Säkerhetspolisen 2023/24
Allvarligt läge
Sverige som plattform för främmande makts cyberangrepp
Främmande makt hackar privatpersoners routrar och hyr servrar för att kunna begå förnekbara cyberangrepp mot andra länder. Det är ett stort problem som hotar både Sveriges och andra länders säkerhet.
Säkerhetspolisen har utrett flera fall där andra europeiska länder och deras myndighetsfunktioner hackats från Sverige.
Att hacka privatpersoners enheter och bygga upp kapacitet genom denna typ av infrastruktur möjliggör både cyberangrepp och inhämtning. Sett till världen i stort ligger Sverige högt när det kommer till mängden hackad infrastruktur som används av främmande makt att begå förnekbara cyberangrepp från. Det största hotet kommer från Kina. Kina använder både hyrda servrar och hackar routrar som ägs av privatpersoner.
Totalt under de senaste åren rör det sig om tiotusentals hackade enheter i Sverige. Kina är inte ensamt om detta tillvägagångssätt. Även Ryssland ägnar sig åt detta. Syftet med nätverken är detsamma, men utförandet kan skilja sig åt, både mellan de olika länderna, men också mellan de aktörer som bygger upp nätverken.
– När länder som Kina och Ryssland använder Sverige som plattform för att begå angrepp ifrån är det ett hot mot Sveriges säkerhet, men det innebär även att andra länder riskerar att utsättas för angrepp. De privatpersoner vars routrar är hackade är ofta helt omedvetna om att främmande makt använder deras enheter på det här sättet. Det är oftast inte ett problem för de som utsätts, men det är ett problem för staten Sverige, säger Liv*, chef inom kontraspionage vid Säkerhetspolisen.
Säkerhetspolisen har utrett flera fall där andra europeiska länder och deras myndighetsfunktioner hackats från Sverige. I ett av fallen bedömer Säkerhetspolisen att aktören, i det här fallet Kina, har haft tillgång till det hackade systemet under lång tid. Dessutom har Kina genom den access de skaffat sig hämtat hem, exfiltrerat, information från landet ifråga. I detta fall har angreppen skett från hyrda servrar i Sverige.
Att främmande makt använder Sverige och svensk cyberinfrastruktur som en plattform är ett samhällsproblem och en brottslighet som behöver bemötas genom samverkan mellan relevanta verksamheter, myndigheter och organisationer.
– Eftersom cyberangreppen genomförs av främmande makt från utlandet blir brotten i princip omöjliga att lagföra. Vi får istället i första hand koncentrera oss på underrättelseinhämtning, det vill säga ett kartläggnings- och analysarbete för att i så hög grad som möjligt kunna förhindra brotten och reducera skadeverkningarna, säger Liv.
Även Iran bedriver cyberangrepp mot Sverige men med ett annat tillvägagångssätt och syfte. Iran ägnar sig främst åt cyberinhämtning gentemot dissidenter i Sverige. Dock är den iranska regimen en kvalificerad hotaktör som kan agera opportunistiskt om tillfälle ges.
*Liv är ett fingerat namn
På internet finns botnät, vanligt förekommande kluster av infekterade enheter. Dessa används för enklare och mindre avancerade kampanjer, exempelvis spridandet av oönskad skräppost och överbelastningsangrepp (DDoS). Detta ska inte förväxlas med anonymiseringsnätverk, ett nätverk som är till för att dölja användarens trafik och identitet.
Anonymiseringsnätverken skiljer sig från botnät i både ändamål och förmåga. Främmande makt använder anonymiseringsnätverk i avancerade angrepp och intrång mot andra länder. I huvudsak syftar deras verksamhet till inhämtning av skyddsvärd och begärlig information. Dessa dolda operationer behöver vara förnekbara, och information måste kunna transporteras tillbaka till angriparen utan upptäckt.