Microsoft: Cyberattack kan ha varit en övning
Microsoft upptäckte den stora cyberattacken mot Ukraina i januari. Nu följer bolaget situationen noga, och kan dra slutsatser av mönstret i den ryska digitala krigföringen.
Det senaste stora cyberangreppet mot Ukraina var en så kallad överbelastningsattack. Det började tidigare i veckan och har pågått sedan dess, om än avtagande.
Angreppet innebär att stora mängder förfrågningar simultant riktas mot servrar som tillhandahåller tjänster online, vilket får dem att – som namnet antyder – överbelastas och bli svåra eller omöjliga att nå.
”Det är publika servrar och innebär att hemsidor inte blir tillgängliga. I det här fallet var det myndigheter och banktjänster som blev oåtkomliga för användarna”, säger Sandra Elvin från Microsoft.
Det skiljer sig ganska markant från den stora cyberattacken som uppdagades i januari, i början av upptrappningen mellan Ryssland och Ukraina, då angripare planterade skadlig kod på icke-publika datorer. En attack som Microsoft var först att rapportera.
”Då kunde vi se att koden förstörde systemen, så det var en destruktiv attack på ett annat sätt”, säger hon.
Också den attacken riktades mot Ukrainska myndigheter, men även it-företag och frivilligorganisationer. Genom att analysera data i sina system och datacenter har Microsofts så kallade ”threat intelligence center” kunnat konstatera att angreppen har pågått i sex månader, i varierande skala.
”Det kan finnas olika syften med attackerna, men ett är att skapa en form av misstro för myndigheterna. Att så tvivel kring hur rustade de är att ta hand om befolkningen”, säger Sandra Elvin.
Den större attacken med skadlig kod ägde rum den 13 januari och har nu hunnit utredas närmare, även om Microsoft ännu inte gått ut med att det var Ryssland som låg bakom. De har däremot identifierat gruppen som internt kallas ”Actinium”, men också går under namnet ”Gamaredo” i andra sammanhang.
Ukraina har å sin sida identifierat att den gruppen har kopplingar till den ryska underrättelsetjänsten FSB.
Sandra Elvin beskriver metoden som en del av en ”hybridkrigföring”, som Ryssland gjort sig kända för.
”När de driver frågor eller aktioner geopolitiskt kombineras det ofta med cyberattacker mot verksamheter som är berörda.”
Förnekar Ryssland alltid sin inblandning i cyberattacker?
”Antingen förnekar de all kännedom, eller så säger de att grupperna agerar utan stöd från Ryssland. Men Putin har vid tillfällen sagt att det är grupper som agerar fristående, men samtidigt uttryckt att de är ’patrioter’.”
Finns en risk att det här är träning för att testa försvaret inför ett större cyberangrepp?
”Det kan vi inte utesluta, men vi kan heller inte säga med säkerhet att det är så.”
Henrik Ek
henrik.ek@di.se