Svensk hacker ledare i cyberbrottsliga

Realtid.se får tag på tysk-norsken Toralv Dirro som är IT-säkerhetsexpert på amerikanska företaget McAfees kontor i Hamburg.

Vilka trender ser du nu på IT-säkerhetsområdet?

– De trender vi ser innebär en överraskande stark ökning av skadlig programvara under andra kvartalet.

– Tidigare har det varit en ganska stabil tillväxt, men under andra kvartalet blev det plötsligt en stor ökning.

Som jämförelse upptäckte McAfee i snitt 40.000 nya versioner av skadlig programvara under första kvartalet.

Men under andra kvartalet ökade det till cirka 55.000.

Vad händer när man får sin dator drabbad av skadlig programvara?

– I de flesta fallen är syftet att den som ligger bakom programvaran ska tjäna pengar.

– Den mesta skadliga programvaran försöker stjäla uppgifter om folk, såsom login-uppgifter, bank- och kreditkorts-uppgifter.

– Det finns programvara som följer vilka tangenttryckningar man gör, eller programvara som aktiveras när man går in på vissa hemsidor med webläsaren.

– En del skadlig programvara är så sofistikerad att den kan modifiera banktransaktioner medan användaren försöker genomföra transaktionen.

– Du kanske vill skicka 500 kronor till en kompis, men så modifieras överföringen så att hela ditt konto töms och pengarna skickas till ett annat konto så att användaren ”rånas”.

– Inte all skadlig programvara är lika sofistikerad, men en del är det.

En annan typ av skadlig programvara är ”falska antivirusprogram”.

– Det har varit mycket populärt under senare år.

Den typen av program är uppdelad i två delar.

Den första delen ska ge intrycket av att den kan gå igenom hela hårddisken på datorn på några sekunder, och visar ett meddelande i stil med att det finns ”75 trojaner och 5 virus” i datorn, att ”datorn är i fara”, och att man ”måste agera omedelbart”.

Sedan dyker det upp ett alternativ om att man kan välja att ”rensa datorn”.

När man väljer det alternativt kommer sedan ett nytt meddelande upp om att det bara är med antivirusprogrammets kompletta version som man kan rensa datorn, och att det kan köpas via kreditkort.

Väljer man då att göra betalningen via kreditkort, så försvinner virusvarningen men programmet gör inget mer.

Den typen av skadlig programvara kan komma in i en dator via någon hemsida där det exempelvis kan finnas blinkande ikoner som säger att man ”kolla datorn” för att se efter om det finns skadlig programvara, och att ”du kan vara i fara!”.

Trycker man då på en sådan ikon laddas den första delen av den skadliga programvaran ner i datorn.

Andra sätt som den skadliga programvaran kan komma in i datorn på är på samma sätt som för andra skadliga programvaror.

Det kan komma skräpmejl med länkar till vissa hemsidor som gör att den skadliga programvaran laddas ned i datorn.

Det kan ske genom att de som gör den skadliga programvaran försöker exploatera säkerhetsbrister i webläsaren.

Vilka är det som ligger bakom den skadliga programvaran?

– De flesta tror att det är folk från Östeuropa, säger Dirro.

– Men det är bara delvis sant.

– Den här typen av kriminalitet finns över hela världen.

– Ofta är det organisationer varav en del är rätt stora, som har medlemmar i flera länder.

– En ”cyber-crime-ring” kan ha medlemmar i Rumänien, Tyskland, Ukraina och USA.

– Många gör det lätt för sig och tror att det måste vara elaka östeuropéer som ligger bakom den skadliga programvaran, men så enkelt är det inte.

– Och en del
sådana här organisationer är rätt stora och välorganiserade.

– Man kan jämföra det med organiserad brottslighet.

– Det kan finns vissa grupper som är specialiserade på att utveckla den skadliga programvaran, andra grupper har hand om att sprida den, en tredje grupp har hand om att samla information om användare, och en fjärde grupp är bra på penningtvätt så att de pengar man kommer över kan användas.

