2017-01-26 08:37

Kvalificerat IT-angrepp mot Försvarsmaktens övningssystem

DN rapporterar om ett IT-angrepp mot Försvarsmaktens övningsplaneringssystem Caxcis. Samtidigt finns uppgifter om angrepp mot den årliga hemvärnsstabsövningen Geltic Bear, som också fått ett nytt och uppskattat IT-system som körs genom just Caxcis för att kunna övervaka användarna under övningen. Geltic Bear ska också utsatts för kvalificerade intrångsförsök. Någon är intresserad av de svenska hemvärnsbataljonernas staber och detta kan bara tolkas som krigsförberedande.
Ej Caxcis, men väl markstridsskolans STA under Arméövning 2015. Foto godkänt av STA-ledningen.
Försvarsmakten kommenterar förstås inte angreppen mot Caxcis.

Hemvärnet har precis fått det nya informationssystemet IS HV, InformationsSystemHemvärn, vilket sägs fungera riktigt bra och t ex används för att föra in läge och underrättelser. I år låg fokus under den årliga rullande Hemvärnsstabsövningen Geltic Bear mycket på införandet av IS HV, som avsevärt höjer hemvärnets operativa förmåga och nu levereras till hemvärnets bataljonsstaber.

Hemvärnet skriver (och visar suddiga bilder på IS HV, samt även foton på de fältmässiga datorer som kommer användas av bataljonerna):
"I årets upplaga av Geltic Bear är det främst fokus på det nya informationssystemet, IS HV, som Hemvärnet är först ut med i Försvarsmakten. IS HV är ett stabsstöd för ledning av hemvärnsförband och funktioner. Det nya systemet ger möjlighet att integrera geografisk information med stöd för standardiserade militära symboler och taktisk grafik, hantering och delgivning av ordrar och planer, samt presentation av lägesbild."
Geltic Bear körs årligen och övar bataljonsstaberna på ett rullande schema. Övningen inleds med ett skymningsläge, där Sverige så småningom angrips av grannlandet Geltland och dålig stämning uppstår.

Till saken hör att IS HV under övningen körs via Caxcis, vilket ger övningsledningen möjlighet att i detalj följa varenda användares bruk av systemet, live och i efterhand. En sorts stabsmotsvarighet till markstridsskolans STA-system, där man ner i detalj kan följa varje fordon och varje skott. Medan man i STA kan se hur lång tid det tog att komma till skott, kan man via Caxcis följa hur snabbt information sprids eller behandlas hos hemvärnsstaberna. Ledning handlar som bekant om information in, analys, beslut och information ut (eller om man så vill inhämtning-delgivning om man ska snacka UndSäk-språk).

Inför Geltic Bear fanns möjligheten för hemvärnsstaberna att utbilda sig på distans i IS HV, via Caxcis, men detta ska ha stängts ner på grund av det kvalificerade IT-angreppet mot systemet. Angreppet hindrar alltså möjligheten att utbilda sig på distans, vilket direkt sänker operativ förmåga genom att fördröja förmågehöjningen, då man istället måste arrangera kurser i IS HV vilket kan vara avsevärt svårare att få ihop. Geltic Bear omfattar cirka tvåhundra kvinnor och män, som har ordinarie jobb, familjer och liv. Totalt bör hemvärnets bataljonsstaber handla om en personalstyrka på över 500 man över hela landet, som behöver utbildas i IS HV. Alla inser att detta blir en större apparat att hantera om man ej kan ha distansutbildningar.

Geltic Bear är uppdelad på två tillfällen, för att enklare kunna ta in de tillfälligt och i grunden frivilligt tjänstgörande hemvärnsstaberna men ändå hålla en längre övning. Utan Caxcis kommer man inte på grund av den tekniska strukturen kunna använda IS HV under den andra delen och får återgå till forna tiders papper.

Vad som är extra intressant är att Geltic Bears lokaler utsattes för ett socialt hackningsförsök. Det ska ha hittats flera USB-stickor av attraktiv utformning, som det är lätt hänt att man stoppar i sin dator för att kontrollera vem de tillhör eller vad som kan finnas på dem. Sådana stickor utrustas sannolikt med sk trojaner, som ger en extern aktör tillgång till datorerna, live eller i efterhand.

Svenskt hemvärn används enbart inom Sverige och angrepp eller kartläggning av deras förmåga kan enbart tolkas som krigsförberedande, speciellt som hemvärnet antagligen är det som är först på plats när väl hemvärnslarm beslutas av regeringen, medan de reguljära arméförbanden undantaget den operativa reservens enskilda kompani, tar längre tid på sig.

Angreppen är av en mycket kvalificerad art. Någon vet precis vad de håller på med. Man måste känna till existensen av både Caxcis och IS HV, samt hur man kommer åt dessa utifrån, samt var och när Geltic Bear körs, samt ha tillgång till dessa lokaler i fallet USB-stickorna. Vilket ärligt talat är extremt kvalificerat och våghalsigt, då Geltic Bear brukar köras inne på Ledningsregementet i Enköping. Någon har rimligtvis ägnat sig åt kvalificerad personbaserad inhämtning för att kunna genomföra dessa angrepp.
Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna, inklusive listan med kommentatorer som automatiskt kommer raderas på grund av brott mot dessa.

46 kommentarer:

  1. Vet inte riktigt på vilken nivå ett "kvalificerat" angrepp ligger, men en enkel googling leder till en öppen webbportal för inloggning (där alla uppmanas skapa ett nytt konto). Att ta sig in i en sådan kräver inte mycket fantasi...

    SvaraRadera
    Svar
    1. Bara för att portalen går att hitta och skulle vara öppet för registrering säger det inget om möjligheten att sabotera/göra dataintrång etc mot systemet.

      Twitter/Gmail är också öppna för registrering. Tycker du det då kräver lite fantasi för att lyckas med ett datorintrång hos Twitter/Google?

      Radera
    2. Googlekonton är lätta att knäcka om man inte har ett starkt lösenord eller tvåstegsverifiering. Finns också många exempel på hur man tagit sig in i andras Twitterkonto.

      Vidare är det alltid relativt lätt att överbelastningsattackera tjänster som ligger på Internet. Motkraft är att ha mycket serverkraft (läs Google), eller stänga ute vissa IP-grupper, men det funkar bara om användarna kan identifieras på IP, och skiljas från den obehöriga accessen redan där.

      Radera
    3. En viss skillnad att knäcka ett konto jämfört med tjänsten som helhet.

      Radera
  2. USB-stickan kan nog ge mer info.
    * märke/modell ursprung/inköpt/distributionskedja från tillverkare?
    * fingeravtryck/dna på stickan
    * Varje ansluten usb-sticka sparar ett unikt serienummer i registret

    Sedan är frågan vad usb-stickan har för funktion, installera en zeroday, wireless keylogger, emulera en proxy/router osv.
    Har man lagt på flera versioner på samma sticka d.v.s går det att återställa borttagna filer?
    Om det är en zero-day som inte är känd och samma används på flera ställen så kan den spåras tillbaka som t.ex. i Stuxnet. Själva exploiten kan analyseras för att förstå vad den gör och vilka ip som används osv.

    SvaraRadera
  3. Kan tilläggas att en myndighet i stockholm spenderade över 2 timmar för att skapa en nya signaturen för trojaner/powershellhack etc.

    Någon myndighet fick visst ett mail där anställda öppna zipfil och sedan körde bifogade filer...

    SvaraRadera
  4. Även sidan AVPIXLAT har blivit hackad!
    Eller har de kommit ut ur garderoben?
    Sidan toppas med en rysk text och meddelandet "falska nyheter placerade av Putin"

    Gissar att det är säkerhetstjänsten ute på Ekerö som leker?

    SvaraRadera
    Svar
    1. Din favoritsajt också. Men så är du ju putinist och hyllar Putin och Ryssland, och tycker att misshandel inom familjen är en intern angelägenhet, där i din Djursholmsvilla.

      Radera
    2. Den här kommentaren har tagits bort av skribenten.

      Radera
    3. Hejdå, Oppti. Du kan fortsätta kommentera på Avpixlat istället. Good bye, and good riddance.

      Avstängd för dödshot mot bloggaren (tidigare).

      Radera
    4. Är det den eventuella Djursholmvillan som skaver?
      Ja, milda tider...

      Radera
    5. Se det visste ju inte jag!
      Vilket sällskap man hamnat bland.

      Radera
    6. Inte hackad. Det är deras idé av ett skämt.

      Radera
    7. Det får garanterat motsatt effekt hos några för vissa saker skojar man inte om..

      Radera
    8. Jasså, dödshot. Att oppti var korkad det visste vi alla redan men att man kan bli så korkad? Det här är en blogg för jösse namn. Dödshota folk hit och dit där borta på bloggen Avpuxlar istället, där finns det mig veterligen ändå inga gränser för hur lågt man kan sjunka. De accepterar säkert sånt. Rikta hoten mot dem så ser du väl snart män i vita dräkter som dansar kring brinnande kors utanför din dörr. I bästa fall. Hejdå!

      Radera
  5. Iran råkade ut för nåt liknande med kärnvapenprogrammet. Trojanen upptäcktes då den spritt sig över hela världen. Den var avsedd att lösa ut enbart där de centrifugerade uranet men efter en tid smittade den ner andra datorer också. Säkert kopplar in de bästa virusjägarna nu.

    SvaraRadera
    Svar
    1. Skriv ut stuxnet så kan evt kvarvarande som inte kände till det googla..

      Radera
  6. Så hemvärnet får det ärofyllda uppdraget att betatesta försvarets nya datasystem.

    SvaraRadera
  7. Undrar om ledningsregementets lokaler städas av LOU-upphandlade städföretag till lägsta pris?

    SvaraRadera
    Svar
    1. Har man inte malajer till det?

      Radera
    2. Existerar dylika när värnplikt ej finnes?

      Radera
    3. Javisst, 24 miljoner finns det

      Radera
    4. Ca 16 milj får jag det till..?

      Radera
    5. Har du rknat med de som bor utanför Malaysia?

      Radera
    6. GBD, my bad, finns ett rejält gäng i ID ser jag.

      Radera
    7. Kanske lägga in en offert där? Rent hus med Ben dover, som om din mamma skulle ha gjort det

      Radera
    8. gbd crvx börjar få till mammaskämten och hitta sin egen stil!

      Radera

  8. Folk och Försvar hade ett seminarie igår i Stockholm i ämnet: "Rysk militär förmåga i ett tioårsperspektiv- 2016". Via länken kan du ta del av seminariet med tillhörande rapport.

    http://www.folkochforsvar.se/event/rysk-militaer-foermaga-i-ett-tioarsperspektiv-2016.html

    Enligt rapporten från Rysslandsprogrammet på FOI kring rysk militär förmåga i ett tioårsperspektiv. Den ryska militära handlingsfriheten, försvarsutgifterna, försvarsindustrin samt den säkerhetspolitiska utvecklingen analyseras.

    Intressant att läsa med tanke på IT-angreppet mot Försvarsmaktens är t ex delar kring icke-linjär krigföring, icke-militär medel. Se t ex nedanstående:

    "Nutida militära konflikter karaktäriseras – enligt militärdoktrinen – bland annat av en ”integrerad användning av militärt våld och av politiska, ekonomiska, informationsmässiga eller andra åtgärder av icke-militär karaktär genom ett brett bruk av befolkningens protestpotential eller av specialoperationstrupp”. Vidare nämns ”irreguljära väpnade grupper och privata militära företag” som deltar i militära operationer, ”indirekta och asymmetriska metoder.”" (ref. sid 108)

    "Icke-militära medel har i flera fall visat sig vara mycket effektivare än vapenmakt för att uppnå politiska och strategiska mål", enligt Valerij Gerasimov Generalstabschef. (ref. sid 109)

    SvaraRadera
    Svar
    1. Även gasexporten kan ju nämnas i sammanhanget. Det är ju inte sällan den används som både piska och morot, dvs rabatt till de som agerar som man vill och plötsligt stängd kran till de som inte gör det.

