Foto: SVT

SVT avslöjar: 30-årig programmerare inblandad i virusattacker

Publicerad

UPPDRAG GRANSKNING · Han skrev kod som användes för att sprida virus till över en miljon svenskar. Genom en unik databas har SVT spårat en av personerna bakom attackerna som lurat offer över hela världen på hundratals miljoner kronor.

De som ligger bakom attackerna med utpressningsvirus gör allt för att hålla sig anonyma. I de flesta fall lyckas de också. Internationell polis har bara kunnat avslöja ett fåtal av dem.

Men i den unika databas som SVT Nyheter och Uppdrag granskning fått tillgång till hittar vi spår av en person.

Glömde radera sina spår

I några rader av en kommandofil har programmeraren bakom koden som använts för att sprida viruset glömt att radera spåren av sin egen dator. Där finns ett specifikt användarnamn som gör att vi kan börja leta efter kodaren.

Vi lyckas koppla koden till en profil på ett diskussionsforum för programmerare. Där finns information som leder oss vidare till ett Twitter-konto som i sin tur är registrerat på en e-postadress. Den gör att vi till slut kan se mannens riktiga namn på Facebook.

Kodaren visar sig vara en rysktalande man i 30-årsåldern, ursprungligen från Litauen. Han har tidigare studerat i Sankt Petersburg och haft ett bolag tillsammans med en rysk medborgare som är känd för olika bedrägerier.

Konfronteras med uppgifterna

Nu bor kodaren enligt egen uppgift i London och arbetar där som programmerare. Men trots att SVT tagit hjälp av researcher i England hittar vi inga spår av honom i några av Storbritanniens offentliga register. Han verkar göra allt för att hålla sig undan.

SVT:s team åker till London för att försöka träffa kodaren, men hittar honom aldrig trots besök på flera adresser där han tidigare ska ha befunnit sig. Till slut får vi istället kontakt med honom på Facebook, där vi kan konfrontera honom med våra uppgifter.

Nekar till inblandning

Han svarar att han är ”chockad” över påståendet att han ska ha varit delaktig i att sprida ett utpressningsvirus över hela världen. Mannen skriver att han ”nekar till att ha något direkt att göra med det här”.

Enligt kodaren har han arbetat som frilansande programmerare och haft många kunder, men aldrig skapat något program i syfte att sprida ett sådant virus. Mannen tycker att attackerna med utpressningsvirus är ”fruktansvärda” och hävdar att vem som helst kan ha tagit hans kod och använt den i ett annat syfte. ”Lita på mig – jag är fel måltavla”, skriver han.

Finns starka bevis

Men SVT har låtit en erfaren tidigare IT-brottsutredare analysera hela databasen. Denne vill av säkerhetsskäl vara anonym men slår tydligt fast att kodarens förklaring inte är trovärdig.

– Det finns starka forensiska bevis mot den här mannen. Det är klarlagt att han haft en del i verksamheten och förstått vad syftet med koden är, säger den tidigare utredaren.

När vi sedan låter kodaren ta del av materialet som binder honom till viruset slutar han helt att svara på våra frågor. Vi får aldrig träffa honom trots upprepade försök.

Inga tvivel om saken

Som SVT tidigare har berättat så leder spåren från den läckta databasen till Ryssland. Hackarnas hemliga kommunikation är på ryska, kommandocentralen har styrts från en server i Sankt Petersburg och nu kan vi alltså även avslöja att programmerarna bakom koden är en litauisk man som tidigare varit baserad i just Sankt Petersburg.

Det finns sedan tidigare fall där andra länder felaktigt försökt koppla Ryssland till olika it-attacker. Men i det här fallet menar experter vi talar med att det inte är något tvivel.

– Det här handlar definitivt om rysktalande nätbrottslingar. De använder slanguttryck på ryska som är svåra att fejka, säger Nikita Kislitsin, chef på det ryska säkerhetsföretaget Group IB, när han får se utdrag av den hemliga kommunikationen i databasen.

Ryssland blivit centrum för nätbrottslighet

Ryska Group IB är ett av världens ledande företag när det gäller att spåra nätbrottslingar. Nyligen tecknade de ett samarbetsavtal med Interpol. Enligt deras VD finns flera förklaringar till varför Ryssland blivit ett centrum för nätbrottslighet.

– Det här är den första generationen cyberbrottslingar efter Sovjet. De har haft en väldigt dålig ekonomisk situation samtidigt som Ryssland haft väldigt bra universitet inom IT-sektorn, säger Ilja Sasjkov vd på Group IB. 

Många smarta och talangfulla människor i Ryssland känner inte att cyberbrottslighet är något fel. De har dessutom kompetens och tekniskt kunnande för att stjäla stora summor pengar på nätet, menar han.

Onsdag den 1 november, klockan 20.00 på SVT1 sänds Uppdrag granskning om kodaren och jakten på de digitala utpressarna. Programmet går också att se i efterhand på SVT Play.

Lokal. Lättanvänd. Opartisk. Ladda ner appen nu!

Hämta SVT Nyheter i App StoreLadda ned SVT Nyheter på Google Play

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer

Digital utpressning

Mer i ämnet