Nya uppgifter: Mediebolagens leverantörer tog smällen först

Breakit - Nya uppgifter: Mediebolagens leverantörer tog smällen först

Schibstedhuset i Stockholm och polisens IT-expert Anders Ahlqvist. FOTO: TT

Stefan Lundell

Medgrundare och innehållschef

Trafiken som släckte ner nyhetssajterna kom från både Ryssland och USA.

En rad stora nyhetsmedier slogs ut på lördagskvällen efter en så kallad överbelastningsattack. En överlastningsattack innebär att trafiken från tusentals kapade datorer rikatas mot ett mål, till exempel en nyhetssajt. I inledningsskedet av attacken antogs att trafiken gått direkt till de stora svenska nyhetssajterna som sedan tvingades stängas ner. Men på söndagskvällen kom nya uppgifter från Polisen som delvis ger en annan bild av händelseförloppet.

"Man har angripit deras leverantörer, det är det som har hänt. När leverantörerna har blivit angripna och tappat sin internetkontakt, då har naturligtvis kunderna följt med. Det innebär att det kan finnas väldigt många målsägande i det här", säger Anders Ahlqvist, it-brottsexpert på NOA, Polisens nationella operativa avdelning till Sveriges Radios Eko-redaktion.

Attackerna mot mediebolagens IT-leverantörer ska ha upphört redan under lördagskvällen, uppger Anders Ahlqvist.

"Sedan får vi väl se om det kvarstår, det förhållandet, eller om man kommer igen med nya tag", säger han till Ekot.

I inledningsskedet efter att IT-attacken uppdagats fanns samstämmiga uppgifter om att merparten av trafiken som stängde ner nyhetssajterna kom från Ryssland - men nu nyanseras även den bilden.

Mediehuset Schibsteds informationsdirektör Fredrik Lindén uppger för Ekot att trafiken kommit från servrar baserade både väster och öster om Sverige.

"Våra uppgifter tyder på att den här massiva trafiken, överbelastningsattacken, kommit från kapade datorer i framför allt Ryssland och USA. Det har varit lika delar trafik från de båda länderna", säger han.

Var servarna står geografiskt behöver inte heller ha något att göra med vad de som initierat attacken är stationerade, betonar Anders Ahlqvist på Polisen.

"Det som har sagts är att mycket av den här trafiken kommer österifrån. Det kan ha många olika skäl till att det är på det sättet", konstaterar han.

Aftonbladet, Expressen, Dagens Nyheter, Svenska Dagbladet, Dagens Industri, Sydsvenskan och Helsingborgs Dagblad låg under lördagskvällen nere helt eller delvis på grund av IT-attacken. 

Arbetet med att försöka spåra de ansvariga leds nu av en specialavdelning inom polisen - Nationella operativa avdelningen (NOA).  

Strax före IT-attacken lade ett anonymt twitterkonto ut hot om attacker de kommande dagarna. Attackerna ska enligt twitterinläggen riktas mot svenska myndigheter och medier som "sprider falsk propaganda". I svensk översättning lyder meddelanedet i sin helhet:

”Det följande dagarna kommer attacker att riktas mot den svenska regeringen och medierna som sprider falsk propaganda”.

En del av polisens arbete riktas nu in mot att försöka spåra vem eller vilka som står bakom det anonyma Twitterkontot. Enligt Anders Ahlqvist, på NOA, finns vissa spår.

”Att döma av det vi vet hittills pekar kontot österut. Men ingen tycks ännu ha tagit på sig ansvaret”, säger han till nyhetsbyrån TT.

Han uppmanar till försiktighet och utesluter inte att det kan komma nya attacker.

"Man har ju hotat att fler attacker ska ske över tid, och hittills har det man skrivit varit sant. Därför finns det skäl att se över sin säkerhet och fundera över vad man ska göra för att skydda sig, säger Anders Ahlqvist.

Expressens ställföreträdande ansvarige utgivare Karin Olsson uppgav till Sveriges Radio sent på lördagskvällen att tidningen befann sig i "fullt krisläge" och att alla krafter satts in för att återuppta nyhetsförmedlingen. På söndagsmorgonen var samtliga av de attackerade nyhetssajterna uppe i drift igen.

Inrikesminister Anders Ygeman uppgav i ett skriftligt uttalande till nyhetsbyrån TT efter IT-attacken:

"Det är djupt oroande att det finns krafter som vill tysta det fria ordet, det är för tidigt att dra långtgående slutsatser av vad som skett men det här visar på behovet av att utveckla svensk IT-säkerhet. Polisen har inlett en utredning och regeringskansliet följer läget noga och håller mig och regeringen uppdaterade"

Jeanette Gustafsdotter, vd på Tidningsutgivarnas branschorganisation TU, säger att det inträffade är extremt allvarligt.
"Vem det är som ligger bakom det här kan man bara spekulera om, det vet vi ju ingenting om än – men att man kan göra det är extremt farligt och allvarligt. Att hota nyhetsförmedlingen är ett hot mot demokratin, säger hon till Sveriges Radio.

En stor del av trafiken som strömmade in mot nyhetssajterna och orsakade kraschen kom från ryska internetoperatörer. Det behöver inte betyda att attacken har sitt ursprung i Ryssland, men pekar på att den eller de som ligger bakom på olika sätt kan ha dirigerat attacken genom landet, eller utnyttjat virusinfekterade ryska datorer, skriver nyhetsbyrån TT.

Läs fler artiklar
LÄS MER