      Radera
  9. Attraktiva usb-stickor..hur ser sådana ut egentligen?

    SvaraRadera
    Svar
    1. http://www.geeky-gadgets.com/wp-content/uploads/2008/10/humping_dog_usb.jpg

      Radera
    2. Inga med flickor?
      Ja, givetvis av legal age.

      Radera
    3. Jag har ett par med bilder av din mamma på, men de kan nog inte ens med bästa vilja klassas som "attraktiva". Inte ens på de bilderna där protesen inte syns.

      Radera
    4. Ett i sammanhanget attraktivt usb-minne bör ha varit av tactical, rugged variant. Och ja, det kan locka till att man kopplar in den i datorn för att ta reda vems sticka man har hittat.

      Borde inte funktionen som sköter autoplay vara avaktiverad i dessa datorer, det ställs in av admin när man skapar skivavbildningen?

      Radera
    5. Ack, Ben!
      Om det vore så väl.
      Som hittebarn i Nilens vass vet jag ju ej vem min mamma var.

      Radera
    6. Du ja, men Ben vet nog

      Radera
    7. Sant!
      Den grabben är tidlös...

      Radera
    8. Äntligen ett ordenligt mammaskämt!

      @least USB är så snillrikt utformat att USB-enheten kan köra kod utan att operativsystemet kan stoppa det, det finns nämligen ett kryphål i självaste hårdvaruförbindelsen som gör att det går att köra kod direkt från kontrollerchippet på USB-prylen. I princip kan ett tangentbord prepareras med "spetsade" chip i fabrik och sedan fungera som permanent virus.
      https://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/

      Radera
  10. Några frågor dyker upp:

    * "Geltic Bear"! Skäms även HV för att använda vigmännens ok hederns tungomål?
    * Vilket är kommandospråket under övningen?
    * Är det begåvat att med utgångspunkt från ett förment datorintrång, frambesjunget med vaga formuleringar, tolka det som krigsförberedelser mot Sverige? (CIA har ju tidigare hackats av pojkspolingar utan att ha ambitionen att vara krigsförberedande.)
    * Vem kommer med uppgiften om USB-stickorna, som var formade som nakna kvinnor? Verklig person eller en produkt av Spy-upp?

    SvaraRadera
    Svar
    1. Efterfrågar du källor, gruelse. Hoppas du inte är statligt eller kommunalt anställd. Då är det olagligt. Fast det är klart, statligt ryskt anställd räknas kanske inte.

      Radera
    2. @Cornucopia? 22:54

      Räknas statlig, amerikansk anställd?

      Jag efterfrågar ett mer underbyggt blogginlägg (mha adekvata länkar), särskilt om du kommer till den allvarliga slutsatsen att någon förbereder krig mot Sverige.

      Radera
    3. Så du är statligt amerikanskt anställd, Gruelse?

      Radera
    4. Är det någon skillnad nu mellan en rysk och amerikansk statligt anställd?

      Radera
  11. Nej, det behöver inte vara krigsförberedande. Var det krigsförberedande när Obama avslyssnade Merkels mobiltelefon?

    SvaraRadera
    Svar
    1. Nej, naturligtvis är det inte krigsförberedande. Det var säkert bara en grupp MÖP:ar som försökte samla in data till sin pod. Tänk så manga lyssnare de måste få när de kan liverapportera från Aurora 17. Eller inte.

      Radera

Related Posts Plugin for WordPress, Blogger...