Bilden på den huvudmisstänkte 38-åringen togs av polisens spanare när han och några andra män lastade ut stulna datorer från ett förråd i Malmö. Datorerna skulle forslas till Polen men beslagtogs av polisen. Foto: PolisenBilden på den huvudmisstänkte 38-åringen togs av polisens spanare när han och några andra män lastade ut stulna datorer från ett förråd i Malmö. Datorerna skulle forslas till Polen men beslagtogs av polisen. Foto: Polisen
Bilden på den huvudmisstänkte 38-åringen togs av polisens spanare när han och några andra män lastade ut stulna datorer från ett förråd i Malmö. Datorerna skulle forslas till Polen men beslagtogs av polisen. Foto: Polisen
Ligan bakom datorintrången hos svenska myndigheter och företag är fortfarande aktiv, erfar Kvällsposten. Bilden visar ett dataintrång hos ett svenskt företag från en server som inte stängdes. Foto: PolisenLigan bakom datorintrången hos svenska myndigheter och företag är fortfarande aktiv, erfar Kvällsposten. Bilden visar ett dataintrång hos ett svenskt företag från en server som inte stängdes. Foto: Polisen
Ligan bakom datorintrången hos svenska myndigheter och företag är fortfarande aktiv, erfar Kvällsposten. Bilden visar ett dataintrång hos ett svenskt företag från en server som inte stängdes. Foto: Polisen

Tusentals dataintrång kan vara oupptäckta

Publicerad

Ligan bakom datorintrången hos svenska myndigheter och företag är fortfarande aktiv. 

Trots att den huvudmisstänkte 38-åringen suttit häktad i över ett år är minst två servrar som skickat ut trojaner fortfarande kvar i drift.

Data från Kriminalvården har nämligen skickats till en av servrarna – efter att 38-åringen gripits.

– Han hade medhjälpare som vi inte identifierat, säger kammaråklagare Henrik Söderman.

Det var den 30 september förra året som utredare från polska polisens centrala spaningsbyrå slog till mot en IT-företagare i hans lägenhet i Swidnica i sydöstra Polen. 

Den polske mannen hyrde ut så kallade webbhotell. 

När regionala bedrägerisektionen i Malmö grep en 38-årig Malmöbo i hans svärmors lägenhet i Malmö den 3 oktober 2016 fann man två datorer som kunde kopplas till flera servrar som hyrdes ut av den polske IT-företagaren.

38-åringen misstänks ha legat bakom massiva dataintrång mot svenska företag och myndigheter under 2015 och 2016.

De svenska åklagarna ville då att polsk polis skulle hämta ut information om framför allt fem servrar hos IT-företagaren.

 

Den 38-åringe huvudmannen anländer till rättegången gällande dataintrång och mångmiljonbedrägerier i tingsrätten i Malmö på tisdagen.Foto: JOHAN NILSSON/TT NYHETSBYRÅN

 

LÄS OCKSÅ: Åtalade 38-åringen skyller dataintrång på tre okända män 

 

Har inte slagit ut alla servrar

Efter gripandet återvände polska polisens centrala spaningsbyrå till lägenheten för att göra husrannsakan hos företagaren i Swidnica. Men trots att det fanns spår från fem servrar – som fanns hos mannen – valde de svenska åklagarna att enbart kartlägga och åtala för dataintrång från två servrar.

 

Åtalet

Grovt dataintrång/försök mot tjugo företag bland annat Ikea och Gekås, fyra banker bland annat Swedbank, en  myndighet, två advokatbyråer, ett politiskt parti(Sverigedemokraterna) och privatpersoner

Grovt bedrägeri/försök mot 21 företag, sex banker/finansiella institut.

Åtta åtalade misstänks ha kommit över 25,5 miljoner kronor.

Rättegången pågår i Malmö tingsrätt.

 

Båda dessa servrar har tagits beslag och är utslagna. Innehållet finns hos svensk polis.

Men ingen utredning har gjorts av de andre tre andra servrarna. Nu kan Kvällsposten avslöja att minst en server – som finns kvar hos den polske IT-företagaren – fortfarande var aktiv efter att 38-åringen gripits. 

Dessutom tyder allt på att den fortfarande är i drift. Vad som finns på den är dock okänt.

 

Säkerhetspolisen fick i uppdrag att varna myndigheter och företag.Foto: SÄPO

 

Säpo har underrättats

Informationen om dataintrången som gjorts från de två beslagtagna servrarna  har senare lämnats över till Säkerhetspolisen och underättelsesektionen vid NOA, Nationella operativa avdelningen vid polismyndigheten och MSB, Myndigheten för säkerhet och beredskap. 

NOA och Säkerhetspolisen fick i uppdrag att varna och informera myndigheter samt företag som anlitas av Försvarsmakten och polisen att de kan ha utsatts för dataintrång. 

Någon sådan information finns inte att lämna om de övriga servrarna varav en har upptäckts vid ett dataintrång hos bland annat Kriminalvården. 

Den 19 oktober förra året skickades ett paket med information av trojanen från Kriminalvården till en av de servrar som lämnades orörd av åklagarna. Det framgår av förundersökningen. 

Vad det var för information som skickades från Kriminalvårdens servrar är det ingen som vet.

 

Trots att den huvudmisstänkte 38-åringen suttit häktad i över ett år är minst två servrar som skickat ut trojaner fortfarande kvar i drift. Den här bilden visar hur man kom över lösenord i ett företag. Lösenorden är maskade.Foto: Polisen

 

Vidtog inga åtgärder

På en annan server – som också lämnades orörd i Polen – fann man också spår på, utan att vidta åtgärder. Den servern användes vid ett intrång hos ett privat företag den 3 oktober förra året.

