Foto: TT/SVT

FRA deltar i topphemligt hacker-projekt

UPPDRAG GRANSKNING · Försvarets radioanstalt (FRA) deltar i det topphemliga programmet ”WINTERLIGHT”. Ett projekt initierat av den högsta ledningen på den amerikanska spionorganisationen NSA, som går ut på att i största hemlighet hacka datorer. Det visar dokument läckta av Edward Snowden, som Uppdrag granskning tagit fram.
– FRA får inte syssla med att hacka datorer, säger Peter Rådberg, ledamot i Riksdagens försvarsutskott.

Den 24 april i år tar general Keith Alexander, chef för NSA, National Security Agency, emot den svenska delegationen ledd av dåvarande generaldirektör Ingvar Åkesson. Det är ett imponerande uppställ NSA-chefer som möter de sju delegaterna från svenska FRA. I tre dagars överläggningar ska det nära samarbetet gås igenom, punkt för punkt. Högst upp på den svenska delegationen dagordning står Operation ”WINTERLIGHT”.

Dokumentet som beskriver mötet kommer från Edward Snowden, som i sin tur läckt materialet från NSA. Högst upp står det ”TOP SECRET”, (”Topphemligt”) och ”NOFORN” (”No Foreigner”) vilket betyder att innehållet inte får spridas, inte ens till NSA:s samarbetspartners.

Det är ett internt PM inför det som NSA kallar en ”Strategisk planerings konferens” för ”SWEDUSA” – det mycket nära underrättelse-samarbetet mellan Sverige och USA. Konferensen hålls 24 – 26 april i år, bara några veckor innan Edward Snowden åker till Hong Kong för att läcka det här PM:et, tillsammans med tusentals andra hemliga dokument.

På PM:ets första sida kan man läsa att den svenska delegationen vill lyfta för frågor om ”Quantum projekt”.

“FRA requested a WINTERLIGHT (Quantum project) update…”

Och lite senare i samma PM får general Keith Alexander instruktioner gällande det svensk-amerikanska samarbetet.

“Acknowledge the success that NSA, FRA … have had on WINTERLIGHT”

”Quantum”

Men WINTERLIGHT är inte vilket samarbetsprojekt som helst. Rubriken är ”Quantum operations”, och ”Quantum” är NSA:s hemliga hackingprogram.

– Quantum är en typ av hacking där de kan infektera en dator med en sorts sabotageprogram eller spionprogram för att få tillgång till, och ta över, datorn. Därefter kan de extrahera informationen från datorn. Normalt används den här sortens teknik av kriminella hackers. Men spionorganisationer använder det av andra anledningar; de använder liknande tekniker för att infiltrera datorer för att samla in underrättelse-information. Vanligtvis angriper de utvalda mål, människor. Det är det som är ”Quantum process”, berättar Ryan Gallagher, journalist som tillsammans med Uppdrag granskning analyserat Snowden-dokumenten om Sverige.

Quantum operationerna styrs från en av NSA allra mest centrala avdelningar, den för skräddarsydda intrångsoperationer, Tailored Access Operations (TAO). NSA:s Tailored Access Operations deltog också under det svensk-amerikanska mötet i april, där frågan om Quantum-projekt diskuterades vid flera seminarier.

”Måltavlor”

En gemensam uppgift för FRA och NSA är att spionera på mål som utgör möjliga hot mot respektive lands säkerhet. Men det är inte bara misstänkta terrorister som är måltavlor i hackingprogrammet Quantum. NSA och den brittiska motsvarigheten (GCHQ) ska enligt tidigare läckta Snowden-dokument också ha hackat användare av internettjänsten TOR som gör att man kan surfa skyddat, och organisationen OPECs huvudkontor i Wien, och företaget Belgacom. Bland Belgacoms kunder finns EU-kommissionen, EU-parlamentet och EU-rådet. För att komma åt telebolagets data- och samtalstrafik genomfördes en hackerattack.

Förenklat beskrivs attackerna så här:

All internettrafik passerar knutpunkter innan den förgrenar sig världen över. Här, på internets ryggrad, placerar underrättelsetjänsten så kallade Quantumserverar. Quantumservern släpper igenom all trafik – utom signalen från de datorer som underrättelsetjänsten vill hacka. De omdirigeras (en ”tip” eller ”tipping”) till specialservrar med ett enda syfte – att med hjälp av så kallade ”skott” ta sig in i datorer. NSA kallar dessa specialservrar för ”FoxAcid” – rävgift.

Metoden kallas för ”mannen-i-mitten” och det handlar om att underrättelsetjänstens datorer måste vara så snabba att de hinner identifiera målet, omdirigera till server med skadlig kod, och tillbaka till målets dator med ett ”shot” innan den server som målet ville surfa på hinner svara.

100 shots

Vilka FRA angripit i operation WINTERLIGHT framgår inte. Däremot hur många attacker ”shots” (”skott”) – som genomförts och hur många datorer som blivit kapade och omriktade till den brittiska underrättelsetjänsten GCHQ.

“…100 shots, five of which were successfully redirected to the GCHQ server.”

– FRA verkar ha spelat en avgörande roll i denna process.  Man gör en ”tip off” – omdirigerar en viss dator som ska bli infekterad med skadlig kod så att informationen kan extraheras, berättar journalisten Ryan Gallagher.

För att vara säkra på att FRA aktivt medverkat i hackingoperationen ber vi en av världens ledande datasäkerhetsexperter – Bruce Schneier – granska de tekniska formuleringarna i NSA:s hemliga dokument.

– Både Quantum och FoxAcid är NSA/GCHQ-program för att attackera datoranvändare. De lyssnar på vad användarna gör och sedan attackerar de. Det faktum att Sverige är involverat i dessa program betyder att Sverige är involverat i aktiva attacker mot internetanvändare. Det är inte bara passiv övervakning. Detta är aktiva attacker.

– Utan tvekan?

– Ja. Utan tvekan. Detta dokument visar att FRA genomför aktiva attacker, säger Bruce Schneier.

”Aktiv signalspaning”

För att förstå det kontroversiella i FRA:s medverkan i Quantumprojektet måste vi backa till den 13 maj 2008, och försvarsutskottets lokaler i Sveriges Riksdag. FRA:s generaldirektör Ingvar Åkesson är kallad till utfrågning. Bakgrunden är den nya FRA-lagen och rykten att FRA inte bara passivt vill hämta in det som passerar i tele- och datanäten utan också syssla med det dom kallar för ”aktiv signalspaning” – det vill säga dataintrång – att hacka sig in i datorer.

– Ja, den viktigaste frågan som jag ställde personligen var om FRA hade någon aktiv signalspaning. Och på den frågan svarade FRA-chefen nej, berättar Peter Rådberg (mp), ledamot Riksdagens Försvarsutskott.

Peter Rådberg berättar att FRA-chefen också fick frågan om den nya FRA-lagen skulle göra aktiv signalspaning – hacking – laglig.

– Ja, vi ställde en fråga om det var lagligt att FRA fick bedriva en aktiv signalspaning och på den frågan svarade han nej.

– Det var tydligt?

– Det var tydligt!

– Blev du lugnad?

– Säger FRA-chefen nej på en så tydlig fråga, måste man ju utgå ifrån att det är riktigt, säger Peter Rådberg.

Peter Rådberg anser inte att de juridiska förutsättningarna har förändrats till idag.

– FRA får inte syssla med aktiv signalspaning, säger han.

FRA:s nytillträdde generaldirektör Dag Hartelius vill inte låta sig intervjuas.

– Jag kan inte kommentera den typen av uppgifter om specifika verktyg eller metoder, men rent generellt kan jag säga att vi följer de lagar som är för vår verksamhet, och all vår inhämtning har vi tillstånd till från Försvarsunderrättelsedomstolen, oavsett vilka verktyg eller metoder som används, säger Fredrik Wallin, talesperson Försvarets radioanstalt.

Förre FRA-chefen Ingvar Åkesson beklagar i ett mail till SVT att det uppstått en diskussion kring hur han uppfattats i Försvarsutskottet. All signalspaning under hans tid skedde enligt svensk lag.  Åkesson kommenterar inte om FRA deltagit i hackingprogrammet Quantum.

Brittiska GCHQ:s kommentar.

Kommentar från NSA:s talesperson Vanee M. Vines:
”Vi tänker inte publikt kommentera vare specifik påstådd underrättelse aktivitet, och den amerikanska regeringen har gjort klart att USA inhämtar underrättelser av samma typ som alla nationer gör.”

Reportrar: Sven Bergman, Joachim Dyfvermark, Fredrik Laurin, Glenn Greenwald, Ryan Gallagher.

Så arbetar vi på SVT Nyheter

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer

Snowden-dokumenten

Mer i ämnet