Säkerhet

Experter: Därför har Rysslands cyberarmé misslyckats – hittills

Kraftledning i Lviv, Ukraina. Foto: Mykola Tys / SOPA Images/Sipa USA
Kraftledning i Lviv, Ukraina. Foto: Mykola Tys / SOPA Images/Sipa USA
Ukrainare köar utanför en bank i Kiev. En möjlig måltavla vid ryska cyberattacker är ekonomisk infrastruktur. Foto: Oleksandr Khomenko/UPI/Shutterstock
Ukrainare köar utanför en bank i Kiev. En möjlig måltavla vid ryska cyberattacker är ekonomisk infrastruktur. Foto: Oleksandr Khomenko/UPI/Shutterstock
En rapport om skadlig kod som angriper myndigheter och organisationer i Ukraina, publicerad av Cybersecurity & Infrastructure Security Agency 28 februari 2022. Foto: Jon Elswick/AP Photo
En rapport om skadlig kod som angriper myndigheter och organisationer i Ukraina, publicerad av Cybersecurity & Infrastructure Security Agency 28 februari 2022. Foto: Jon Elswick/AP Photo
Staffan Truvé, medgrundare och forskningschef på Recorded Future, på företagets Göteborgskontor. Foto: Sören Håkanlind
Staffan Truvé, medgrundare och forskningschef på Recorded Future, på företagets Göteborgskontor. Foto: Sören Håkanlind
Säkerhetsexperten André Catry. Foto: Petter Karlberg
Säkerhetsexperten André Catry. Foto: Petter Karlberg

Ett storskaligt ryskt cyberangrepp har inte genomförts än – men bedömare befarar att det kommer. Elnät i Ukraina och i Europa pekas ut som tänkbara mål. Den ryska regimen har dessutom sannolikt tillgång till en bred arsenal av olika sabotageprogram som ransomeware, säger experter till Ny Teknik.

Publicerad

Det har nu gått en vecka sedan Ryssland inledde sin invasion av Ukraina, men redan dagarna innan det storskaliga angreppet började ett nytt virus infektera datorer i landet.

Ryssland har de facto en lång historia av it-angrepp mot Ukraina. Därför var det många som förväntade sig ett större cyberangrepp mot samhällskritisk infrastruktur i kölvattnet av invasionen. Men förutom virus, ett par överbelastningsattacker och hackade regionala myndighetssajter har så inte skett – än i alla fall.

– Vi har noterat att det är förvånansvärt lite cyberaktiviteter och cyberangrepp som riktas mot Ukraina och länder i närheten. Det är slående att elnätet och internet fortfarande fungerar, även om man har bombat tv-tornet för att slå ut tv-sändningar, säger Staffan Truvé, medgrundare och forskningschef på säkerhetsföretaget Recorded Future, till Ny Teknik.

Staffan Truvé är medgrundare av säkerhetsföretaget Recorded Future och ordförande för IVA:s avdelning för informationsteknik. Foto: Sören Håkanlind
Staffan Truvé är medgrundare av säkerhetsföretaget Recorded Future och ordförande för IVA:s avdelning för informationsteknik. Foto: Sören Håkanlind

En förklaring kan vara att Ukraina, efter Krim-annekteringen 2014, har genomfört flera åtgärder för att stärka it-skyddet hos exempelvis landets elförsörjning. Bland annat genom så kallad ödrift, vilket innebär lokal elproduktion i mindre "öar" som är geografiskt avgränsade utan koppling till det omkringliggande nätet.

– Ukraina blev tidigt ansatt av rysk cyberkrigsföring. Först slog man hårt mot exempelvis elnäten, sedan kom ransomewareangreppet Notpetya (2017, reds anm.). Det har gjort att Ukraina nu är mer förberett för den typen av attacker, säger säkerhetsexperten André Catry till Ny Teknik.

Han har tidigare grundat it-säkerhetsföretaget Bitsec samt utvecklat säkerhetslösningar åt Saab, bland annat. 

”Vill fortsätta övervaka näten”

Enligt André Catry kan det också röra sig om en medveten strategi från Rysslands sida. Att låta mobiltelefoninäten vara intakta i landet kan ge den ryska regimen möjlighet till fortsatt informationsinhämtning mitt under det pågående angreppet. 

– Om man samtidigt kan lyssna på och övervaka mobilnäten får man en viktig överblick. Det kanske är viktigare än att slå ut nätet. Genom att läsa av sms-trafik kan man få ut information om var befolkningen befinner sig, och vilka de pratar med. Den typen av avlyssning går att automatisera och kan göras på distans, säger André Catry. 

Ukrainare köar utanför en bank i Kiev. En möjlig måltavla vid ryska cyberattacker är ekonomisk infrastruktur. Foto: Oleksandr Khomenko/UPI/Shutterstock
Ukrainare köar utanför en bank i Kiev. En möjlig måltavla vid ryska cyberattacker är ekonomisk infrastruktur. Foto: Oleksandr Khomenko/UPI/Shutterstock

Invasionskriget mot Ukraina är dock i ett tidigt skede. Både Staffan Truvé på Recorded Future, som samlar in och analyserar data från nätet, och André Catry befarar att det kan komma ett storskaligt cyberangrepp från Ryssland riktat mot Ukraina eller Europa. 

– Risken är otroligt hög. Målet kan dels vara att skapa oreda i samhället, dels som ren propaganda. Om ryska cyberförmågor lyckas slå ut elnät någonstans kan det bli en viktig prestigeseger för dem, säger Staffan Truvé. 

– Om en större cyberattack sker mot Ukraina, Europa eller Sverige är det mest sannolikt att Ryssland ger sig på elnät eller ekonomisk infrastruktur. Det finns flera delar av elnäten som är känsliga för den här typen av attacker, och det mest centrala är tjänster för balansering i kraftnätet. Kan man påverka dessa, så kan man fysiskt ha sönder näten när ställverk och transformatorer brinner upp, säger André Catry. 

Efter invasionen har Svenska kraftnät gått ut med att man höjer beredskapen. Men hur robust är it-skyddet i Sverige, och vad kan göras för att stärka det? 

– Det håller på att ske nu. De som har kommit längst på den fronten är Skatteverket och Försäkringskassan, som aldrig har gått ”all-in” i lagring i molnet, utan resonerar att det handlar om samhällsbärande data som måste finnas i svensk ägo. Skulle exempelvis Skatteverket förlora sina data, då vet vi inte längre vilka som bor i Sverige. Det är oerhört viktigt att bygga upp robusta skydd kring den typen av system. 

Säkerhetsexperten André Catry. Foto: Petter Karlberg
Säkerhetsexperten André Catry. Foto: Petter Karlberg

Rysk tillgång till sabotageprogram

Utöver att försöka genomföra storskaliga attacker riktade mot samhällsbärande funktioner, har Ryssland med största sannolikhet dessutom tillgång till en bred palett av olika sabotageprogram som skulle kunna användas mot exempelvis privata företag eller olje- och gasproduktion i Europa och USA.  

I mitten av januari grep ryska myndigheter en medlem av den ryska ransomewaregruppen Revil, som har kopplats till en attack mot Colonial Pipeline, USA:s största oljeledning, samt it-företaget Kaseya som driftat system åt bland annat svenska Coop

– När nyheten kom sa jag till mina kollegor att det i stället kanske handlar om en värvning till ryska staten. Även innan invasionen blev ett faktum rådde det inga tvivel om att de verktyg som ransomewaregrupper som Revil och Conti har i sin låda, de har den ryska staten också tillgång till, säger Staffan Truvé på Recorded Future. 

Det har också rapporterats om interna stridigheter mellan ukrainska och proryska medlemmar i ransomewaregruppen Conti. Vad kan det få för betydelse? 

– Det är klart att det måste påverka gruppen. Man kan fundera på om de ukrainska medlemmarna har tillgång till Contis verktygslåda av programvara, och de kommer att rikta dessa mot Ryssland nu. Den här typen av cyberkriminella har haft en fristad i Ryssland tidigare. Titta bara på viss ransomewarekod, som är konfigurerad för att inte ge sig på ryska servrar. Om jag var ukrainare skulle jag plocka bort dessa if-satser nu, säger Staffan Truvé.

En rapport om skadlig kod som angriper myndigheter och organisationer i Ukraina, publicerad av Cybersecurity & Infrastructure Security Agency 28 februari 2022. Foto: Jon Elswick/AP Photo
En rapport om skadlig kod som angriper myndigheter och organisationer i Ukraina, publicerad av Cybersecurity & Infrastructure Security Agency 28 februari 2022. Foto: Jon Elswick/AP Photo

Vi har även läst om att Ukraina samlar en it-armé av frivilliga och att hackergruppen Anonymous har anslutit till kampen mot Ryssland.  Vad den typen av initiativ bidra med egentligen? 

 – Det är svårt att säga, och beror helt på vilka som ansluter sig till deras sida. Ukraina är ett högteknologiskt land. Tittar man på grupper som Conti vet vi att det finns skickliga cyberkriminella i landet, som säkert är engagerade i motståndet nu. Från internationellt håll kan man anta att det blir en kombination av frivilliga gräsrotsattacker mot Ryssland men också att västliga aktörer med offensiv cyberförmåga är engagerade. 

– När det gäller Anonymous är det egentligen mest ett varumärke som vem som helst kan använda. Det kan mycket väl vara så att västliga aktörer genomför cyberangrepp mot Ryssland nu, men sedan använder sig av Anonymous-etiketten. Bland annat för att det skulle framstå som svagt av Ryssland att kunna bli hackade av den typ av grupp, fortsätter Staffan Truvé. 

”Putin behärskar inte sociala medier”

Förutom cyberattacker och ekonomisk krigsföring är desinformation ett viktigt vapen för Ryssland. Informationskriget började på bägge fronter redan innan invasionen var ett faktum.

Men Ryssland kan ha förlorat ha förlorat den fronten, i alla fall under invasionens initiala skeende. Ukraina har varit betydligt mer framgångsrikt på den stridslinjen, säger säkerhetsexperten André Catry. 

Vad kan det bero på? 

– Man måste tänka på att båda sidor vill styra narrativet. Men Putin behärskar inte arenan som sociala medier utgör, han förlitar sig i stället på att statsapparaten ska ge honom informationsövertaget. Men vi konsumerar inte information på det sättet längre, allt fler vänder sig till sociala medier för att få nyheter. Tittar man på Volodymyr Zelenskyj, Ukrainas president, är det uppenbart att han förstår och kan sociala medier-arenan, det var förmodligen det som fick honom vald, säger André Catry.