Cyberangreppet ”Cloud hopper” har riktats mot stora it-leverantörer i flera länder – bland annat Sverige, Norge och Finland. Från leverantörerna har angriparna tagit sig in i interna nätverk hos företag, myndigheter och organisationer. Angriparna, en hackergrupp som uppges komma från Kina, går under namnet ”APT10”.

Enligt Robert Jonsson, ställföreträdande chef på MSB:s cybersäkerhet Cert-se, har angreppen börjat med det som kallas nätfiske – alltså att angriparna, efter att ha kartlagt sitt mål, skickar ut helt vanliga mejl.

– Det man ofta gör är att titta på vilka som arbetar tillsammans, vem som är chef och anställd till exempel, och sen utger man sig för att vara någons kollega och skriver ”kan du titta på bilagan i det här mejlet”. Det är en metod som används på grund av att den är väldigt framgångsrik.

Okänt vilka företag som drabbas

När bilagan i mejlet öppnas släpps farlig kod ut i systemet. Hos it-leverantörerna kan angriparna få tillgång till stora mängder data från deras kunder, men de kan också ta sig vidare in kundernas nätverk. Enligt de rapporter MSB tagit del av har man riktat in sig på offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning.

– Syftet är att få ut information, det kan vara antingen för ekonomiska syften eller för industrispionage. Det kan handla om att man knycker hemlig företagsinformation som du kan använda för att sälja saker, eller att man stjäl forskningsinformation, säger Robert Jonsson.

MSB vet inte vilka som har drabbats, men på grund av digitaliseringen och mängden tjänster som läggs ut på just it-leverantörer befarar man att det kan handla om ”åtskilliga svenska organisationer”.

Robert Jonsson säger att det finns indikationer som går att söka efter för att se om man är drabbad – till exempel trafik som går till en server som det kriminella nätverket använt sig av.

– Vi bedömer att det här är allvarligt. Vi vet inte om den fulla omfattningen ännu. Just nu pågår, kan jag anta, ett febrilt arbete hos de flesta stora företag och myndigheter över hela världen för att se om man är drabbad och på vilket sätt.

”Människan den svaga länken”

Attackerna börjar alltså med att någon får ett mejl, som sedan släpper ut skadlig kod. Men det är inte mejlsystemet i sig som är det osäkra, säger Robert Jonsson.

– Vad de gör är att formulera sina brev på ett så skickligt sätt att man luras att öppna det, så egentligen är den svaga länken människan – det skulle inte spela någon roll om systemet var säkrare.

Men vad gör man då som anställd för att inte råka släppa ut sådan här skadlig kod?

– Man kan försöka hålla sig kritisk till den mejl man får och fundera över om de verkligen är så att de kommer från den person som utger sig för att skicka det. Man kan fundera en gång till på om den personen verkligen skulle skicka den typen av bilaga.