Minst en server som använts för att genomföra omfattande dataintrång är med andra ord fortfarande aktiv och kan fortsätta hämta information, dokument och lösenord från datasystem i Sverige som drabbats av dataintrång utan att det upptäckts.

Kammaråklagare Henrik Söderman, som drivit förundersökningen mot den 38-årige huvudmisstänkte tillsammans med kammaråklagare Helena Ljunggren, är medveten om att det fortfarande kan pågå dataintrång.

Kan man befara att de här servrarna fortfarande används?

– Det kan man säkert befara, säger Henrik Söderman.

Borde man inte stoppa dem?

– Det kan jag inte svara på. Men en av servrarna var aktiv efter att 38-åringen var frihetsberövad och av det skälet har vi inte gått vidare och utrett vad som hänt eftersom att den brottslighet vi utreder inte kan knytas till någon som är frihetsberövad, säger han.

– Att det fortsätter begås dataintrång är jag fullständigt övertygad om.

 

Kammaråklagare Henrik Söderman befarar att dataintrången fortsätter.Foto: JÖRGEN HILDEBRANDT

 

Hur ska man agera då för att stävja den? Den kan ju finnas oupptäckta trojaner som skickar information till de här servrarna?

–  Det är säkert så. Jag har ingen riktigt säker uppfattning om när vi fick in information om en av de här servrarna i utredningen. Jag tror att det var ganska sent. Vi utgår ifrån de två datorer vi tagit i beslag som i sin tur går at knyta till de två servrar som omfattas av åtalet, säger Henrik Söderman.

– Och det är säkert så att det använts andra servrar, kanske på det här stället i Polen och kanske på andra ställen, tillägger han.

Misstänker att 38-åringen haft medhjälpare

Åklagarna misstänker på goda grunder att den 38-årige huvudmisstänkte haft medhjälpare som fortfarande är oidentifierade och på fri fot. 

– Det finns spår av det i utredningen bland annat i chat-konversationer, säger Henrik Söderman.

I en sådan konversation diskuteras bland annat intrång hos Kronofogdemyndigheten. Dessa oidentifierade personer kan med andra ord fortfarande styra och kontrollerna servrarna som finns kvar i drift.

 

Åklagarna misstänker att 38-åringen haft medhjälpare som fortfarande är oidentifierade och på fri fot. Foto: JOHAN NILSSON/TT NYHETSBYRÅN

 

I förhör med 38-åringen i Malmö tingsrätt har han själv kallat medhjälparna för Christian och Dennis men påstår att han inte känner till deras verkliga identitet.

– Vi måste inrikta oss på den person vi har frihetsberövad. När vi bedriver förundersökning, och ska vi någon gång ska komma i mål med någonting, så får vi inrikta oss på den personen som vi har frihetsberövad. Om vi skulle utreda vem som eventuellt är skäligen misstänkt när det gäller annan information som till exempel den här servern 203 då skulle vi aldrig komma i mål, säger Henrik Söderman.

38-åringen själv förnekar allt samröre med de grova dataintrången och hävdar att han enbart hjälpt de okända männen med bland annat datorer.

Relaterade ämnen

Tack för att du hjälper oss!

Även om vi alltid försöker skriva helt korrekt kan det ibland smyga sig in felaktigheter. Därför uppskattar vi din hjälp. Skriv i meddelande-rutan nedan vad som är fel i artikeln eller vad du vill klaga på. Vi rättar alla fel och är generösa med genmälen.

Stort tack!

Tack!

Din rättelse har skickats vidare till redaktionen!

En redaktör kommer att läsa din rättelse så snart som möjligt. Tack för att du hjälper oss!

Thomas MattssonAnsvarig utgivare

Jag vill att Expressen ska vara den tidning som är mest generös med genmälen, rättelser samt hur vi redovisar eventuella klander från Pressens Opinionsnämnd.

Expressens ambition är tydlig. I vår "Kvalitetspolicy" slår jag fast att det som publiceras ska vara korrekt. Mitt första beslut som chefredaktör var att införa en fast plats i tidningen och på sajten för korrigeringar. Men vi är människor. Som gör misstag, blir lurade eller stressas till slarv. Det är några förklaringar till fel i medier, men de ursäktar ändå inte redaktionen om någon utsätts för publicitetsskada.

Expressen står bakom de "Etiska regler för press, radio och tv" som formulerats av Publicistklubben, Svenska Journalistförbundet, Tidningsutgivarna, Sveriges Tidskrifter, Sveriges Radio, Sveriges Television samt Utbildningsradion.

"Reglerna är mer av tumregler än en formell regelsamling", konstaterar Allmänhetens Pressombudsman (PO). Vad som är god pressetik måste avgöras från fall till fall och det finns inga exakta svar. Men det är bra att saken diskuteras.

Expressen talar ofta och gärna klarspråk, vi granskar och vi avslöjar; det hör journalistiken till att inte alla kommer att uppskatta det vi berättar. Om du anser att du utsatts för en publicitetsskada är det snabbaste sättet att få upprättelse att kontakta oss: mejla till rattelse@expressen.se eller ring vår nyhetsdesk på telefon 08-738 30 00. Men det går också att göra en så kallad PO-anmälan för att få en pressetisk prövning.


Läs fler nyheter i Kvällspostens app – ladda ner den gratis här: Iphone eller Android.

Till Kvällspostens startsida

Mest läst i dag