– Själva chefen över alltsammans ser sedan till att få in pengarna så att han kan köpa sin Ferrari.

Andra cyberbrottslingar begår sina brott ensamna eller tillsammans med några få.

– Ofta är de i så fall specialiserade på att bara göra en sak; kanske att skapa en trojan, utveckla den och erbjuda den till försäljning.

– Alla program och ”verktyg” som behövs för att bli en cyberbrottsling är tillgängliga och finns till salu på ”svarta marknaden”.

– Man behöver inte mycket expertis för att klara av det.

Hur får man tag på den svarta marknaden?

– Folk kanske har vänner som känner andra som kan introducera dig för rätt personer.

– Och det finns en del forum på internet som är öppna och lätta att hitta med Google.

Dirro nämner här en del sökord man kan använda för att söka via Google för att hitta var man kan köpa det som behövs för att komma igång med cyberbrott.

– Men du får inte skriva i din artikel vilka sökord det är, för i så fall är risken att fler kommer att börja med det här.

– Söker du på de här sökorden så kommer du att få en del träffar på forum där man kan köpa det som behövs.

– Så lätt är det för folk att börja med cyberbrott.

Hur vanligt är det att cyberbrottslingar fångas av polisen?

– Tyvärr är det väldigt lätt att undvika att bli fångad.

– Men polisen gör framsteg, och samarbetena mellan polisen i olika länder förbättras även.

– Så det blir allt vanligare att man lyckas fånga cyberbrottslingar.

Är det någon riktigt ökänd cyberbrottsling som har fångats?

– Det finns ett exempel med en cyberkriminell hacker från Estland.

– Just nu pågår det samtal mellan Estland och USA om att utlämna den personen till USA.

– Han håller på att utlämnas.

– Det är det senaste jag har hört.

Tvingas man bli utlämnad till USA om man är cyberbrottsling?

– Vissa länder har bilaterala kontrakt som leder till det, om att fångar ska utlämnas om de begår allvarliga brott i ett land men bor i ett annat.

– Just den här personen har hela tiden bott i Estland så vitt jag vet.

– Han är 26 år, och den påstådda ”hjärnan” i en cyberkriminell ring som har använt stulen kreditkorts-information.

De inblandade gjorde utifrån informationen kopior av kreditkort, och tog ut pengar i bankomater på många ställen samtidigt.

Totalt beräknas de ha kommit över 10 miljoner dollar.

Gick alla de pengarna till estländaren?

– Troligen inte allt. De andra inblandade lär ha velat få en andel.

Hur många fler exempel på sådana här ligor finns det?

– Inte så många liknande exempel med folk som faktiskt åker fast, men antalet ökar.

– Det finns även exempel på cyberbrotts-ringar i Rumänien, och folk i andra länder.

Finns det även sådana ligor verksamma från Sverige?

– Ja, det gör det.

– 2009 presenterade vi en rapport om en cyberliga som hette Innovative Marketing Ukraine.

– Det var en stor aktör som höll på med falsk antivirus-programvara.

– De publicerade information öppet på internet så att det gick att få mer och mer information om den ligan.

– Vi samlade in den informationen, och hade till slut totalt 63 gigabyte med information om den ligan som vi överlämnade till FBI och andra polismyndigheter.

– Den informationen innehåll programvarukoder, namn på de anställa, och i stort sett allt.

– En del av de inblandade är efterlysta nu av Interpol.

– Av ringledarna tror jag att en var från USA.

– Man visste var han bodde.

– Och en var från Sverige, och antas fortfarande bo där.

– En tredje ringledare var från Ukraina.

FBI har gett ut ett pressmeddelande där den inblandade svensken omnämns som en 31-åring med efternamnet Sundin.

– Han var teknikchef och operativ chef för hela cyberringen, säger Dirro.

Kan man bli mångmiljonär om man är skicklig cyberbrottsling?

