Spionvirus hot mot Sverige

Spionprogrammet Flame har för första gången hittats i Sverige. Det misstänks ha utvecklats av USA och Israel för att spionera på andra stater och har tidigare spridits främst i Mellanöstern. Nu hotar det Sverige.

I maj i år upptäcktes Flame, som beskrivs som det mest avancerade cybervapnet hittills, på datorer i Iran och andra delar av Mellanöstern.

Spionprogrammet är 20 gånger större än kända Stuxnet, som 2010 slog mot iranska kärnanläggningar. Flame kan liknas vid en låda med verktyg som kan användas för att oupptäckt ta sig in i datorer, stjäla information och leta sårbarheter.

Såväl Säpo som Försvarsmakten beskriver det som ett hot mot nationell infrastruktur, statliga och militära myndigheter samt mot industriföretag.

Ny Teknik kan avslöja att Flame för första gången nu upptäckts i Sverige. Enligt uppgift till Ny Teknik har trojanen hittats på en server i Stockholm. KTH:s it-forensiska labb i Stockholm har fått i uppdrag att analysera programmets kod.

På KTH kommenterar man inte uppgifterna av sekretesskäl.

– Jag kan tyvärr inte avslöja något om vad vi arbetar med, säger Lars-Olof Strömberg, it-säkerhetsexpert på KTH och ansvarig för labbet.

Det är oklart om en förundersökning rörande spioneri inletts.

– Den typen av frågor kan jag tyvärr inte besvara med hänvisning till sekretess, säger Tomas Lindstrand, chef för åklagarkammaren för säkerhetsmål, i Stockholm.

Henrik Christiansson, chef för enheten för informationssäkerhet på Säpo, bekräftar dock för Ny Teknik att Flame utgör ett allvarligt hot även mot Sverige.

– Hotet från statsunderstödda it-attacker är lika stort mot Sverige som mot andra länder som är jämförbara med Sverige, säger han.

Nyligen avslöjade franska medier att Flame i maj i år hittades i datorer i Elyséepalatset. Datorerna tillhörde dåvarande presidenten Nicolas Sarkozys närmaste medarbetare. Enligt uppgifter till Ny Teknik är även andra länder i EU drabbade.

Till skillnad mot Stuxnet är Flame inte avsett att sabotera ett specifikt mål, utan syftar främst till bred informationskrigföring. Programmet sprids via lokala nätverk eller usb-minnen och söker efter information i datorer, som sedan sänds hem via särskilda servrar. Det kan också exempelvis spela in ljud och Skype-samtal, ta skärmbilder, logga tangentbord och nätverkstrafik och dessutom använda bluetooth för att hämta kontaktinformation från telefoner runtomkring.

Enligt Lars-Olof Strömberg finns det i dagsläget bara virusskydd mot två av fem kända varianter av Flame.

Bland it-forensiker finns en övertygelse om att endast en nationalstat kan ligga bakom Flame. Det antal personer, tid och pengar som krävs för att konstruera Flame utesluter att exempelvis teleoperatörer eller storföretag kan ligga bakom. Väl lös i cyberrymden kan koden dock kopieras av andra.

– När koden analyserats kan andra grupper än upphovsmännen plocka upp verktygen, modifiera och bygga egna varianter, konstaterar Lars-Olof Strömberg.

Även Försvarsmakten bekräftar att fenomen som Flame och Stuxnet innebär en ny nivå av it-hot.

– Hotet är absolut inte överdrivet. Att hoten från stater ökar bedömer vi som riktigt. Det är ju ganska logiskt att om man kan hämta information hemifrån i stället för att skicka personal till ett annat land så väljer man det, säger Ulf Forssberg, överstelöjtnant vid it-försvarsförbandet.

Förbandet rekryterar just nu bland annat it-forensiker och systemutvecklare, men hur många som ska anställas är hemligt.

Statsunderstödda cyberattacker är också ämnet för en konferens på Försvarshögskolan i Stockholm. Medverkar gör bland andra företrädare för USAs cyberkommando.

Fem spionprogram som stater misstänks ligga bakom

FLAME upptäcktes i maj i år. Den samlar information och letar bakdörrar in i datorer. Har enligt uppgifter i New York Times utvecklats av samma grupp cybersoldater från USA och Israel som stod bakom trojanen Stuxnet. Enligt tidsstämplar började Flame infektera datorer redan för fem år sedan och nu tros cirka 10 000 datorer vara infekterade. Fem varianter har upptäckts: Fl, SP, SPE, IP och Miniflame.

NARILAM upptäcktes i förra veckan misstänks ha tillverkats i Israel. Förstör information i databaser hos iranska företag och myndigheter.

GAUSS hittades i september. Angriper bankväsendet, främst i Mellanöstern. Är baserad på Flame-programvara och verkar ha släppts ut i augusti 2011. Sedan i juli 2012 är Gauss vilande och väntar på nya instruktioner.

DUQU detekterades i september 2011. Har en kod som är snarlik Stuxnets och letar efter information om processkontrollsystem, och kan också användas i Windowsmiljö.

STUXNET avslöjades i juli 2010. Avsåg att slå mot speciella mål i Iran, främst mot styrning av centrifuger som används vid anrikning av uran, men har förökat sig vilt.

Niklas Dahlin

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt