Här är tekniken spionbröderna använde – nu startar rättegången

2022-11-23 13:35  

De två bröder som är åtalade för grovt spioneri har lämnat spår i digital utrustning. I den tekniska bevisningen ingår krypterade enheter, en sönderbruten hårddisk – och en spionkamera i en ”bilnyckel”.

Fredag 25 november börjar huvudförhandlingen i vad som väntas bli en tio dagar lång rättegång. Två bröder är åtalade för grovt spioneri och grov obehörig befattning med hemlig uppgift.

De tros ha anskaffat information till den ryska underrättelsetjänsten GRU. Informationen rör hemligstämplade dokument "vars uppenbarande för främmande makt kan medföra men för Sveriges säkerhet” enligt åtalet. På grund av den höga sekretessen sker stora delar av rättegången bakom stängda dörrar. 

I de offentliggjorda delarna av den it-forensiska utredningen går att läsa hur bröderna använt sig av olika sorters teknik – både för att sno åt sig hemligstämplat material och för att dölja sina spår. Det har pågått en hemlig utredning mot storebrodern Peyman Kia sedan 2017 och i september 2021 greps han.

– De som håller på med sådana här saker, det ser man även inom andra typer av brottslighet, åker dit förr eller senare på grund av någon sorts misstag. Och det kan man se även i den här utredningen, att han har gjort misstag, säger it-säkerhetsexperten Jonas Lejon som tagit del av åtalet och förundersökningen.

Krypterade enheter lämnar också spår

Peyman Kia har tidigare varit anställd vid Säkerhetspolisen och Försvarsmakten och när han greps var han anställd som säkerhetschef på Livsmedelsverket. Enligt uppgifter till DN arbetade han även på KSI, kontoret för särskild inhämtning, som har verksamhet med agenter och rekrytering av spioner. Peyman Kias bror, Payam Kia, ingår också i åtalet. Han har inte varit anställd vid någon av myndigheterna men ska ha hjälpt sin bror med att förmedla information till Ryssland. 

I rättegången som påbörjas den 24 november är det många som ska vittna. Dessa är dock inte namngivna i stämningsansökan utan har blivit anonymiserade. Det finns även mycket teknisk bevisning och en långa rad enheter har undersökts som redovisas i det it-forensiska protokollet. Där går att få fram en tydligare bild av hur bröderna har arbetat. 

I de offentliggjorda dokumenten beskrivs bland annat hur Peyman Kia en natt i mars 2014 ska ha varit inne på sin arbetsplats hos Försvarsmakten. Utifrån återskapade miniatyrbilder anträffade på hans privata dator som överensstämmer med dokument från både Försvarsmakten och Säpo konstateras att skärmfotografier av hemliga dokument har tagits.

Till den privata datorn finns även spår efter 15 externa enheter – till exempel USB-minnen eller hårddiskar. Av dessa har sex återfunnits. Flertalet krypterade enheter nämns också i utredningen, och även om en enhet är krypterad sparas information på den dator där den ansluts.

– En krypterad enhet dyker upp som vilken enhet som helst, och sedan söks den igenom med antivirusprogram, säger Jonas Lejon.

Krypterade enheter gör dock sitt jobb och är svåra att få ut information ifrån.

En återfunnen hårddisk krypterad med Veracrypt. Det kan finnas en så kallad gömd volym som inte syns på hårddisken. Foto: Polisen

– Oftast behöver man en nyckel eller lösenord för att låsa upp enheten. I vissa fall pratar man om ”plausible deniability”, det betyder att man inte kan se om det finns information eller data på en enhet. Och det skrev man också i förundersökningen, att man inte kan utesluta att det finns några gömda volymer, säger Jonas Lejon.

Med gömda volymer menas dolda mappar eller dokument som inte går att se alls. Men det har ändå gått att koppla filer till särskilda hemligstämplade dokument på grund av filstrukturer som överensstämde med de hos myndigheterna. 

– Antivirusprogrammet har skannat alla enheter som han stoppade in, oavsett om de var krypterade eller inte. Och då kunde man från katalognamnen se vad han hade snott för information från myndigheterna, säger Jonas Lejon

VPN det absolut viktigaste

Utöver de externa enheterna har it-forensiker också lyckats återskapa anteckningar från lillebroderns Payam Kias enheter. I dessa anteckningar framgår att någon sorts utväxling planerades i närtid till att dokumenten fotograferades hos Försvarsmakten 2014. 

I anteckningarna diskuteras även olika sätt att hålla sig anonym på nätet och att kunna dölja sina spår. Tjänster som Tor och Veracrypt nämns och det står att VPN är det absolut viktigaste. Men enligt Jonas Lejon går det ändå att få ut information om man får tag på hårdvaran.

– Anonymiseringen försvårar oftast avlyssning, vilket Säpo troligtvis har haft på bröderna under en längre tid. Men kommer man åt själva datorn kan man till viss del återskapa eller hitta information, vilket man gjort i det här fallet, säger han. 

Även om man har anslutit till internet via en VPN-tjänst så finns det alltså viss data som sparas i hårdvaran.

– Oavsett vilken typ av uppkoppling du har, om du är anonym eller inte när du ansluter till nätet, har du behov av att spara ner vissa uppgifter. Så det går ändå att lägga ett pussel i efterhand, säger Jonas Lejon. 

En sönderbruten hårddisk hittades i en papperskorg

I förundersökningsprotokollet går också att läsa spaningsobservationer om lillebrodern Payam Kias agerande kort efter att Peyam Kia blir gripen. Där framgår att han har lämnat sitt hem och slängt något i en papperskorg vid en busstation. I soppåsen hittade polisen sedan en sönderbruten hårddisk. 