– Är du bra på kriminalitet generellt, kan du bli mångmiljonär.

– Men för att bli det måste du begå många brott, vilket kan vara riskabelt.

Frågan är hur cyberbrottsligheten kommer att utvecklas i framtiden.

Dirro bedömer att själva hoten kommer att vara ungefär desamma som idag, men att de kan sprida sig till nya ”plattformar”.

I dagsläget är det vanligast med skadlig programvara i de datorer folk har hemma, men även i datorer på företag.

Tidigare har den skadliga programvaran varit utformad för Windows-datorer, medan Mac-datorer varit förskonade eftersom de inte är lika vanliga.

– Men nu har det även framkommit skadlig programvara riktad mot Mac-datorer, säger Dirro.

– Så har det varit sedan flera år.

– Från början var Windows-datorerna den ”lägst hängande frukten” för cyberbrottslingarna, eftersom det finns så många sådana datorer.

Men nu har Mac-datorer blivit vanligare, vilket även gör dem till ett attraktivare mål för cyberbrottslingar.

Och det är även tal om skadlig programvara för mobiltelefoner, särskilt de mer avancerade så kallade ”smartphones”.

– Smartphones är ungefär lika kraftfulla som vanliga PC-datorer var 1999.

– Det gör att cyberbrottslingarna kan ha nytta av att installera trojaner i smartphones.

– Och folk har börjat göra en massa saker med sina mobiltelefoner nuförtiden.

– Det är inte längre bara telefonsamtal och SMS.

– En del använder mobiltelefonerna för att internetsurfa.

– De börjar användas på samma sätt som vanliga datorer.

Kommer det en dag i framtiden då man kan stoppa all skadlig programvara?

– Det är svårt att se in i framtiden, men tyvärr är jag rätt säker på att det inte kommer gå att stoppa skadlig programvara inom 10 år; och troligen inte inom 20 år heller.

Ett skäl är enligt Dirro att folk vill ha datorer i olika former som kan utföra flera olika saker (”flerfunktionalitet”).

– Och för att kunna göra flera saker behövs det programvara som klarar det, och då finns det risk att programvaran även gör ”elaka” saker.

– Samtidigt vill folk inte bli av med flerfunktionaliteten, för då köper de inte datorerna.

– Då behövs det rätt komplex programvara, och all den programvaran görs av människor som är mänskliga och begår misstag.

– Så det finns alltid en säkerhetsmässig sårbarhet i datorer med programvara.

– Och då går det även att komma in i datorer med skadlig programvara och samla information eller så.

– Dessutom är det så stora belopp som kan tjänas på cyberbrott, så att folk har ett intresse av att utveckla nya metoder, eller att utöka nuvarande sätt att attackera datorer med skadlig programvara.

– Alla de här skälen gör att det nästan är omöjligt att skapa en komplett lösning för att stoppa skadlig programvara.

Dirro betonar en trend som innebär att den skadliga programvaran inte bara finns i hemmen och de datorer man har där.

– På sistone har vi sett ett antal attacker mot företag.

– Det har alltid förekommit, men tidigare har inga utsatta företag offentliggjort det.

Men i början av 2010 blev det enligt Dirro känt med en attack mot Google som kallades ”Operation Aurora”.

– Det var en avancerad attack mot Google, Adobe och andra företag.

– I det fallet offentliggjorde Google och Adobe att de attackerats.

– Det är något nytt, för normalt sett brukar företag inte offentliggöra att de utsatts för cyberattacker om de inte är absolut tvungna.

– Men Google gick ut i pressen och sa att de utsatts för attacker från Kina.

– Så många som 30-40 stora företag utsattes för attackerna.

– Och attackerarna hade försökt få tillgång till viktig programvarukod hos exempelvis Google.

Det var alltså kineser som ville komma åt programvarukod för att kunna kopiera Google?

– Jag kan inte bekräfta att det var folk från Kina.

