släppte in angriparna som ville infiltrera.

Annons

It-systemen blir säkrare, då siktar man i stället in sig på människan.

Vilken sektor angreppet gällde är oklart, men i norska medier togs exemplet upp av en säkerhetsexpert i en artikel om it-angrepp mot landets oljeindustri. Pappan tränade privat ett knattelag i fotboll. När han fick ett mejl med ämnesraden ”Ny speluppställning” öppnade han det utan att tveka. I mejlet fanns ett dokument med information om fotbollsstrategi, på felfri norska. Men dokumentet var laddat med skadlig kod som installerades när det öppnades.

Norska säkerhetspolisen har senare pekat ut gruppen Cozy Bear (APT 29) som ansvarig för intrång i landets energi- och oljeindustri, en grupp som enligt Norge har koppling till den ryska säkerhetstjänsten FSB. Cozy Bear använde också mejl med kallelser till energikonferenser och meddelanden om paket som behövde hämtas ut, med filer som alltså innehöll skadlig kod.

– It-systemen blir säkrare, då siktar man i stället in sig på människan. Angriparna måste ha viss koll på kulturen och språket. Det går inte att använda knackig engelska som det ibland görs av angripare som vill åt din bankinformation, säger Jonas Lejon.

Annons

I mars 2015 fick flera personer inom den ukrainska militären ett antal till synes viktiga Word-dokument via mejl; en lista över krigsfångar hos landets militär, personer som släppts ur fångenskap och tillfångatagna från så kallade antiterrorzoner. Läget var spänt i Ukraina, informationen relevant och rätt i tiden. Sommaren 2015 hade över 6 400 personer dött i strider i östra Ukraina efter Rysslands annektering av Krim.

Ikonen för Microsoft Word fanns där, men vad de inte såg var att filändelsen ”.doc” saknades. Hade de tittat närmare på filnamnet så hade de sett att det följdes av över 100 blanksteg, som slutade i ”.exe”, signaturen för ett program. Ett program som började installera sin skadliga kod så fort det första offret dubbelklickade på ikonen.

Annons

Vartenda dokument var en del av spionagekampanjen Potao. Antivirusbolag kunde konstatera att den skadliga programvaran fanns i datorer hos den ukrainska militären, hos myndigheter och på nyhetsredaktioner. Enligt senare analyser var Ryssland basen för angreppet (staten har dock inte pekats ut).

Kommunikationen gentemot mottagaren i den här sortens angrepp är alltså skräddarsydd. Kartläggning av personer via sociala medier är en av de viktigaste ingångarna, enligt Fireyes underrättelseanalytiker Jens Monrad.

– Om jag ska ta mig in i ett svenskt bolag så går jag ut på LinkedIn och letar efter vilka där som arbetar med tillgång till en viss data. Det här fungerar och det är något som vi har sett att angriparna gör, de använder sociala medier för att hitta rätt personer.

Annons

Angriparna lägger tid och stora resurser på att lura och ta sig förbi. Gärna osedda så länge som möjligt. Tillvägagångssättet är långt ifrån de skrytattacker som utförs av kriminella hackare eller ”hacktivister” och som delas flitigt på sociala medier.

– Du finns online och du har intressen som syns online. Du har ett mejlkonto i din tjänst och en eller flera privata mejladresser, då är du en måltavla. Det räcker med en kartläggning av din online-persona för att söka upp allt om dig. En statlig aktör har de resurserna och de kommer att kartlägga dig om du är intressant. Kina har den tiden, det har inte vi, säger Gazmend Huskaj.

Annons

En statlig aktör har de resurserna och de kommer att kartlägga dig om du är intressant. Kina har den tiden, det har inte vi.

Kina har tidigare förnekat att landet har utfört dataintrång mot andra länder. När SvD söker Kinas ambassadör i Stockholm för en intervju får vi inte svar.

Men faktum är att också det handelskrig om ståltullar som USA:s president Donald Trump har drivit på delvis grundar sig i påstådda kinesiska dataintrång. Kina beskylls för att ha infiltrerat amerikanska bolag för att stjäla skyddad immaterialrätt. FBI-chefen Christopher Wray kommenterade nyligen att ”det finns inte ett land som är i närheten” av Kinas ekonomiska spionage. Enligt den före detta seniora CIA-analytikern Chris Johnson kännetecknas Kinas ambitioner i underrättelsesfären av allt större aggressivitet, stora resurser och en strategi som allt mer liknar Rysslands.

Annons

Och med Cloud Hopper tyder allting på att den röda cyberdraken har gjort intåg också i Sverige.

I maj 2017 uppgav FRA för SvD att en statlig aktör låg bakom Cloud Hopper, men sa inte  vilken. I den rapport som PwC tog fram pekas ingen stat ut – dock att angreppet skedde från en aktör i Kina.
I maj 2017 uppgav FRA för SvD att en statlig aktör låg bakom Cloud Hopper, men sa inte vilken. I den rapport som PwC tog fram pekas ingen stat ut – dock att angreppet skedde från en aktör i Kina. Foto: Tomas Oneborg

Del 3: De drabbade

Angriparna bakom Cloud Hopper tog sig in via måltavlornas it-tjänsteleverantörer. När de var inne i leverantörernas system kunde den skadliga koden spridas vidare med direkta order från Kina, enligt PwC:s rapport. Under kinesisk kontorstid styrde personerna vid tangentborden Cloud Hopper att identifiera vilka personer hos it-bolaget som hade inloggning till den slutliga måltavlan.

Annons

Väl där kunde angriparna sprida sin skadliga kod genom hela ledet; kartlägga bolag och lura nyckelindivider via mejl, röra sig fritt men diskret inne i it-systemen, för att hitta rätt data att föra ut från Sverige. Och sopa igen de digitala spåren, vilket var en av orsakerna till att intrånget kunde pågå dolt så länge.

I efterhand är konsekvenserna nästan lika osynliga som angreppet självt. Cyberspioneri är ingenting man märker av, det är också meningen att det ska vara så.

I efterhand är konsekvenserna nästan lika osynliga som angreppet självt. Cyberspioneri är ingenting man märker av, det är också meningen att det ska vara så.

Under arbetet med det här reportaget har berättelserna om drabbade i Sverige varit obefintliga. Vi har fått höra: ”Ni kommer inte att få veta vilka som blev bestulna.” ”Har man blivit av med avgörande och hemlig företagsinformation så är det inget man vill gå ut med.” ”Är det en myndighet så vet de kanske inte ens om att de är drabbade.”

Annons

Det kan finnas en skamkänsla kring att som it-bolag ha misslyckats med att skydda sina kunders uppgifter, och ett nederlag i att som börsnoterat företag bli bestulet på data om en uppfinning som är grundstenen i ens verksamhet.

Knepen som skyddar dig på nätet

Efter reklamen visas:
Knepen som skyddar dig på nätet
Annons

De måltavlor som har pekats ut i Cloud Hopper är bland annat verksamma inom den offentliga sektorn, försvarsindustrin, medicin, industriell tillverkning, energi- och gruvverksamhet och detaljhandel. Områden där svenska bolag i allra högsta grad har djup kunskap.

– Tittar vi på vilka länder Kina anklagas ha angripit så är det länder med framstående kunskap och tillverkningsindustri inom den civila sfären inom ganska vanliga industrier som verkstad, mekanik och kemikalieindustri där utvecklingsländer påbörjar sin industrialisering. Sverige råkar vara ett framstående exportland i dessa områden, säger Hosuk Lee-Makiyama, chef på Ecipe, European Centre for International Political Economy.

– Flygindustrin ligger också nära, där det finns en militär koppling. Och bankerna, Kina vill kanske veta vilka kreditvillkor som tillämpas på konkurrenter i projekt de har tillsammans med andra länder.

För Kina handlar det om en strategisk inhämtning av information av sådan forskning och utveckling. När det sker så betyder det att dessa sektorer kommer att vara ”made in China” år 2025.

Annons

Enligt Gazmend Huskaj är Kinas val av Sverige lätt att förstå.

– Sverige har en framstående bioteknikutveckling och forskning om kärnkraft, vi utvecklar läkemedel och 5G-nätet. För Kina handlar det om en strategisk inhämtning av information av sådan forskning och utveckling. När det sker så betyder det att dessa sektorer kommer att vara ”made in China” år 2025.

Minskad konkurrenskraft är alltså det främsta hot som möter Sverige när avgörande information om högteknologiska produkter som forskats fram här smugglas ut genom våra fiberkablar. Enligt beräkningar av ECIPE går 55 miljarder euro förlorat inom EU varje år till följd av cyberspioneri.

Annons

– Är 289 000 förlorade jobb inom EU per år ett problem? Om du tycker det så är cyberangreppen ett problem. Det handlar om många arbetstillfällen, men det är också vad innovation och konkurrenskraft betyder på den globala marknaden. Om någon är en procent vassare än dig så försvinner jobben ganska fort, säger Hosuk Lee-Makiyama.

– En statsaktör med ont uppsåt kan lätt penetrera vår privata sektor. I fallet Cloud Hopper så har Kina stulit våra företagshemligheter för att utveckla egna produkter och kanske sälja tillbaka dem till oss, säger Gazmend Huskaj.

Foto: Foto: IBL

Del 4: Och nu då?

Att uppfinna tekniskt solida säkerhetssystem är möjligt. FRA har börjat rulla ut sitt avancerade antivirusprogram TDV till villiga myndigheter. TDV, som står för tekniskt detekterings- och varningssystem, innehåller specifika kännetecken på de mest avancerade it-angreppen. Det finns också en uppsjö av it-företag som erbjuder tekniska lösningar.

Men hur kommer vi åt den mänskliga faktorn? Hur undviker man att öppna dokument som handlar om ens egna privata intressen eller jobbrelaterade mejl om spännande konferenser?

Om du vill att något absolut ska vara hemligt så ska du nog inte använda nätet.

– Jag brukar tänka att allt jag gör syns av alla när det kommer till internet. Jag vet inte vilka dessa alla är eller hur de hanterar min information. Allt vi gör lämnar spår. Om du vill att något absolut ska vara hemligt så ska du nog inte använda nätet, säger Pia Gruvö, chef på avdelningen för krypto och it-säkerhet på Militära underrättelsetjänsten, Must.

Hennes tips för en organisation är att utbilda personalen och ge dem förståelse för hotbilden. All elektronik behöver inte vara uppkopplad till internet, särskilt inte den som behöver skyddas extra.

– Människor kommer alltid att göra fel. Men it-systemen ska vara byggda så att det är lätt att göra rätt. En enskild människa ska inte kunna göra stor skada genom att släppa in en angripare. Därför är det viktigt att it-systemen så långt det är möjligt förhindrar fel som kan ge stora konsekvenser.

”It-systemen blir säkrare, då siktar man i stället in sig på människan. Angriparna måste ha viss koll på kulturen och språket. Det går inte att använda knackig engelska som det ibland görs av angripare som vill åt din bankinformation”, säger it-säkerhetsexperten Jonas Lejon.
”It-systemen blir säkrare, då siktar man i stället in sig på människan. Angriparna måste ha viss koll på kulturen och språket. Det går inte att använda knackig engelska som det ibland görs av angripare som vill åt din bankinformation”, säger it-säkerhetsexperten Jonas Lejon. Foto: Magnus Hjalmarson Neideman

Att Sverige är en av världens främsta it-nationer spelar tyvärr föga roll när det kommer till säkerhet. MSB, Myndigheten för samhällsskydd och beredskap, gjorde inget mer efter att Cloud Hopper avslöjats än att lägga ut ett par varnande texter och bjuda in PwC att berätta om sina fynd. FRA tog med en anonymiserad beskrivning över hur angreppet gått till i sin årsbok. Signalspaningsmyndigheten lade också ut en manual om hur man skulle hantera Cloud Hopper, något som i sig är unikt och antyder omfattningen av intrånget. FRA uppgav dock för SvD att de själva var med och avslöjade angreppet, oklart exakt vad och hur.

– Det faktum att vi gick ut med det på vår hemsida, vilket vi aldrig tidigare har gjort, ta det som en indikation, säger FRA:s it-säkerhetsexpert Robin Blokker.

Inga andra offentliga uppföljningar gjordes.

De vill veta det vi vet och använda det för egen vinning, men det förstår inte vi. För en underrättelsetjänst är det tyvärr en lätt match att hämta information från Sverige.

Säkerhetspolisen svarar i dag via mejl att Cloud Hopper visade upp ”ett helt nytt angreppssätt”: ”De elektroniska angreppen mot svenska myndigheter ökar och cyberangreppen blir mer avancerade. Vi är medvetna om underrättelsehotet från andra länder”, skriver Fredrik Agemark, enhetschef för säkerhetsskydd. ”Gapet mellan hot och skydd växer. Vi bedömer detta som mycket oroande.”

Gazmend Huskaj tycker att det finns en svensk naivitet kring it-säkerhetsfrågor.

– Vi har inte riktigt kulturen eller erfarenheten av att det faktiskt finns stater som vill oss illa. Det här handlar ju inte om angrepp med våldsinslag, det handlar om att någon vill oss illa för att vi kan något. De vill veta det vi vet och använda det för egen vinning, men det förstår inte vi. För en underrättelsetjänst är det tyvärr en lätt match att hämta information från Sverige.

It-säkerhetsexperten Jonas Lejon demonstrerar det så kallade ”Cyber Kill Chain”, de delar som finns i ett cyberangrepp.

Foto: Magnus Hjalmarson Neideman Bild 1 av 7

Grafik: Alexander Rauscher

Bild 2 av 7
Foto: Magnus Hjalmarson Neideman Bild 3 av 7
Bild 4 av 7

I maj 2017 uppgav FRA för SvD att en statlig aktör låg bakom Cloud Hopper, men sa inte vilken. I den rapport som PwC tog fram pekas ingen stat ut – dock att angreppet skedde från en aktör i Kina.

Foto: Tomas Oneborg Bild 5 av 7
Foto: Foto: IBL Bild 6 av 7

”It-systemen blir säkrare, då siktar man i stället in sig på människan. Angriparna måste ha viss koll på kulturen och språket. Det går inte att använda knackig engelska som det ibland görs av angripare som vill åt din bankinformation”, säger it-säkerhetsexperten Jonas Lejon.

Foto: Magnus Hjalmarson Neideman Bild 7 av 7