I april 2007 flyttade estniska regeringen ett gammalt sovjetiskt soldatmonument från centrala Tallinn till en kyrkogård utanför staden. Det blev upptakten till några veckors uppror i staden och en cyberattack av aldrig tidigare skådad omfattning. Men tecknen fanns där innan, för dem som kunde se dem. Vi har talat med några som kunde.
Estland befinner sig ute på en gren av Internet. Det är tur. Under attacken kunde man klippa av sig från världen utan att skada sig själv eller någon omkring. Viktiga bankkunder kunde nå estniska bankservrar i Helsingfors. Estland skyddades av omfattande filtrering i Finland.
Den här artikeln är visserligen från 2012, men den är ändå aktuellare än någonsin, när Ryssland står och stampar vid Baltikums och Finlands gränser. CERT-EE hade då inga bevis för att attackerna koordinerades från Ryssland, även om esterna allmänt antog att det var så. Det fanns IP-adresser i flödet från maskiner i Kreml, men det betyder inte att Putin gav ordern utan bara att maskinerna var smittade med lämplig malware. Det är emellertid märkligt att den enorma mängden attacker började och slutade exakt samtidigt om de inte var koordinerade. Därför använder jag uttrycket ”främmande makt” i texten.
Upprinnelsen, kanske
Planer på att flytta monumentet hade funnits redan under vintern 2006 utan någon särskild tidtabell och motståndarsidan hade laddat upp. Säkerhetsfolk hade naturligtvis förväntat sig cyberattacker och till en början var man förvånad över att inga attacker kom den 26:e april, dagen då monumentet verkligen flyttades och gatustrider bröt ut. I mitten av april spred någon falska uppgifter om att kroonkursen skulle falla och att de estniska ryssarna borde växla sina kroon mot euro. Kursen förblev stadig och många kände sig lurade. Säkerhetsfolket gruvade sig.
Som tur var hade CERT-EE (Computer Emergency Response Team, Estland) bildats bara en kort tid innan detta hände. Vi åkte till Tallin och satte oss ned med Anto Veldre, säkerhetsexpert vid CERT-EE, en del av Riigi Infosüsteemi Amet (Statliga byrån för informationssystem), för att ta reda på vad som verkligen hände. Det var aldrig någon på CERT-EE som trodde att det rörde sig om en intern cyberrevolt iscensatt av missbelåtna ester.
Anto Veldre jobbar med känselspröten ute på Internet. Vilka hot är aktiva nu?
– Finnar och ester är inte särskilt pratsamma. Vi tycker om att sitta hemma och läsa en bok och går inte gärna ut på gatorna och diskuterar. Internet passar vårt kynne väldigt bra. Estland är inte en nod på Internet, utan ett löv i utkanten. Vi får vår trafik via Finland och Sverige. Om någon vill störa ett tungt internetberoende land som Estland, ute i kanten av Internet, går det, som vi såg är 2007, väldigt bra.
I början av 1990-talet, när Sovjetunionen föll samman, ändrades allt i landet. Ryssarna hade alla register på papper. Bankerna var huvudsakligen pappersbaserade. Ryssarna hade tagit med sig sina stordatorer när de åkte. 1995 var vi tvungna att återskapa hela landet från ingenting. Det fanns inga ärvda system och inga investeringar att skydda.
Alla statliga och finansiella system fick skapas från grunden. Ingen var rädd, utan man skapade nytt med moderna medel vilket gjorde att portaler och databaser gjordes fullvärdiga på en gång. När Internet började bli vanligt i hemmen runt år 2000 var regeringens och bankernas funktioner redan mogna.
Sovjet kvar under ytan
Den ryska befolkningen hade alltid hållit ceremonier vid bronssoldaten, som hade samband med andra världskriget och den sovjetiska inställningen till detta. Statyn hade nästan blivit en helig plats för kommunisterna. Från år 2001 började folksamlingarna bli större och högljuddare. Ryska flaggor och sovjetslogans blev allt vanligare. För esterna betydde detta ingenting, men diskussionerna började om huruvida detta var rätt. Man kunde se en farlig, exponentiell ökning. I april hade området spärrats av för arkeologiska utgrävningar och statyns flyttning. En sak var klar: Den nionde maj skulle ryssarna vilja ta över platsen eftersom det var deras frihetsdag, andra världskrigets avslutning. Skulle området vara avspärrat skulle de bli arga.
2006 var CERT-EE bara två personer och mera som en informell klubb. Man diskuterade med sina kompisar på restauranger och i bastun. År 2007 hade läget blivit allvarligt. Anto är väldigt duktig på att känna av omgivningen. Han fortsätter:
– Vid denna tid var jag informationssäkerhetschef på dåvarande Danske Bank. Mitt arbete var bland annat att undersöka nyhetsflödet. Klockan 8 på morgonen den 26:e kände jag att ”Idag händer det!” Klockan 14 tog jag videokamera och stativ och gick till statyn. Konfrontationen började strax efter 21.00 och jag han precis sätta mig i säkerhet. Upproret som följde har alla sett på film och TV. Butiker plundrades och många arresterades. Om någon skulle påstå att det var oväntat, så har de fel. De kunde bara inte analysera läget.
Säkerhetsexperten Anto Veldre och avdelningschefen Hillar Aarelaid jobbar tätt tillsammans med att utröna nya hot mot Estland.
– Nu var vi säkerhetsfolk oroliga. Skulle detta slå över i den virtuella världen? Jag kunde inte rättfärdiga min känsla, men jag kände att jag behövde tala med ett antal nyckelpersoner. Den 27:e blev ganska lugn och attackerna började den 28:e. Sedan hade vi attacker i två veckor, till den nionde maj.
28-30 april genomförde den ryska befolkningen en ohörsamhetskampanj, sölade med sina bilar runt staden, hindrade lokaltrafiken, tutade och viftade med ryska flaggor, klockan 12 varje dag. Det var oerhört skrämmande och genomfört av någon som kände till psykologisk krigföring. Hur kommunicerade de inblandade? Det finns bevis i form av sparade skärmbilder för att ryskspråkiga BBS:er och forum placerade utanför Estland var delaktiga.
Attacktyper
Bankerna började attackeras redan 2004-2005. Orsakerna var att bankerna ibland vägrade ge lån eller delta i pengatvätt och folk ville hämnas. Inte mer än så. Det är lätt att köpa en DDoS-attack på Internet. En privatperson har emellertid inte råd att hålla en sådan attack igång hur länge som helst. Sådana attacker är ganska likformiga och normalt används bara en typ av attack åt gången, som TCP SYN, HTTP GET osv.
En översikt av hela attacken mot ett enskilt företag. Det började till vänster med en mycket måttlig attack natten till den 27:e april medan den stora mängden kom onsdag-torsdag för att sluta tvärt fredag morgon. CERT-EE uppskattar attacktrafiken till mer än 4 Gbps, men det är svårt att veta eftersom alla inkommande fibrer var överfyllda. Den legala trafiken var bara någon promille av detta.
Den 27 april 2007 möttes vi av en ”wall of sound”, alla möjliga typer av attacker samtidigt, vissa vi hade sett förr och andra vi inte hade sett förr. Det tyder på att många människor var inblandade. Normalt attackeras bara ett mål, men här försökte man lamslå hela samhället, som regeringsportaler, regeringspartiets webbsajter, tidningarna, bankerna och ISP:erna. En vanlig hacker brukar inte förstå hur samhället fungerar. De som attackerade oss hade full insikt i detta. Attackerna mot ISP:erna innebar att någon försökte bryta sig in i viktiga routrar för att komma åt finansiella intranät, som betalkortsnät.
Bland alla script-kiddie-attackerna fann vi en del väldigt intressanta lågnivåförsök, attacker som skulle vara så långsamma att de inte skulle uppmärksammas. Alla sorters attacker upptäcktes och verifierades ibland med skärmbilder från ryska diskussionsfora. Ryska bloggsidor uppdaterades ständigt med attackernas resultat och det fanns de som bad att få låna botnät och annan assistans. Vi uppskattar att flera tusen ryssar utanför Estland bör ha deltagit i cyberattackerna. Alla på en gång. Ryssarna i Estland ägnade sig mest åt plundring och maskning, kanske för att de kände sig förbigångna av staten.
Man kan fråga sig varför de attackerade. Det handlade inte om utpressning för ingen fick några hotelsebrev, men några höga medlemmar i ryska Duman kom på blixtvisit just före 9 maj och försökte kräva en ny estnisk regering! Händelserna i den fysiska, psykologiska, virtuella och i tidsdomänen visade ganska klart vem som låg bakom och varför. Ingen hacker kan organisera ett händelseförlopp som detta.
Så det fanns en plan och dagen D var klar. Vad gick fel? Avsikten var att slå och slå under ett par veckor och sedan skulle den undanskuffade, förgrämda ryska minoriteten göra revolution, precis som 1940. Ryssarna var så indoktrinerade att de reagerade redan den 26 april och det fanns ingen ilska kvar den 9 maj. Som jag förstår det hade 2007 valts ut som året då ”det” skulle ske. Esterna visste det och spelade med. Främmande makt hade valt att inte göra det hela särskilt synligt, utan istället använda mediaförvillare (spin doctors) som skulle väcka nationella känslor. Tidtabellen slog fel och de var inte beredda att börja cyberattacken den 26:e. Estniska staten klarade av att hantera saken.
I den här förstoringen ser man hur attacken plötsligt upphörde klockan 03 på fredagen. CERT-EE antar att pengarna som koordinatorn betalt till bot-ägarna tog slut just då.
Efter ett tag visade det sig på ryska fora att man förstått att man gjorde självmål genom att störa bankerna där estniska ryssar hade sina pengar och attackerna mot bankerna lugnade sig efter ett par dagar.
Misstagen
– Vi gjorde två stora misstag, som jag ser det. Vi tänkte att ”det är väl bara att stänga utlandets åtkomst till Estland” genom att stänga av åtkomsten till port 80, vilket skedde den 29 april. Vi hade nästan inga lokala attacker eftersom polisen var redo att arrestera alla som attackerade staten. Det förstod främmande makt och förlade alla attacker utifrån.
Tyvärr stängde vi samtidigt av omvärldens åtkomst till alla nyhetssajter och världen var väldigt intresserad av vad som hände i landet. I praktiken blev Estlands nyhetssajter och banker oåtkomliga utifrån. Vi trodde vi var säkra. Men nyhetsbyråerna saknade plötsligt indata. TV-stationen Euronews började använda ryska filmbilder, vilket var ett stort misstag eftersom de numera räknas som förrädare.
Vi på CERT-EE hade inte gjort upp noggranna listor över nyckelpersoners kontaktinfo. Vi hade inget fast kontaktnät. Vi förlorade två dagar på detta. Det måste finnas en hierarkisk struktur på alla företag som kan agera i en sådan situation. Dessutom hade ungefär 40% av alla statstjänstemän ryska som modersmål. Kunde vi lita på dem? Det visade sig efteråt att de varit lojala mot estniska staten.
Under måndagen den 30:e började jag kalla samman säkerhetsfolk och sammanställa listor på resurser som attackerats. I normala fall ser vi cirka 20 nya sajter attackeras per månad. Då noterade vi kanske 50 per dag.
Det gick rykten i väst om att samhället var helt lamslaget. Det är inte sant. Jag kunde komma åt mitt bankonto, långsamt, men det gick. Statoil stängde sitt betalnät under fyra dagar så man var tvungen att betala bensinen med kontanter. Någon försökte bryta sig in i core-routrarna varvid beslutsfattarna överreagerade, men glömde meddela detta till allmänheten. Vissa banker stängde sina tjänster, vilket slog mot den vanliga, lilla människan. Detta fick västliga media att rapportera att alla penningtransaktioner hade stoppats.
Motåtgärderna
– Eftersom Estland får mycket av sitt Internet från Finland, hade vi redan tidigare ett avtal med finnarna om att få banktrafiken tvättad. Den allra största mängden externa attacker silades bort redan i Finland.
Annat var det med offentliga Internet. Det tar en timma att bygga upp och implementera en svartlista och lika mycket att göra om cykeln. Främmande makt förstod detta och började köpa bot-attacker mot nya IP-adresser på timbasis. Detta krävde mätning av vår reaktionstid. Klarade en script-kiddie det 2007? Nej. Fienden var IT-specialister.
Stora företag hade redan på ett tidigt stadium börjat aktivera servrar i Finland. Genom att placera servrar i andra länder kan man avleda attackerna mot sitt eget land.
Med DDoS kan man överfylla servrar och brandväggar och fylla upp tillgängliga ledningar. Det är dumt att försöka försvara sig mot detta på hemmaplan. Det är bättre att betala och låta ISP:n sköta det. Ett alternativ är att använda Akamai för publika webbservrar. De har en särskild post på sin prislista kallad ”Site under DDoS” och de klarar obegränsad attacktrafik, men ju mera trafik, desto mera kostar tjänsten. Till sist kanske det inte lönar sig. På grund av banksekretessen kan man inte heller ha bankservrar hos Akamai.
Det förekom IP-adresser från ryska regeringsinstitutioner i attackerna. Nästa gång kommer man kanske att göra på annat sätt. Attacken mot Georgien 2008 var mycket bättre planerad. Hela landets kommunikationer föll samman exakt samtidigt som den militära insatsen började.
Hur fungerar en CERT?
CERT-EE har ett kontrollrum som är så hemligt att vi inte ens får avbilda vyn genom fönstren. Här håller man koll på omvärlden i realtid.
Det finns inga fasta regler. Det är ett tentakeljobb. Det gäller för medarbetarna att ha känselspröt ute överallt, ett stort kontaktnät, helt enkelt. Man måste känna ansvariga på andra CERT:ar, IT-chefer, systemansvariga på stora företag och liknande. CERT måste få in rapporter från alla dessa, om att exempelvis en bank står under attack och man måste kunna lämna ut sina misstankar och få respons. Det handlar om absolut förtroende. Kan man inte få verklig information från alla samhällsfunktioner kan man inte bilda sig en riktig uppfattning av verkligheten.
Det är också viktigt att man känner till landets historia (Vad hände i den här situationen förra gången? Hur reagerade främmande makt för 20 år sedan när de försökte samma sak?). CERT måste också sköta sin omvärldsbevakning av tillståndet i världen och i närområdet. En lands-CERT som -EE måste ha politiska försänkningar för att kunna veta vad som håller på att hända med landets kontakter med grannländerna.
En CERT är inget stort nätövervakningscentrum med en massa flimrande bildskärmar och folk som sitter och kontrollerar, utan den består av ett antal skarpa hjärnor som analyserar trender, belastningar på inkommande fibrer till landet och hos de viktigare finansinstituten, väger samman allt detta med den politiska situationen och försöker att i förväg förstå när situationen kan bli kritisk.
Låt denna artikel tjäna som en väckarklocka inför framtiden. Estland är numera skyddat och används som bas för cybersäkerheten i Nato, men vi i Sverige är notoriskt ointresserade av cybersäkerhet och en dag sitter vi i samma sits som Estland 2007.
Arbetet på CERT-EE fortsätter. Man har numera 8 anställda som ägnar sig åt att samla in händelser från omvärlden och bygga upp motåtgärder. På hela myndigheten arbetar idag fler än 60 personer. Resurserna är nu mycket större och man har lärt av misstagen.
– Numera är vi i mitten av allt. Vi känner alla och vi vet allt. Vi kan hantera situationen, avslutar Anto.
Läs mer
Nato använder Estland som bas för sitt cybersäkerhetsarbete: https://www.teknikaliteter.se/2022/09/08/allt-ar-val-helt-normalt-nato-tycker-inte-det/
Vad borde Sverige göra, fast vi bara tittar åt andra hållet: https://www.teknikaliteter.se/2024/10/23/ar-sverige-under-attack/
Estland – uppkopplat land
- 77 % av befolkningen använder Internet
- 99 % av alla banktransaktioner görs via Internet
- Alla estniska skolor är anslutna till Internet
- 92 % av befolkningen gör sin självdeklaration via Internet
Det är naturligtvis lockande för främmande makt att störa Internet för att så missnöje i befolkningen och minska förtroendet för regeringens funktioner och de finansiella institutionerna.
Varför rörde monumentet upp känslor?
Bild: Wikimedia Commons.
En gammal soldat i plåt? Pronkssõdur, eller Monumentet över Tallinns befriare uppfördes av Sovjet år 1947. Måhända befriade Röda armén Estland från Nazityskland, men resultatet blev etter värre. Baltikum maldes sönder och samman av sovjetiskt förtryck i över 50 år och efter friheten när Sovjet föll sönder år 1991 var det naturligt att esterna ville rensa bort allt som hade med Sovjet och Ryssland att göra.
Efter omfattande deportationer till Sibirien och otaliga mord på oliktänkande ester består Estlands befolkning numera av drygt 26 % ryssar. Detta leder till interna spänningar, särskilt som Ryssland inget hellre vill än att ”få tillbaka” Baltikum genom att använda den ryska befolkningen som hävstång och destabilisera läget med förtalskampanjer mot väst. Gammal, beprövad taktik. Vi svenskar vet inte vad slaveri vill säga, för vi har aldrig stått med näsan in i en rysk stridsvagnskanon.