– Det är vad Google säger.

– Det enda vi vet är att en del av de attackerna kunde spåras till Kina.

– Men de som utförde dem kanske i själva verket satt i Nordpolen eller var som helst.

– Tyvärr är det rätt svårt att precisera exakt vem som genomförde attacken.

– Att det förekommit cyberattacker mot företag är inte nytt i sig, men det är nytt att företag går ut och berättar om det.

I IT-säkerhetsbranschen talar man om APT; Advanced Persistent Threat, alltså avancerade, bestående hot som varar under långa tidsperioder.

– Offer för sådana attacker är normalt statliga myndigheter, politiska aktivister eller storföretag.

Ett annat exempel nyligen är att flera företag i Iran och Pakistan drabbades av en typ av attack som tidigare varit okänd.

– Under den attacken utnyttjades en typ av sårbarhet i en gammal version av Windows som nu är åtgärdad.

Det kallas för .lnk-sårbarheten.

Trojaner kan exempelvis komma in i datorer via USB-minnen som letar efter Windows-programvarans konfiguration.

Det har förekommit vad gäller programvara som används för att sköta fabriker och elkraftverk.

Dirro vill sammantaget uppmana folk att vara försiktiga.

– Oavsett hur bra IT-säkerhetsprogramvaran blir, så är det bästa skyddet att man är försiktig och tänker efter när man använder internet och läser mejl.

– Man måste vara försiktig med var man internetsurfar, och tänker efter då man klicka på länkar; särskilt från folk man inte känner.

– Det är ett mycket effektivt sätt att få stopp på cyberbrottslingarnas skadliga programvara; inte allt men det mesta.

I ett pressmeddelande från i maj skriver FBI att en USA-medborgare från Ohio och två utlänningar, åtalas för ett påstått Ukraina-baserat bedrägeri-upplägg som ledde till 100 miljoner dollar i förluster för datoranvändare runt om i världen.

Upplägget uppges ha genomförts i över 60 länder, där datoranvändare lockades att köpa över en miljon falska programvaror för över 100 miljoner dollar.

Genom falska annonser på legitima företags hemsidor, lurades datoranvändare att tro att deras datorer infekterats med skadlig programvara, eller att datorerna hade andra fel som gjorde att de var tvungna att köpa en viss programvara.

Men den programvaran man erbjöds köpa hade begränsad eller ingen förmåga att rätta till de påstådda men icke-existerande felen står det i pressmeddelandet.

Upplägget betraktas som ett av de snabbast växande och vanligaste typen av internetbrott.

Enligt pressmeddelandet står det att de åtalade, Björn Daniel Sundin och Shaileshkumar Jain tillsammans med andra ägde och drev bolaget Innovative Marketing som var registrerat i Belize.

Företaget påstod sig sälja antivirusprogram och annan programvara via internet, och hade dotterbolaget Innovative Marketing Ukraine, baserat i Ukrainas huvudstad Kiev.

Företaget verkade upphöra 2009 efter att amerikanska myndigheter gjort en anmälan för att få bedrägeriet att upphöra.

Jain som är 40 år var vd för Innovative Marketing.

Han är amerikansk medborgare, men antas bo i Ukraina skriver FBI.

Sundin uppges vara 31 år enligt pressmeddelandet, och agerade som teknikchef och operativ chef.

Han är svensk medborgare och antas bo i Sverige står det.

Den tredje åtalade är James Reno, 26 år, från Ohio i USA.

Tillsammans med andra ägde och bedrev han företaget Byte Hosting Internet Services som hade telefoncentraler som för Innovative Marketings räkning erbjöd tekniska tjänster och betalningstjänster åt datoranvändare som blivit offer för programvaran.

Sundin och Jain har vardera åtalats på 24 punkter för bedrägeri, och Reno har åtalats på 12 punkter för bedrägeri.

Alla tre har åtalats på en punkt för att ha konspirerat tillsammans för att begå databrott i ett åtal på 26 punkter som har inlämnats till en domstol i Chicago.