Den sönderbrutna hårddisk som hittades i en papperskorg. Foto: Polisen

– Man har lyckats återskapa vissa delar, men kanske inte alla sammanhang. Så fungerar dagens hårddiskar, man har inte så mycket skivbaserade hårddiskar längre. Man vet inte riktigt var de olika delarna eller fragmenten skrivs och då kan det vara svårt att pussla ihop i efterhand var data ligger någonstans, säger Jonas Lejon. 

Vid ett senare tillfälle återfinns den dator som hårddisken med stor sannolikhet har suttit i hemma hos Payam Kia. I det IT-forensiska undersökningsprotokollet står det att den sönderbrutna hårddisken försvårar möjligheten att besvara delar av undersökningens frågeställningar. 

Under tiden Peyman Kia sitter häktad gör även lillebrodern sökningar på internet på en lånad dator. Han söker bland annat på ”försvinna i sverige”, ”kan man åtalas innan förhör” och ”hålla sig undan lagen”. 

Kamera som ser ut som en bilnyckel

Från det offentliggjorda materialet framgår också att det har påträffats en kamera som ser ut som en bilnyckel hos den yngre brodern. I kameran satt ett 8 GB minneskort som det har gått att återskapa filmer från. 

Bilderna på kameran verkar dock vara slumpvis tagna. Enligt utredningen ger bilderna ett intryck av att kameran använts för att testa hur den verkar fungerar, inga tydliga tecken finns på att den använts för spionage. Just kameror kan dock vara svåra att skydda sig mot, enligt Jonas Lejon. 

– Vi som jobbar med cybersäkerhet försöker bygga system så att det inte går att stoppa in USB-minnen och stjäla information enkelt. Just det här med att fotografera av skärmen är något som är väldigt svårt att skydda sig mot, om inte rent av omöjligt, säger han.

En beskrivning av spionkameran tillsammans med den hittade enheten. Foto: Polisen

På grund av den höga sekretessen framgår inte all bevisning som finns mot bröderna. För att inte avslöja något om sina metoder har polisen valt att inte medverka i en intervju. I en kommentar till Ny Teknik skriver polismyndigheten följande: 

”När vi använder digitala enheter skapas det mycket information som kan vara värdefulla digitala spår i en utredning. Möjligheten att extrahera digital information från hela, trasiga eller krypterade enheter varierar mellan olika system, enheter och tjänster samt vilken resurs som läggs. Vi kan tyvärr inte gå in på mer detaljer än så utan att riskera att avslöja våra arbetsmetoder, och vi kommenterar inte heller det enskilda ärendet du nämner nedan.”

Några datum från spionfallet 

Bröderna Peyman och Payam Kia är åtalade för att under perioden 28 september 2011 – 20 september 2021 tillhandahållit information till Ryssland och den ryska underrättelsetjänsten GRU genom att anskaffa och röja uppgifter som kan medföra men för Sveriges säkerhet. 

2012-11-28: En katalog som döps till TrueCrypt skapas på en stationär dator av Peyman Kia.

2013-08-17: På en bärbar dator återfinns spår av 59 bilder som skapats 2013-08-17. Bilderna har funnits på en krypterad Veracrypt-volym som aktivt monterats av datorn användare. 

2013-08-24 och 2013-12-02: Spår efter ytterligare bilder med dessa skapelsedatum har återfunnits.

2014-03-12 – 2014-03-13: Peyman Kia befinner sig på jobbet på natten. Här tror Säpo att Peyman Kia har tagit skärmavbilder av dokument. Det har återfunnits spår efter dokument som skapats den här natten. 

2014-03-25: Miniatyrbilder föreställande fotograferade dokument som visas på en datorskärm har återfunnits och kopplas till det här datumet. Ett av dokumenten har enligt logg öppnats av Peyman Kia på Försvarsmakten 2014-03-25. Bilderna har även hanterats på en dator efter 2017 och efter Peyman Kias anställning avslutats. 

2014-10-07: Spår av miniatyrbilder av avfotograferade dokument som matchar ett hemligstämplat dokument från Säkerhetspolisen återfinns på en dator.  

2014-2015: Flertalet dokument som diskuterar att överlämna något utan att bli identifierad. Det diskuteras olika belopp, ”fejk legg” och krypteringsprogrammet TrueCrypt.  

2017-07-21: En bärbar dator tas i bruk och programvarorna CCleaner, Eras och Veracrypt installeras av Peyman Kia. Flertalet hårddiskar som inte återfunnits har anslutits till datorn. 

2019-2020: Flertalet externa enheter ansluts till diverse datorer, flera av dessa enheter har inte återfunnits. Anteckningar om belopp och att ”de” får ge ”oss” guld nästa gång återfinns. Även stora summor dollar diskuteras.  

2021-03-03: I en anteckning på en telefon tillhörande Payam Kia återfinns en anteckning som säger ”Blir som GRU grjejn”.  

2021-09-20: Peyman Kia grips  

2021-10-08 – 2021-11-16: Flertalet internetsökningar görs mellan den första husrannsakan hos Payam Kia och den andra när han grips. Sökningarna innefattar ”spion”, ”rätt att ringa från häktet”, ”husrannsakan hos vittne”, ”att han inte hade uppsåtet att spionera,”, ”can police open android”, ”försvinna i sverige” 

2021-09-20: Payam Kia lämnar sitt hem och slänger en sönderbruten hårddisk i en papperskorg 

2021-11-16: Payam Kia grips  

2022-11-24: Huvudförhandlingen inleds 

Bill Burrau

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt