Microsoft: ”Ryska och turkiska hackare samverkade efter koranbränningen”
Publicerad 2023-02-20
Ryska och turkiska hackare agerade tillsammans efter koranbränningen.
Det visar en kartläggning som Microsoft låtit göra.
– Ryska och turkiska aktörer har gjort gemensam sak för att angripa svenska intressen, säger Sandra Barouta Elvin, nationell säkerhetschef för Microsoft.
När Rasmus Paludan i slutet av januari brände en koran utanför Turkiets ambassad, utlöste det massiva desinformationskampanjer mot Sverige.
Mikael Tofvesson, avdelningschef för operativa avdelningen på Myndigheten för psykologiskt försvar, menade att attackerna var betydligt mer aggressiva än tidigare.
– Det samlade informationspåverkanstrycket är större än under LVU-kampanjen och påskkravallerna, sa Tofvesson vid en presskonferens.
Det rörde sig bland annat om kampanjer innehåller hat, hot och vilseledande budskap om att Sverige är ett islamfientligt land och att staten står bakom koranbränningar, liksom att Sverige skulle vara ett legitimt mål för terrorism.
Gemensamma attacker
Nu kan Aftonbladet berätta att Microsoft kunnat spåra hur hackare och cyberaktivister från Ryssland och Turkiet till synes samverkat för att angripa Sverige.
PLUS: Experten om hackergruppen Anonymous Sudan
– När det gäller kopplingar mellan Turkiet och Ryssland, ser vi indicier som tyder på att det har varit någon sorts samverkan, eftersom det är väldigt koordinerade aktiviteter.
– Vi har sett kopplingen mellan turkiska och ryska hackare i olika communities, hur de har samverkat som svar på koranbränningen och agerat ihop i närmast gemensamma överbelastningsattacker mot svenska företag och myndigheter. Under samma hashtag och i samma forum.
Kartlagt aktörer
Sandra Barouta Elvin, som har över 20 års erfarenhet av att jobba med informationssäkerhet, berättar hur Microsoft under lång tid kartlagt olika typer av aktörer, såväl statsunderstödda som grupperingar som ägnar sig åt cyberkriminell verksamhet.
– Man tittar på vilket modus man använder, vad de har för infrastruktur, vad det är för individer och vilka ursprung de har. Sen får man en destination eller till exempel en grupp som vi ser återkommer, där man återanvänder infrastruktur, ip-adresser, domännamn, särskilda mailkonton eller samma sorts skadliga kod.
Sandra Barouta Elvin menar att de turkiska och ryska nätverken kan ha varit väl förberedda på att koranbränningen skulle ske.
Unik respons
– Vi har en särskild avdelning som specialiserat sig på påverkanskampanjer, de tyckte det var närmast unikt det de såg. Ser man på helheten är det ovanligt att se den respons som vi såg i ryska medier, om man inte varit förberedd på att det skulle hända. Vi kan konstatera att det är ovanligt att se ett sådant mönster för hur man responderar och vad de zoomar in på, säger Sandra Barouta Elvin.
– I det här fallet gick man direkt på och pekade på hur svårt det kommer att bli för Sverige med Natoansökan.
Hon menar att det är svårt att säga hur utsatt Sverige är för cyberattacker i ett internationellt perspektiv.
– Vi är partner med många andra aktörer på den svenska marknaden och det vi kan se att Sverige är relativt utsatt för rysk verksamhet. Det handlar mer om cyberkriminalitet än belagd statsunderstödd verksamhet, men vi vet ju att det är svårt att belägga om det är bara vanlig cyberkriminalitet eller någon statsaktör som uppmuntrat angreppet, även om de inte direkt gett order om det.