Enligt åtalet krävs att de 100 miljoner dollar som bedrägeriet bedöms ha omfattat, ska återbetalas, inklusive alla pengar på ett bankkonto i Kiev.

– De här åtalade anklagas för att ha utnyttjat oskyldiga datoranvändare, och exploaterade datoranvändarnas bedrägligt framkallade räddsla, för de åtalades personliga vinning, säger åklagaren i en kommentar i pressmeddelandet.

– Vi kommer att fortsätta våra insatser för att identifiera och aggressivt utreda liknande upplägg, med hjälp av polis både hemma och utomlands.

Enligt pressmeddelandet orsakade den skadliga programvaran från Sundin, Jain och andra, en rad felaktiga felmeddelanden på datoranvändares datorskärmar.

Samtidigt erbjöds datornanvändarna att köpa annan programvara kallad ”DriveCleaner” eller ”ErrorSafe” för 30-70 dollar, varigenom felen påstods åtgärdas.

Men enligt pressmeddelandet gjorde den erbjudna programvaran i praktiken ingenting, men kostade de betalande datoranvändarna över 100 miljoner dollar.

Sundin, Jain med flera anklagas för att ha skapat minst sju påhittade reklambyråer som kontaktade företag för att få annonsera på dessa företags hemsidor.

Reklambyråerna påstods vilja annonsera med seriösa företags annonser, men i själva verket fanns inga uppdrag från dessa seriösa företag.

Dessutom påstår sig de kontaktade företagen inte ha fått betalt som utlovat, utan 85.000 dollar saknas i betalningar från de påhittade reklambyråerna.

Och de annonser som sedan lades ut, innehöll dold skadlig programvara som ”kapade” webläsaren hos de datoranvändare som blev offer.

Offrens webläsare styrdes om till hemsidor skapade av Sundin och Jain med flera enligt anklagelsen.

Offren fick sedan en rad felmeddelanden som påstod att datorn drabbats av ett allvarligt fel och att man måste köpa en särskild programvara från Innovative Marketing för att åtgärda problemet.

Enligt pressmeddelandet bistod Reno med att skapa och sköta de påhittade reklambyråerna, genom att ha hand om de servrar och nätverk som användes för att sköta verksamheten.

Reklambyråerna kallades för namn som BurnAds, UniqAds, Infyte, NetMediaGroup och ForceUp, enligt åtalet.

Den programvara de drabbade offren erbjöds köpa hette namn som Malware Alarm, Antivirus 2008, och VirusRemover 2008.

Ibland innebar upplägget att offren köpte fler programvaror än de valt, genom förkryssade rutor, står det i pressmeddelandet.

Offren betalade via kreditkort, och pengarna sattes in på bankkonton som enligt åtalet kontrollerades av de åtalade och andra runt om i världen.

Pengarna flyttades sedan till andra bankkonton i Europa.

De offer som hade klagomål skickades till företaget Byte Hosting där anställda i telefoncentralen fick instruktioner om att ljuga och övertala offren att ta bort sin riktiga antivirusprogramvara enlgit åtalet.

De anställda instruerades om att amerikansk lag inte gällde eftersom verksamheten var utlandsägd.

Däremot gavs instruktionen till de anställda att återbetala offren om offren hotade med att göra en anmälan till kreditkortsföretaget eller polisen.

Varje brott i bedrägeriet innebär ett straff på upp till 20 år enligt pressmeddelandet, utöver böter på 250.000 dollar.

Domstolen kan även kräva böter på två gånger offrens kostnader eller två gånger vad de åtalade har tjänat, vad som nu är högst.

Samtidigt understryks i pressmeddelandet att de åtalade som utgångspunkt antas oskyldiga och att de har rätt till en rättvis rättegång där staten har bevisbördan, och att staten måste bevisa utom rimligt tvivel att de åtalade är skyldiga, för att de åtalade ska bli dömda.

Realtid.se hittar en Björn Daniel Alexander Sundin som var 31 år i maj när pressmeddelandet kom.

Han hade 0 kronor i inkomst av tjänst 2007 och 2008.

Något telefonnummer till honom finns inte, men däremot till en Björn Gunnar Sundin på samma adress.

Realtid.se får tag på honom.

Hej, har du tid med en kort fråga?

– Nej.

Är du eftersökt av FBI?

– Nej.

– Hej då!

På Affärsdata står Björn Gunnar som medboende till Björn Daniel Alexander.

Och Björn Daniel Alexander är enligt Affärsdata engagerad i ett bolag som heter FastWare HB.

Om bolaget FastWare HB står det i sin tur: ”Bolaget avregistrerat pga verksamheten upphört” i Affärsdata.

Förutom Björn Daniel Alexander uppges en annan person ha suttit FastWares styrelse.

Reatid.se får tag på den andra personen.

Känner du till ett företag som heter FastWare HB?

– Det är ett företag från jättelänge sedan.

– Vi la ner det 1996, så det finns inte längre.

– Jag har bara väntat på att någon ska ringa mig och fråga om Daniel.

– Jag har inte haft någon kontakt med honom sedan vi la ner företaget.

– Vi är barndomsvänner, men har inte haft kontakt sedan han flyttade till USA.

– Jag blev väldigt chockad när jag fick höra talas om det som har hänt.

– Det blir man ju.

Kunde du tro att han skulle ägna sig åt något sådant?

– Ingen aning faktiskt.

– Och nu har jag mitt att tänka på.

Enligt personen har det varit väldigt tyst kring Daniel Sundin-härvan på sistone.

Vad hade ni för affärsidé med FastWare HB?

– Det var en datorbutik.

Var Daniel skicklig på datorer?

– Inte sådär. Det var väl som alla ungdomar.

Hur gick det för FastWare?

– Vi la ner det.

– Det var ett projekt vi hade direkt när vi var klara med skolan.

– Vi hade en riktig datorbutik då.

Hörde du något om att Daniel gjort något kriminellt så länge du kände honom?

– Nej, inte så länge vi hade kontakt.

– Bara det som jag har läst om nu i efterhand.

– Det är mycket pengar det handlar om; orimliga belopp.

– Men jag har inte haft något med det att göra.

Du har aldrig varit dömd?

– Nej, jag har alltid varit ärlig.

– Ärliga människor är viktigt.

– Ärlighet varar längst är mitt motto.

Personen kräver att slippa få sitt namn publicerat i Realtid.se.

– Jag vill inte ha med mitt namn under några omständigheter.

– Man vet aldrig vad en person med mycket pengar kan göra.

Du tror att han annars kan vidta åtgärder mot dig?

– Det är din tolkning.

– Jag vill helt hålla mig ifrån det där.

– Jag vill inte förknippas med det.

– Det han har gjort får han stå för.

– Det har inget med mig att göra, och så kommer det att förbli.

Realtid.se får tag på Randall Samborn, talesperson för åklagarmyndigheten i Chicago.

Så här skriver han i ett mejl:

”There is nothing new to report since the announcement of the charges, especially regarding Sundin and Jain, both of whom are believed to be overseas…

Only defendant Reno is in the U.S., and he has pleaded not guilty to the charges and the case is pending.

I don’t anticipate any other developments anytime soon, but you are always welcome to check and I would prefer email – thanks,

Randall Samborn

Spokesman, U.S. Attorney’s Office, Chicago”

Realtid.se ställer följdfrågor om åklagarmyndigheten därmed vill uppmana Sundin att kontakta myndigheten, och helst åka till USA för att delta i rättegången.

Försöker ni hitta svensken? Vad gör ni för att försöka hitta honom? Och vad skulle hända med honom om ni hittar honom?

”Sorry, we have no additional comment in response to these questions. Thanks”, skriver Samborn.